15.09.2005, 18:54 Uhr

Blindes Einsetzen von Massnahmen führt nicht zum Ziel

In einem kritischen, auf Vertraulichkeit, Integrität und Verfügbarkeit angewiesenen Informatikumfeld führt blindes Einsetzen von Massnahmen weder zu akzeptablen Kosten noch zu den angestrebten Sicherheitszielen.
Namhafte Hersteller von Software und Datennetzeinrichtungen, wie Microsoft und Cisco, knüpfen Beziehungen zur Hackerszene. Sicherlich nicht, um die Flut an Computerviren und -attacken zu beschleunigen, sondern um die Denkweise der bösen Black Hats und die Prinzipien der Malicious Codes besser verstehen zu können.
Dabei vergewissern sich diese Firmen der Unterstützung durch die ver-antwortungsbewussten «White Hats» oder, im Falle Microsofts, durch Blue Hats an einem eigens dafür eingerichteten zwei-tägigen Blue-Hat-Gipfel.
In einer Zeit von so genannten Zero Day Vulnerabilities, in welcher Sicherheits-firmen bereit sind, für die Preisgabe von Sicherheitslöchern in der Software wichtiger Hersteller zu bezahlen («Bugs for Bucks»), tragen sich IT-Anwender mit Fragen wie: Was können wir tun, wenn unsere Informationsobjekte immer mehr zum Spielball solcher Bedrohungen werden? Wie finden wir die richtige Ba-lance zwischen dem Aufwand zur Bekämpfung der Malicious-Code-Risiken und der zahlreichen anderen IT-Risiken? Wie können wir Risikoanalysen und Grundschutzmassnahmen in einem derart bewegten Bedrohungsumfeld einsetzen?

Auch KMU brauchen Schutz

Der Einsatz von Grundschutzmassnahmen kann auch in kleineren Unternehmen die Klärung der tatsächlichen Risiken nicht ersetzen. Zum Beispiel nützt der Einsatz einer Firewall bei der Notwendigkeit einer End-to-End-Chiffrierung reichlich wenig. Auch kann die regelmässige Auslagerung der Daten an einen zweiten Standort zu einem hohen Aufwand mit geringem Nutzen führen, wenn nicht die Art der Daten die Periodizität und die Güte der Sicher-stellung vorab geklärt wurden.
Ein kleines Unternehmen ist deshalb gut beraten, wenn es den Schutzbedarf der vorhandenen Informationsschutzobjekte und deren Bedrohungen unter fachmännischer Anleitung analysiert und bewertet.
Wie dies aus fast allen neueren Standards, beispielsweise Cobit 3rd Edition, ISO/IEC 17799, hervorgeht, gehören die Risikoanalyse und die -bewertung zu einer sachgerechten Massnahmenbestimmung und
damit zu einem konsequenten Risikomanagement-Prozess. Neuere Standards für das Risikomanagement zeigen, dass das Risiko sowohl analysiert als auch im Kontext des Untersuchungs- und Behandlungsgegenstandes bewertet werden muss. Gründe dafür sind beispielsweise das Abwägen der Risiken mit den Chancen oder das Einhalten der bestehenden gesetzlichen und regulatorischen Vorschriften.
Unternehmen mit hohen IT-Anforderungen werden sich fast zwangsläufig an den vorhandenen Standards, wie Cobit, ISO 17799 oder BSI-Grundschutzhandbuch orientieren, womit den Erfordernissen der Kunden, Gesetzgeber und Regulatoren weitgehend Rechnung getragen werden kann.
Die grossen spezifischen Risiken sind aber meist durch die Standardmassnahmen solcher Regelwerke nicht genügend abgedeckt. Mit grossen IT-Risiken gehen auch meist hohen Massnahmenkosten einher, deshalb sollten die IT-Risiko-Betrachtungen vorteilhaft in den gesamten Risikomanagement-Prozess des Unternehmens eingebunden werden.

Strategische Stossrichtungen

Die Telekurs Group unterhält einen solchen Gesamtrisikomanagement-Prozess, wobei dieser gleichzeitig in den rollenden Strategieprozess des Unternehmens eingeklinkt ist. Bei den jährlichen Ausarbeitungen der IT-Strategie werden unter anderem strategische Stossrichtungen für die IT-Sicherheitsmassnahmen definiert.
Als Kenngrössen und Messwerte für die Stossrichtungen der IT-Strategie dienen eine Auswahl von KGI (Key Goal Indicators) und KPI (Key Performance Indicators) des Cobit- Frameworks. Einige dieser Indikatoren verwendet Telekurs sodann als «Risk-Indikatoren» für die IT-Sicherheit.

Plötzliche Gefahren

Ein Teil der IT-Strategie ist einer unternehmensübergreifenden IT-Sicherheitsinfrastruktur gewidmet. Die Umsetzung der unternehmensweiten IT-Sicherheitsanforderungen und -ziele verifiziert die Telekurs-Gruppe mittels des ISO-Standards 17799. Als Beispiele können die Massnahmen
gegen Malicious Codes sowie das Vulnera-bility- und das Incident-Management an-geführt werden. Der Dynamik in der Bedrohungslage wird letztlich ein Erkennungs- und Eskalations-Prozess für plötzliche IT-Gefahren entgegengesetzt. In diesem Prozess beobachten ausgewiesene Fachleute in den Rollen von nebenamtlichen Scouts das plötzliche Auftreten von Bedrohungen oder das Bekanntwerden von Schwachstellen und sorgen für die Eskalation der Problemlösung. Für Ereignisse wie Zero Day Exploits steht das Unternehmen in engem Kontakt zur schweizerischen Melde- und Analysestelle Melani zu Banken, Lieferanten, Herstellern und anderen IT-Anwendern.

Sicherheitskonzept

e

Die IT-Infrastrukturen, -Plattformen und -Applikationen unterliegen Sicherheits-konzepten, die vor der Inbetriebnahme der Systeme vorgelegt und bewilligt sein müssen. Bei der Definition der Massnahmen
in diesen Sicherheitskonzepten leistet das BSI-Grundschutzhandbuch gute Dienste, wobei die im Sicherheitskonzept definier-ten Massnahmen an den im Sicherheitskonzept aufgezeigten Risiken orientiert sein müssen.
Über die Sicherheit des Einzelsystems hinaus tragen die Sicherheitskonzepte zur anforderungsgerechten Weiterentwicklung und Optimierung der IT-Sicherheitsinfrastrukturen bei. Zudem wird mittels einer ständig fortgeschriebenen Analyse über die Bedrohungslage die SicherheitsiInfrastruktur, beispielsweise Firewall-Zonen, Intrusion-Detection und Patching-Prozesse, an das aktuelle Bedrohungsumfeld angepasst.

Weitere Informatinen:

Security-Zone 05

Die Fachausstellun und Kongress zum Thema IT-Security findet am 21. und 22. September 2005, von
9 Uhr - 19 Uhr in Zürich-Oerlikon, Eventhallt 550. Der Eintritt ist gratis.
www.security-zone.info
Hans-Peter Königs



Das könnte Sie auch interessieren