Sicherheit nach Plan
Der Grundschutzkatalog: Sicherheit nach Plan
Das Ingenieurbüro Behmer hätte nun eine schöne Liste: erstens ein RAID-System einrichten, zweitens den Händler zur schnellen Lieferung verpflichten und drittens regelmässig Prüfen, ob sich die Backups zurückspielen lassen. Was davon gemacht wird, entscheidet natürlich Herr Behmer, der Chef. Wie ist jedoch die Urlaubsvertretung für Herrn Meder geregelt? Dafür gibt es einen eigenen Baustein «Übergeordnete Aspekte». Dort finden sich unter «Personal» die «Vertretungsregelungen».
Ressourcen und Tools
Auf den ersten Blick klingt das nach viel Aufwand. Ein erfahrener Berater benötigt für eine Bestandsaufnahme jedoch nur zwei bis drei Tage. Dann kann er abschätzen, wie gut oder weniger gut es um die IT-Security der Firma bestellt ist. Allerdings ist der externe Berater gar nicht unbedingt erforderlich: Die IT-Grundschutzkataloge sind ausführlich genug, um von einem Sicherheitsbeauftragten selbstständig abgearbeitet zu werden. Jedoch hat ein externer Berater immer einen anderen Blickwinkel und kann unbefangener an die Untersuchung herangehen.
Das Anwenden der IT-Grundschutzkataloge unterstützt ausserdem ein Tool: Verinice (http://verinice.org) ist Open Source und in Java implementiert, also auf allen wichtigen Plattformen einsetzbar. Das Tool hilft, die Systeme zu erfassen, zu gruppieren und Massnahmen mit den verantwortlichen Personen festzulegen. Auch kann - als Fortschrittskontrolle - dokumentiert werden, welche Massnahmen umgesetzt wurden.
Mit den IT-Grundschutzkatalogen lässt sich ein Grossteil der Risiken von Computeranlagen in den Griff bekommen. Sowohl die Kataloge also auch das Tool Verinice sind kostenlos. IT-Sicherheit kann also einfach und kostengünstig sein. Fazit: Es gibt keine Ausreden mehr, sich nicht um eine vernünftige Security-Strategie zu kümmern.
Mit den IT-Grundschutzkatalogen lässt sich ein Grossteil der Risiken von Computeranlagen in den Griff bekommen. Sowohl die Kataloge also auch das Tool Verinice sind kostenlos. IT-Sicherheit kann also einfach und kostengünstig sein. Fazit: Es gibt keine Ausreden mehr, sich nicht um eine vernünftige Security-Strategie zu kümmern.
IT-Grundschutzkataloge
Die wichtigsten Bausteine
- Allgemeines: beschreibt Idee und Vorgehensweise
- Bausteinkatalog: unterteilt die Komponenten in übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen
- Gefährdungskatalog: enthält die Gefährdungen, zum Beispiel Brand, Ausspähen von Daten, Hardware-Ausfall
- Massnahmenkatalog: enthält Gegenmassnahmen etwa Brandschutz, Verschlüsselung und Ersatzgeräte
- Rollendefinition: Wer ist wofür zuständig?
Die wichtigsten Bausteine
- Allgemeines: beschreibt Idee und Vorgehensweise
- Bausteinkatalog: unterteilt die Komponenten in übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen
- Gefährdungskatalog: enthält die Gefährdungen, zum Beispiel Brand, Ausspähen von Daten, Hardware-Ausfall
- Massnahmenkatalog: enthält Gegenmassnahmen etwa Brandschutz, Verschlüsselung und Ersatzgeräte
- Rollendefinition: Wer ist wofür zuständig?
Hartmut Goebel