Auf die Prozesse kommt es an

Kommentieren Drucken

Inzwischen vergeht kaum noch einen Tag ohne neue Berichte über erfolgreiche Hacks, gefundene Datenlecks in Unternehmen und Behörden, kritische Schwachstellen in IT-Systemen, etc. Das Internet scheint zum kriegerischen Dschungel verkommen sein, in dem mehr oder weniger professionelle Söldner, Partisanen und Hobby-Krieger sich austoben. Die Statistiken der monatlichen Angriffe sprechen hier für sich und mit den bekannt gewordenen Sicherheitsvorfällen sehen wir nur die Spitze des Eisbergs.

Schauen wir uns einige Vorfälle genauer an: Vor einigen Tagen wurde in den Medien berichtet, dass Hacker vertrauliche Daten des Zolls erbeuten und Polizeirechner mit einem Trojaner infizieren konnten. Das Datenleck soll über Monate bestanden haben, ohne dass der Datenabfluss aufgefallen ist. Bei Rewe konnten Angreifer auf Kundendaten inklusive unverschlüsselter Passworte zugreifen. Die Hackergruppe Anonymous hat kürzlich bei Booz Allen Hamilton über einen unzureichend abgesicherten Server zehntausende militärische Zugangsdaten (E-Mail-Adressen und Passworte) erbeuten können. Die Passworte seien den Berichten zu folge hier zwar verschlüsselt gewesen, jedoch nicht mit besonders guter Qualität. Die Hacker waren dabei insbesondere über die Leichtigkeit des Angriffs überrascht.

Diese Liste ließe sich wahrscheinlich endlos fortsetzen, die paar Beispiele genügen jedoch, um festzustellen, dass Informationen mit offensichtlich hohem Schutzbedarf scheinbar öfter unzureichend geschützt (im Extremfall sogar im Klartext) auf vom Internet zugänglichen Rechnern liegen als es einem lieb ist.

Nehmen wir an, dass die angegriffenen Parteien selbstverständlich klare interne Sicherheitsrichtlinien haben, die festlegen, wie mit Daten mit einem hohen Schutzbedarf hinsichtlich der Vertraulichkeit (und anderer Grundwerte) umzugehen ist. Wiese so lagen dann in den genannten Beispielen vertrauliche Daten nur unzureichend abgesichert vor? Hier ist offenkundig bei der Umsetzung von Sicherheitsrichtlinien etwas schief gelaufen.

An dieser Stelle brauchen wir weniger neue Techniken, neue Bollwerke der Informationssicherheit in Form von noch mehr Firewalls oder anderen Werkzeugen. Wir brauchen eine effektive Verankerung der Informationssicherheit in den IT-Prozessen und in den Geschäftsprozessen.

Dies betrifft insbesondere die IT-Kernprozesse Change Management, Incident Management und Problem Management. Wenn beispielsweise ein Change ansteht, bei dem eine neue Web-Anwendung eingeführt werden soll, könnte es doch eine Selbstverständlichkeit sein, dass im Rahmen des Change-Prozesses die Informationssicherheit eine Prüfung der Anwendung durchführt und erst nach Freigabe durch den Sicherheitsbeauftragten die Anwendung in Produktion geht. Wenn man dies ernsthaft betreibt, würde sofort auffallen, wenn z.B. Daten mit hohem Schutzbedarf nicht angemessen geschützt transportiert oder gespeichert werden sollen.

Außerdem brauchen wir lebendige Prozesse für die Informationssicherheit selbst. Hierzu gehört neben der Überwachung der Infrastruktur hinsichtlich Sicherheitsvorfällen die regelmäßige Prüfung der Infrastruktur hinsichtlich Schwachstellen, Umsetzung von Sicherheitsmaßnahmen sowie die Messung und Bewertung des erreichten Sicherheitsniveaus.

Dies erfordert eine schlagkräftige Sicherheitsorganisation und insbesondere einen Sicherheitsbeauftragten, der nicht nur strategische Richtlinienkompetenz hat, sondern auch im operativen Geschäft verankert ist. Natürlich kostet das Zeit und Geld. Nur was kann ein Schaden kosten?

zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.