IT 24.05.2002, 17:34 Uhr

IT-Sicherheit ist kein Produkt, sondern ein Prozess

Offene Unternehmensnetze sind zum Schlüsselelement innovativer, wettbewerbsfähiger Geschäftsmodelle geworden. Doch um diese Netze sicher zu machen, helfen nicht einzelne Maßnahmen. Die IT-Sicherheit muss Bestandteil der Firmenkultur sein, predigen Sicherheitsberater ihren Kunden.

Entscheider sehen IT-Sicherheit inzwischen als unvermeidbare Risikoprämie, so die Erfahrung von Heinz Holtz, Direktor IT-Sicherheit beim IT-Dienstleister Triaton, einem Ableger von Thyssen-Krupp. Investition in die Sicherheit informationstechnischer Systeme muss halt sein.
Gerade die so Erfolg versprechende offene Vernetzung als Geschäftsmodell erhöht die Risiken des unbefugten Zugriffs auf geschäftskritische Hardware, Anwendungen und Daten immens. Nach Erkenntnissen von Information Security hat sich die Zahl der Angriffe auf Webserver im vergangenen Jahr nahezu verdoppelt. Jedes zweite von rund 2500 befragten Unternehmen sah sich externen Angriffen ausgesetzt, gar 60 % solchen von „innen“.
Auf einen „dreistelligen Millionenbetrag“ schätzt Michael Dickopf, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die jährlichen Einbußen durch Betriebsstörungen, den Diebstahl von Firmengeheimnissen und Datenverlust.
Als Folge, so stellt Holtz fest, weicht die lange obwaltende Nonchalance in mancher Chefetage sukzessive einer ernsten Auseinandersetzung mit den Bedrohungsszenarien – und das „nicht erst seit den Terror-Anschlägen in den USA“.
So konkret wie möglich, aber so abstrakt wie nötig müsse das dem Kunden verordnete Maßnahmenpaket sein, so der Triaton-Manager, um die nötige Plattformunabhängigkeit bei den vielfach heterogenen Netzwerkarchitekturen zu garantieren.
Für grundfalsch hält der Sicherheitsexperte die übermäßige Akzentuierung nur punktuell wirksamer Vorkehrungen wie Firewall oder Antiviren-Schild. Viele Betriebe hätten sich infolgedessen in einer trügerischen Scheinsicherheit befunden.
Volker Pampus, Geschäftsführer der Internet Security Systems GmbH, spricht in diesem Zusammenhang von „lokal isolierten Lösungen ohne horizontale Deckung“. Zeitgemäßes Security Management müsse bereits bei einer dezidierten Schwachstellenanalyse ansetzen, um das individuelle Unternehmensrisiko und – in Absprache mit dem Kunden – den Schutzbedarf zu ermitteln. Einmal hergestellt, müsse der „Ordnungszustand“ freilich permanent überprüft werden. Und zwar durch Auswahl und Zusammenführung der zentralen Informationen aus dem Datenwust der Logfiles von Firewall und Intrusion Detection Systems (IDS).
„IT-Sicherheit ist kein Produkt, sondern ein Prozess“, betont Holtz. Gerade die Erhaltung des Ordnungszustands („Security Maintenance“) durch ständige Anpassungen des Hightech-Harnischs gilt den Security-Fachleuten als größte Herausforderung überhaupt. Schließlich seien nicht bloß die Bedrohungsszenarien, sondern auch die Netzwerke selbst pausenlosen Veränderungen unterworfen. Beispiel „Code Red“. Obwohl das als Einfallstor dienende Sicherheitsleck des Computerwurmes längst bekannt war und ein entsprechender Patch bereitstand, konnte er sich auf hundertausenden von Servern in aller Welt einnisten.
„Die Technik ist aber nur die halbe Miete“, so Pampus. Ebenso wichtig sei der strategische Unterbau („Security Policy“), namentlich schriftliche fixierte Verhaltensmaßregeln für sämtliche Mitarbeiter des Unternehmens. „Auch die zuverlässigste Technologie läuft ins Leere, wenn der dahinter stehende Benutzer aus Unkenntnis oder Leichtfertigkeit versagt.“ Genau wie die Technikkomponenten müsse auch das Richtlinienpaket fortwährend angepasst und seine Einhaltung automatisiert überprüft werden.
Zur Ermittlung des vorhandenen Sicherheitsniveaus können Firmen ein vom BSI gemeinsam mit Wirtschaftspartnern entwickeltes Zertifizierungsschema nutzen. Das diesbezügliche „IT-Grundschutzhandbuch“ ist modular organisiert und skizziert für jeden Baustein wie Client-Server-Netze, Anwendungskomponenten oder bauliche Einrichtung die typische Gefährdungslage. Auf dieser Basis kann sodann ein Maßnahmenbündel für die Bereiche Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge geschnürt werden.
Auf Antrag erstellt das BSI nach vorherigem Audit ein entsprechendes Zertifikat, dass die Einhaltung der behördlichen Auflagen attestiert und damit sowohl den IT-Dienstleistern als auch deren Auftraggebern gegenüber Geschäftspartnern und Kunden als Qualitätsnachweis dienen kann.
GERNOT BEISSMANN

