07.07.2005, 09:07 Uhr
IT-Sicherheit dank Standards
Diese Woche beantwortet Gerlach die Leserfrage zum Thema IT-Security in einem Unternehmen.
(Illustration: cw/thü)
Frage: Die IT-Sicherheit ist auch eine aus zahlreichen Gesetzen resultierende Anforderung. Wie kann ein IT-Leiter seine diesbezüglichen Sorgfaltspflichten nachweisbar und nachhaltig erfüllen?
Je stärker die Unternehmen von der IT durchdrungen werden, umso mehr nimmt auch der Gesetzgeber Einfluss auf diese Entwicklung. Nationale und internationale Gesetze und Verordnungen betreffen in letzter Konsequenz insbesondere auch die persönliche Sorgfaltspflicht der IT-Leiter. Ob gegenüber der Geschäftsleitung, Wirtschaftsprüfern oder Behörden - IT-Leiter müssen glaubhaft den Nachweis erbringen können, alle notwendigen Massnahmen zum Schutz von Daten und IT-Systemen getroffen zu haben. Zu diesem Zweck empfiehlt sich die Umsetzung von IT-Sicherheitsstandards im Unternehmen. Doch welcher Standard ist für den genannten Zweck am dienlichsten? Generell kommen Standards wie ITIL, Cobit, ISO 17799/BS7799 und das IT-Grundschutzhandbuch in Frage, weil sie unter anderem bzw. insbesondere Themen des IT-Managements adressieren. Jedoch unterscheiden sich diese Standards bezüglich des fokussierten Wirkungsbereiches und bezüglich der Möglichkeit einer Zertifizierung.
Bezugnehmend auf die Anforderung, die Sorgfaltspflichten im Umfeld der IT-Sicherheit nachweisbar zu erfüllen, spielt natürlich eine anerkannte Zertifizierung eine wichtige Rolle. Um die geforderte Nachhaltigkeit zu realisieren, sollte durch die Umsetzung des Standards vor allem ein IT-Sicherheitsprozess in Gang gebracht werden, der die Implementierung und Aufrechterhaltung des IT-Sicherheitsmanagements umfasst. Es ist in diesem Zusammenhang festzustellen, das die vielzitierten technischen Sicherheitslücken innerhalb von IT-Systemen in Wirklichkeit nur Symptome sind, deren Ursachen in mangelndem Sicherheitsmanagement zu suchen sind, was wiederum in direktem Wege zur Sorgfaltspflicht der IT-Leitung führt. Innerhalb der aufgeführten Standards ist im Besonderen das IT-Grundschutzhandbuch (IT-GSHB) des BSI (Deutsches Bundesamt für Sicherheit in der Informationstechnik) im Stande, die genannte Nachweisbarkeit und Nachhaltigkeit zu leisten.
Das IT-GSHB beschreibt eine strukturierte Vorgehensweise zur Etablierung eines kontinuierlichen IT-Sicherheitsprozesses, begonnen bei der Formulierung einer übergeordneten IT-Sicherheitsleitlinie, über die Definition von Verantwortlichkeiten bis hin zu den technischen Massnahmen für die Sicherheit einzelner IT-Komponenten. Basis für die Umsetzung ist eine Sicherheitsanalyse, die auch
in Form eines «Selbstaudits» durchgeführt werden kann und in konkreten Sicherheitskonzepten mündet. Die umfassende Beschreibung der Abläufe und Massnahmen in Verbindung mit einer ausgezeichneten Hilfestellung in Form von Vorlagen und einer speziellen Software (GSTool) zur Umsetzung, bilden dabei einen greifbaren Vorteil für den Anwender. Einsteiger sollten sich von dem daraus resultierenden Umfang des IT-GSHB mit mehr als 2900 Seiten nicht abschrecken lassen. Es ist strukturiert aufgebaut und die Inhalte der einzelnen Massnahmenkataloge werden nur bei einem tatsächlichen Bezug auf die individuellen Gegebenheiten des Unternehmens relevant. Dennoch ist der Umsetzungsaufwand für das Unternehmen keinesfalls zu unterschätzen. Dieser variiert in Abhängigkeit vom individuell vorherrschenden Ist-Zustand und von den anvisierten -Sicherheitszielen. Bezüglich dieser Ziele sollten im Vorfeld alle anderen relevanten Standards in die Überlegungen mit einbezogen werden. Eine komplette Übersicht zu den in Frage kommenden Sicherheitsstandards hat die BITKOM (www.bitkom.org) erstellt.
in Form eines «Selbstaudits» durchgeführt werden kann und in konkreten Sicherheitskonzepten mündet. Die umfassende Beschreibung der Abläufe und Massnahmen in Verbindung mit einer ausgezeichneten Hilfestellung in Form von Vorlagen und einer speziellen Software (GSTool) zur Umsetzung, bilden dabei einen greifbaren Vorteil für den Anwender. Einsteiger sollten sich von dem daraus resultierenden Umfang des IT-GSHB mit mehr als 2900 Seiten nicht abschrecken lassen. Es ist strukturiert aufgebaut und die Inhalte der einzelnen Massnahmenkataloge werden nur bei einem tatsächlichen Bezug auf die individuellen Gegebenheiten des Unternehmens relevant. Dennoch ist der Umsetzungsaufwand für das Unternehmen keinesfalls zu unterschätzen. Dieser variiert in Abhängigkeit vom individuell vorherrschenden Ist-Zustand und von den anvisierten -Sicherheitszielen. Bezüglich dieser Ziele sollten im Vorfeld alle anderen relevanten Standards in die Überlegungen mit einbezogen werden. Eine komplette Übersicht zu den in Frage kommenden Sicherheitsstandards hat die BITKOM (www.bitkom.org) erstellt.
www.gsmm.de
Holger Gerlach