Ziele der IT Sicherheit

3 Ziele

Ganz banal gesagt: Es geht darum diese Ziele zu erreichen:

• Die Vertraulichkeit der Informationen, das heißt: nur Berechtigte haben Zugriff
• Die Verfügbarkeit der Informationen, das heißt: die Informationen stehen zu dem Zeitpunkt zur Verfügung an dem sie benötigt werden
• Die Integrität der Informationen, das heißt: die Informationen sind nicht verfälscht

Klingt eigentlich ganz einfach, oder ? Es gibt jetzt nur ein kleines Problem: Sicherheitsmaßnahmen kosten Zeit und Geld. Unternehmen müssen mit ihren Ressourcen haushalten. Wie sollen sie bestimmen für welche Sicherheitsmaßnahmen sie wieviel Zeit und Geld einsetzen ? Ein Weg führt über das Sicherheitsniveau ...

Sicherheitsniveau

Verschiedene Unternehmen gewichten ihre Sicherheitsziele unterschiedlich. Für eine Bank steht die Vertraulichkeit an erster Stelle während ein Internet-Shop vermutlich den Schwerpunkt auf die Verfügbarkeit legen wird. Angelehnt an das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI):

4 einfache Fragen:

Wenn unsere Daten nicht vertraulich, verfügbar, korrekt sind:

• verstossen wir gegen Gesetze, Richtlinien oder Verträge ?
• welchen Einfluss hat es auf die Arbeitsabwicklung ?
• welche finanziellen Auswirkungen hat es ?
• welche Aussenwirkung tritt bei Kunden, Lieferanten und in der Öffentlichkeit auf ?

Bei einigen Unternehmen kann noch eine fünfte Frage hinzukommen:

• wird die Gesundheit von Menschen, Tieren oder Pflanzen gefährdet ?

Wenn die erkannten Auswirkungen gewichtet werden (zum Beispiel nach gering,mittel, hoch) ist ein erster Eindruck des erforderlichen Sicherheitsniveaus gewonnen.

In weiteren Schritten können sie einzelne IT-Systeme untersuchen

Das Zusammenspiel von Sicherheitsmaßnahmen

Das IT Sicherheit mehr ist als ein Stück Software zu installieren, möchte ich Ihnen am Virenschutz aufzeigen. Ist die Software installiert macht sie ihren Job recht zuverlässig, aber um neue Viren erkennen zu können muss die Datenbasis regelmässig aktualisiert werden. Das bedeutet die organisatorische Maßnahme “Kümmere Dich monatlich um Aktualisierungen” kommt dazu. Für Firmen mit einen intensiven Datenaustausch oder eMail-Aufkommen reicht aber auch dies nicht. Die organisatorische Maßnahme “Informiere Dich täglich über aktuelle Warnungen” wird erforderlich. Bei grösseren Unternehmen kann es darüberhinaus sinnvoll sein einen “Virenspezialisten” zu benennen, der in der Lage ist eingehende Warnungen zu beurteilen, da oft sogenannte “Hoax” also Falschmeldungen in Umlauf gebracht werden. Außerdem kann er Virenschutzmaßnahmen im Unternehmen koordinieren.

Sie sehen die Maßnahme “Virenschutzsoftware” wird ohne flankierende Maßnahmen schnell wertlos. Insgesamt führt das BSI im IT-Grundschutzhandbuch zum Virenschutz übrigens 20 (in Worten: zwanzig) Maßnahmen auf.

Weitere Beispiele:

• HOST-Passwörter die über schlecht geschützte PC’s ausgespäht werden.
• Zugriffsschutz der über Softwarefehler ausgehebelt wird

Gefährdungsanalysen: Warum eigentlich?

Der Grund geht ebenfalls in Richtung Wirtschaftlichkeit: Warum sollte ich mich gegen Gefahren schützen die mir gar nicht drohen ? Rausgeschmissenes Geld, nicht wahr?

Es wird sich also durchaus lohnen die Gefährdungen in Frage zu stellen:

• Interessiert sich jemand so für unsere Kommunikation, dass er sie abhören möchte?
• Könnte jemand einen Anschlag auf unsere Gebäude vorhaben?
• Ist es wahrscheinlich dass bei uns Personen eingeschleust werden, die Firmeninformationen zur Vorbereitung eines elektronischen Angriffs nach aussen bringen?

Auf jeden Fall besser als die Frage: Wozu brauchen wir eigentlich das sündteuere Einbruchs-Erkennungssystem?

Sicherheitspolitik/Security policy – Ist das nicht für Staaten?

Stimmt schon, die der EU finden Sie beispielsweise hier.

Zurück zur Informationstechnik. Jeder Benutzer hat Vorstellungen darüber wie sicher seine Daten sein sollen. Und er trifft Maßnahmen die diese Sicherheit gewährleisten sollen, zum Beispiel Datensicherung und Virenschutz. Wenn er sich dann noch bewusst ist welche Risiken verbleiben hat er sie schon: seine persönliche Sicherheitspolitik.

Um es deutlicher zu machen: hier ist die Sicherheitspolitik für meine Systeme:

Wie Sie bemerkt haben hält sich die technische Ausprägung in Grenzen. Und das ist gut so. Denn: die Sicherheitspolitik richtet sich nicht allein an Systemadministratoren, und beschreibt welches System/welche Anwendung wie zu konfigurieren ist. Dann ist sie ein Sicherheitshandbuch. Ihre Aufgabe ist es zwischen Anwendern, Management und Systemadministration zu vermitteln:

• Warum treffen wir welche Sicherheitsmaßnahmen!
• Warum treffen wir welche Sicherheitsmaßnahmen nicht!
• Welches Risiko gehen wir bewusst ein!

Und das wir ist der Grund, dass es keine Sicherheitspolitik “von der Stange” gibt. Im Gegenteil, es ist eine recht langwierige Aufgabe die Sicherheitspolitik zwischen den drei Interessengruppen zu vermitteln.

Was darf nicht in einer Sicherheitspolitik stehen?

In einer Sicherheitspolitik dürfen keine Sicherheitsmaßnahmen stehen die nicht umgesetzt werden. Warum?

• Erstens könnte sich ein Kunde oder eine andere Organisationseinheit darauf verlassen und das sorgt im Schadenfall für böses Blut (oder finanzielle Konsequenzen).
• Zweitens stehen sie auch in einem Gerichtsverfahren schlecht da: denn in ihrer Sicherheitspolitik dokumentieren sie, dass sie genau wissen was zu tun ist. Aber sie unterlassen es!

Wer braucht eine Sicherheitspolitik?

Sobald das Unternehmen die Grösse erreicht hat, dass es die Funktionen Anwender, Management und Systemadministration trennt ist die Sicherheitspolitik sinnvoll. Das Wissen ist schriftlich fixiert und kann Personalwechsel überdauern, der Nachfolger weiss warum, etwas getan oder eben nicht getan wird. Gibt es in einem Unternehmen verschiedene Administrationen, Tochterfirmen oder Standorte sind auch mehrere Sicherheitspolitiken sinnvoll.

Wo gibt es weitere Hinweise?

Im RFC 2196, wie so vieles im IT Bereich auf Englisch