03.11.2017 Die Gefahren bannen

In 8 Schritten zur durchgängigen IT-Sicherheit

Von: Jens Bothe

IT-Sicherheit ist ein komplexes Thema, das stete Aufmerksamkeit fordert und Geld kostet. Für viele Mittelständler ist es daher nicht leicht, den richtigen Einstieg zu finden und kontinuierlich dran zu bleiben. Die Zeiten allerdings, in denen man hoffen konnte, zu klein für einen Hackerangriff zu sein, sind angesichts systematisch arbeitender Cyber-Krimineller vorbei.

Los geht's: In 8 Schritten zur durchgängigen IT-Sicherheit

Los geht's: In 8 Schritten zur durchgängigen IT-Sicherheit

Die Installation von Systemen und Maßnahmen, die einen Angriff von vornherein zu verhindern suchen, ist eine Sache. Genauso wichtig ist die Etablierung klarer IT-Sicherheitsprozesse, die festlegen, was zu tun ist, wenn eine Sicherheitslücke gefunden oder eine Bedrohung entdeckt wird.

Mit diesen acht Schritten kann die Umsetzung durchgängiger IT-Sicherheitsprozesse gelingen:

1. Pragmatisch vorgehen

Für Mittelständler hat es sich bewährt, klein anzufangen und beispielsweise mit der Einrichtung einer „Meldestelle“ für sicherheitsrelevante Vorfälle zu beginnen. Es gilt, einen klaren Ansprechpartner zu benennen, der entsprechende Ereignisse sammelt und weiter bearbeitet. Der Vorteil: Man gewinnt einen Überblick über sicherheitsrelevante Vorfälle und dokumentiert sie an zentraler Stelle.

2. Externes Know-how nutzen

Mittelständler haben oft nicht die Kapazitäten, benötigtes IT-Sicherheits-Know-how selbst aufzubauen und kontinuierlich weiterzuentwickeln. Aus diesem Grund sollten sie auf erfahrene Experten setzen, die sie als externe Dienstleister an Bord holen können.

3. Mitarbeiter sensibilisieren

Viele Bedrohungen für die IT-Landschaft lassen sich mit technischen Mitteln wie Firewall oder Antiviren-Software verringern. Aber nicht alle: Daher gilt es, die Mitarbeiter für Angriffsszenarien zu sensibilisieren, die eine Cyber-Attacke ausnutzen könnte: etwa CEO-Phishing-Mails, die vorgeben vom Chef zu sein. Mitarbeiter sollten auch wissen, wie sie mit dem Diebstahl eines Geschäfts-Notebooks oder mit Apps auf dem Firmen-Handy umzugehen haben.

4. Rechtlichen Rahmen prüfen

Für manche Branchen sind bestimmte Anforderungen an die IT-Sicherheit gesetzlich vorgegeben. Jedes Unternehmen muss daher prüfen, welche Regularien einzuhalten sind, um die eigenen Sicherheitsabläufe entsprechend umzusetzen.

5. Standards nutzen

An Standards für die IT-Sicherheit besteht national und international kein Mangel: So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem IT-Grundschutzhandbuch ein anerkanntes Regelwerk geschaffen. Die ISO/IEC-Reihe 27000 liefert Standards für die IT-Security, Reihe 38500 für die Corporate Governance und COBIT (Control Objectives for Information and Related Technology) bietet ein internationales Framework zur IT-Governance. Diese Vielfalt macht die Umsetzung nicht unbedingt einfacher. Aber um die Aufgabe, konkrete IT-Governance-Richtlinien und IT-Sicherheitsprozesse zu definieren, kommt niemand herum – und verfügbare Standards können hier eine Hilfe sein.

6. Eigene IT-Sicherheitsprozesse definieren

In kleinen wie in großen Unternehmen gilt es, klare Prozesse und Verantwortlichkeiten für den Umgang mit sicherheitsrelevanten Ereignissen zu schaffen. Hier sollten zunächst, die sensiblen Bereiche mit ihren Bedrohungsszenarien und Risiken identifiziert werden.

  • Welche Daten oder Abläufe gilt es besonders zu schützen?
  • Gibt es eine geheime Rezeptur gegen Industriespionage?
  • Oder muss der zentrale Webshop gegen Denial-of-Service-Attacken gewappnet werden?
  • Wie hoch ist der potentielle Schaden eines sicherheitsrelevanten Ereignisses?
  • Wer muss oder darf über einen Sicherheitsvorfall informiert werden, der eine höchst vertrauliche Angelegenheit betrifft?

Für die verschiedenen Bedrohungsszenarien sind klare IT-Sicherheitsprozesse festzulegen, die die Mitarbeiter im Umgang damit unterstützen.

7. Zentrales System für die Kommunikation

Für die Umsetzung der IT-Sicherheitsprozesse empfiehlt sich der Einsatz eines zentralen Systems, das alle Sicherheitsereignisse sicher dokumentiert und die zugehörige Kommunikation entsprechend unterstützt. Ticketing-Systeme wie beispielsweise von der OTRS AG sind hierfür geeignet: Sie fungieren als technisches Rückgrat der IT-Sicherheitsprozesse und unterstützen durchgängig die Kommunikation zu einem Vorfall und dokumentieren diese rechtssicher. Sie erlauben, spezifische Prozesse für die Bedrohungsszenarien zu definieren, Anwendern rollenbasierte Freigaben zu erteilen und ermöglichen verschlüsselte Kommunikation zwischen klar authentifizierten Nutzern.

8. IT-Sicherheit als kontinuierlicher Prozess

Einmal installiert, werden die IT-Sicherheitsprozesse zum alltäglichen Teil der Unternehmensabläufe, die kontinuierlich ausgebaut und weiterentwickelt werden. Unternehmen, die hier eigenes Know-how und sogenannte „Computer Emergency Response Teams (CERT)“ aufbauen wollen, sollten sich mit anderen Sicherheitsverantwortlichen vernetzen. Eine Möglichkeit bietet dazu der CERT-Verbund, eine nicht-kommerzielle Allianz deutscher Sicherheits- und Computer-Notfallteams mit über 40 Mitgliedern.

Bildquelle: Thinkstock / iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH