Herausforderung IT-Sicherheit
Es genügt heute in der Regel nicht mehr, die Firmen-IT nur mittels Firewall und Virenscanner zu schützen: die heutigen Mindestanforderungen an die IT-Sicherheit umfassen weit mehr.
"IT-Grundschutz" bezeichnet die Implementierung technischer Sicherheiten, die dem Schutzbedarf der Firma angemessen sind. Was simpel klingt, ist in seiner Umsetzung komplex. Durch die Abhängigkeit der Unternehmen von der IT steigen auch die Anforderungen an deren Sicherheit. Der IT-Grundschutz als Fundament für weitergehende Massnahmen erfordert daher eine ganzheitliche Betrachtung.
Direkt oder indirekt unterstützen IT-Anwendungen und -Systeme immer Geschäftsprozesse. So ist die IT-Sicherheit zu betrachten: Der Stellenwert der einzelnen Business-Abläufe und die Vertraulichkeit der verarbeiteten Daten geben das Niveau der zu treffenden Sicherheitsmassnahmen vor. Hinzu kommen externe Faktoren, die Unternehmen einen umfassenden IT-Grundschutz abverlangen: So sind Security-Audits von Kunden und Partnern insbesondere in der Zuliefererindustrie inzwischen übliche Praxis. Zudem sind Wirtschaftsprüfer und Datenschutzbeauftragte zu vertrauten Ansprechpartnern der IT-Abteilung geworden - hierbei diktieren nationale und internationale Vorschriften die Anforderungen an die technische Sicherheit.
Ein wesentlicher Aspekt ist die zunehmende Kriminalität von Angriffs- oder Betrugsversuchen einzelner Personen bis hin zur Wirtschaftsspionage. Beim Thema IT-Grundschutz sind grundsätzlich acht gleich priorisierte Teilbereiche zu beachten.
Organisatorische IT-Sicherheit
- Aufbau des IT-Sicherheits-Managements.
- IT-Sicherheitsleitlinie durch Geschäftsführung formuliert (strategische Aussagen)
- Festlegen eindeutige Verantwortlichkeiten (inkl. Vertretungen)
- Festlegen Kommunikationswege
- Change Management
- Schulung IT-Benutzer
- Audits (z.B. Penetrationstests)
Technische IT-Sicherheit
- Firewall
- Virenscanner
- Verschlüsselungssysteme
- Implementierung Rollen- und Rechtekonzept
- Patch-Level-Management
- Systemhärtung
- Absicherung drahtloser Kommunikationswege (etwa WLAN)
- Übergänge zu Fremdnetzen
Physische IT-Sicherheit
- Desaster Schutz 1 (Überschwemmung, Brand etc.)
- Desaster Schutz 2 (Erdbeben etc.)
- Unterbrechungsfreie Stromversorgung
- Klimatisierung
- Zutrittsschutz
- Entsorgung Datenträgern etc.
Betriebskonzepte
- Sicherung und Stabilisierung IT-Umgebung
- Datensicherung
- Change und Versions Management von Anwendungen
- Umgang mit Störfällen
- System- und Netz-Management
- Management von Systemkapazitäten und -verfügbarkeiten.
Notfallplanung
- Krisenstab
- Alarmierungsplan
- SOPs Wiederherstellung kritischer IT-Anwendungen und -Systeme
- Definition Verfügbarkeit
- Definition wahrscheinliche Notfallszenarien
Vertragsbeziehungen
- Liste Verträge mit externen Dienstleistern
- Verfügbarkeiten, Reaktions- und Behebungszeiten
- Geheimhaltung
- Konventionalstrafen bei Missbrauch
- Recht auf die Auditierung externer Dienstleister
Wirtschaftlichkeit
- Nachweis Wirksamkeit der Sicherheitsmassnahmen
- Nachweis Angemessenheit
- Transparentes Budget
- Integration in Kostenstellenrechnung
Gesetzliche Anforderungen
Siehe auch Compliance
Das Fundament eines umfassenden IT-Grundschutzes liegt im IT-Sicherheits-Management. Dort werden die Weichen für eine effiziente und stabile IT gestellt und damit wesentliche Grundlagen für den Unternehmenserfolg gesichert. In akuten Sicherheitsvorfällen begründeter