IT-Sicherheit
Entscheidender Faktor für Unternehmen
Lange Zeit streng budgetiert und eher als Sahnehäubchen erachtet, hat sich die „IT-Security“ für Wirtschaftsunternehmen zum erfolgskritischen Faktor gewandelt. Angesichts automatisierter Hacking-Tools, Breitbandanbindungen und immer ausgeklügelterer Schadprogramme reicht Software von der Stange für ein widerstandsfähiges Abwehrschild längst nicht mehr hin. Not tut ein ganzheitlicher, bedarfsorientierter Ansatz, der bei einer Schwachstellenanalyse beginnt und sich bis hin zu regelmäßigem Training, Wartung und Datensicherung erstreckt. Betont wird von Experten immer wieder die Bedeutung einer schriftlich fixierten, unternehmensweiten Sicherheitsstrategie („Security-Policy“) mit konkreten Verhaltensmaßregeln, deren Einhaltung regelmäßig zu überprüfen sei. gb

Top Stellenangebote

Zur Jobbörse
Airbus Helicopters-Firmenlogo
#ET7A Electrical System Engineer - Airplane Doors (d/f/m) Airbus Helicopters
Donauwörth Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) optische und radiometrische Messsysteme IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Propan Rheingas GmbH & Co. KG-Firmenlogo
Ingenieur Sicherheitstechnik (m/w/d) Propan Rheingas GmbH & Co. KG
Brühl Zum Job 
Jungheinrich-Firmenlogo
Head of Development Automated Driving (m/w/d) Jungheinrich
Lüneburg Zum Job 
G + S Planungsgesellschaft mbH-Firmenlogo
Bauingenieur (m/w/d) für die Bereiche Tragwerksplanung und bautechnische Prüfung G + S Planungsgesellschaft mbH
Hamburg Zum Job 
Kromberg & Schubert Automotive GmbH & Co. KG-Firmenlogo
Ingenieur als Supplier Quality Manager (m/w/d) Kromberg & Schubert Automotive GmbH & Co. KG
Abensberg bei Regensburg Zum Job 
LEONHARD WEISS GmbH & Co. KG-Firmenlogo
Bauingenieur / Bautechniker Digitalisierung (m/w/d) LEONHARD WEISS GmbH & Co. KG
Satteldorf Zum Job 
Munich Consulting Group-Firmenlogo
Junior Consultant Industrial Engineering (m/w/d) Munich Consulting Group
München Zum Job 
Munich Consulting Group-Firmenlogo
Senior Consultant Industrial Engineering (m/w/d) Munich Consulting Group
München Zum Job 
Munich Consulting Group-Firmenlogo
Consultant Industrial Engineering (m/w/d) Munich Consulting Group
München Zum Job 
NewTec-Firmenlogo
Software-Entwickler (m/w/d) Embedded Applikationen NewTec
Freiburg im Breisgau Zum Job 
Saale Energie GmbH-Firmenlogo
Elektroingenieur / Ingenieur Elektrotechnik (w/d/m) Saale Energie GmbH
Schkopau Zum Job 
SWM Services GmbH-Firmenlogo
CAE Administrator*in (m/w/d) SWM Services GmbH
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur Bauwerkserhaltung (w/m/d) Die Autobahn GmbH des Bundes
Fürth Zum Job 
Berliner Wasserbetriebe-Firmenlogo
Bauingenieur:in Bebauungsplan (w/m/d) Berliner Wasserbetriebe
Berlin Zum Job 
Berliner Wasserbetriebe-Firmenlogo
Projektleitung Starkregenrisikomanagement (w/m/d) Berliner Wasserbetriebe
Berlin Zum Job 
Berliner Wasserbetriebe-Firmenlogo
Ingenieur:in Wartungsplanung (w/m/d) Berliner Wasserbetriebe
Berlin Zum Job 
Berliner Wasserbetriebe-Firmenlogo
Ingenieur:in Elektrotechnik - Betriebsführung (VEFK) und Planung (w/m/d) Berliner Wasserbetriebe
Berlin Zum Job 
Berliner Wasserbetriebe-Firmenlogo
Projektleiter:in für kleine und mittelgroße Investitionsprojekte in Wasserwerken (Werke) (w/m/d) Berliner Wasserbetriebe
Berlin Zum Job 
Berliner Wasserbetriebe-Firmenlogo
Ingenieur:in Instandhaltungsmanagement / Werke (w/m/d) Berliner Wasserbetriebe
Berlin Zum Job 

 

Ein Beitrag von:

Empfehlung der Redaktion

Projektmanagement
Projektmanagement

Die 11 besten Projektmanagement-Tools

Stromkabel an B des Bitcoin
Kryptowährung

Bitcoin: Wie umweltschädlich ist die Kryptowährung wirklich?

WhatsApp-Tricks, die Sie noch nicht kannten
Messenger-Dienst

WhatsApp-Tricks, die Sie noch nicht kannten

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen
Bildbearbeitung

Photoshop und Lightroom: Diese Alternativen sollten Sie sich anschauen

Luftbildaufnahme von Tokio
Ranking

Die 10 größten Städte der Welt

Hannover Messe Special
Messe

Hannover Messe Special

Ähnliche Artikel

Künstliche Intelligenz
Krypto-News

Bitcoin: Kurs kämpft um $30k – ChatGPT verblüfft mit bullisher Prognose

Funknetz
Netzwerk

Riesen-Funknetz: Amazon verbindet seine Geräte zu einem „Sidewalk“

Bitcoin Wette
Krypto-News

Bitcoin: Irre Prognose! 1 Million Dollar pro BTC – und zwar bis Juni 2023. Wie reagieren Analysten?

Mikrochip zwischen zwei Fingern
IT-Sicherheit

So entdecken Forschende Manipulationen auf Mikrochips

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.

Jetzt anmelden

Auch auf dieser Seite werden Cookies verwendet. Wir können damit die Seitennutzung auswerten, um nutzungsbasiert redaktionelle Inhalte und Werbung anzuzeigen. Das ist für uns wichtig, denn unser Angebot finanziert sich über Werbung. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung. Weitere Infos