Digital Age - How to approach Cyber Security
von Andreas von Grebmer
Die Grundlagen für jede IT-Umgebung sind ein IT-Konzept und darauf aufbauend ein IT-Sicherheitskonzept. Beide Dokumente sind von der Firmenstrategie abgeleitet. Das IT-Sicherheitskonzept beschreibt die notwendigen Massnahmen zur Realisierung und Aufrechterhaltung des für das Unternehmen angemessenen, definierten Sicherheitsniveaus. Das IT-Sicherheitskonzept betrifft alle Stufen: die Geschäftsleitung ist ebenso beteiligt, wie die IT-Leitung, die IT-Abteilung und die Mitarbeiter.
Damit ein IT-Sicherheitskonzept erstellt werden kann, müssen vier Fragen beantwortet werden:
1. Was will ich schützen?
2. Wogegen soll ich mich schützen?
3. Wie kann ich diesen Schutz erzielen?
4. Kann ich mir diesen Schutz leisten?
Schutzbedarf
Die erste Frage gilt dem Schutzbedarf. Was will ich schützen? Die drei Grundwerte Verfügbarkeit, Integrität und Vertraulichkeit helfen, diese Frage zu beantworten.
Die Verfügbarkeit gibt an, welche Systeme, Prozesse, Abläufe und Personen für welche Situation zur Verfügung stehen müssen. Unter der Integrität wird die Unversehrtheit der Daten verstanden. Die Vertraulichkeit schützt die Daten vor fremden Blicken. Immer wichtiger wird der vierte Grundwert: die Nicht-Abstreitbarkeit. Es muss klar ersichtlich sein, wer etwas gemacht bzw. verändert hat.
Wogegen muss ich mich schützen?
Ein Unternehmen muss sich klar sein, welche Gefährdungen einwirken können und ab welchem Punkt ein Schaden bedrohlich wird. Hier gilt es, verschiedene Szenarien und die Folgen abzuschätzen. Dies können z.B. Stromausfall, Wassereinbruch, Mitarbeiterausfall, Systemabsturz, Malware, Hacker, Sabotage, usw. sein. Die Grundschutzkataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) zählen eine Vielzahl von weiteren Gefährdungen auf.
Massnahmenauswahl
Aus dem Schutzbedarf und der Risikoanalyse leiten sich Massnahmen ab. Welche Massnahmen davon sind möglich? Damit auch verbunden, welche Gefährdungen kann eine einzelne Massnahme abdecken? Hat diese allenfalls Einfluss auf andere Gefährdungen oder Massnahmen? Welche Bereiche werden zusätzlich tangiert? Je nachdem, welche Bereiche abgedeckt werden, sind mehr Personen (ev. sogar Externe) involviert oder es müssen allenfalls Prozesse angepasst werden. Eine zentrale Frage ist auch der Nutzen. Was bringt es mir, wenn ich eine Massnahme umsetze? Habe ich anschliessend die Ressourcen, diese Massnahme aufrechtzuerhalten?
Sobald Massnahmen für die einzelnen Bereiche definiert wurden, gilt es diese zusammenzufassen und Synergien zu finden.
Wirtschaftlichkeit
Schlussendlich dreht sich alles um das Geld. Kann und will ich mir diesen Schutz leisten? Es ist wichtig zu definieren, welchen Schaden eine Gefährdung anrichten kann. Teilen Sie die Auswirkungen in Kategorien von niedriger bis mittlerer Schaden, hoher Schaden und sehr hoher Schaden ein. Dort wo der Schaden am grössten ist, sollten die ersten Massnahmen umgesetzt werden.
Nicht alle Massnahmen können umgesetzt werden. Dieses Restrisiko muss bewusst durch die Geschäftsleitung getragen werden.
Vorgehen
Mit den Antworten auf diese vier Fragen kann das weitere Vorgehen definiert werden. Die Resultate sind zu bewerten und detailliert auszuarbeiten. Damit verbunden sind die finanziellen und personellen Aufwände. Mit der Auswahl der Massnahmen kann auch die Reihenfolge definiert werden. Welche Massnahmen sind zeitkritisch? Welche Massnahmen lassen sich auch später noch realisieren? Was konsolidiert werden kann, sollte auch gleichzeitig umgesetzt werden.
Der wichtigste Punkt bei der Umsetzung sind die Verantwortlichkeiten. Wer trägt die Verantwortung für eine Massnahme? Nur wer sich verpflichtet fühlt, wird auch das Zepter in der Hand halten.
Gleichzeitig mit der Umsetzung sind begleitende Massnahmen. Die Schulung und Sensibilisierung von Mitarbeitern ist wichtig. Die Mitarbeiter müssen genug früh auf die Umstellungen vorbereitet werden, um einem möglichen Widerstand vorzubeugen.
Inhaltsverzeichnis eines IT-Sicherheitskonzeptes
Kontrolle
Eine regelmässige Kontrolle ist notwendig, um Abweichungen und veränderte Bedingungen zu erkennen und Anpassungen zu treffen. Die Verantwortlichkeiten sind entsprechend festzuhalten.
Sollte es zu Änderungen kommen, ist das Management miteinzubeziehen und die entscheidenden Schritte zu treffen. Denken Sie auch hier daran, frühzeitig alle Mitarbeiter über die veränderten Situationen zu orientieren.
Zusammenfassung
Ein IT-Sicherheitskonzept ist nicht in einem Tag erstellt. Die Vorbereitungsarbeiten nehmen viel Zeit in Anspruch. Doch diese Zeit lohnt sich. Massnahmen, die sich auf kritische Systeme auswirken, sollten anschliessend im ersten Schritt umgesetzt werden. Halten Sie fest, wer die Verantwortung für die Umsetzung und Kontrolle von Massnahmen trägt.
Während und nach der Umsetzung gilt es, die Massnahmen zu kontrollieren, sei dies durch interne oder externe Stellen.
Schulen und sensibilisieren Sie alle Stufen, von der Geschäftsleitung bis zum Mitarbeiter. So wird auch Ihr Konzept zum Erfolg!
Keine Ereignisse gefunden.