Die IT-Infrastruktur eines Unternehmens ist Rückgrat und Achilles Ferse zugleich. Egal ob Mittelständler oder Großunternehmen – IT-Security ist für jedes Unternehmen ein Thema. Aber nicht jedes Unternehmen hat auch die fachliche Kraft, um die Sicherheit des eigenen IT-Systems zu überprüfen und zu verbessern. Damit aber auch KMUs das notwendige Know-How erhalten, können sie auf externe Kompetenz zurückgreifen. Berater analysieren den Stand des Sicherheitssystems, suchen nach Lücken und schlagen dann individuelle Maßnahmen zur Verbesserung vor.
Manch ein mittelständischer IT-Leiter sieht sich an seinem Arbeitsplatz einer Aufgabenstellung gegenüber, die wie die Quadratur des Kreises anmutet: Einerseits ist das Tagesgeschäft stark von der Informationstechnik abhängig, die Produktionsverfahren und Geschäftsprozesse stützt. Andererseits ist die Anzahl seiner Mitarbeiter in diesem Bereich zu knapp, und die eigentlich dringend notwendige Verantwortlichkeit für die Informationssicherheit kann deshalb nicht besetzt werden.
„Mut zur Lücke“ kann da nicht die geeignete Strategie sein, denn 82 Prozent aller Mittelständler haben einer Studie des Marktforschungsinstituts IDC zufolge bereits Erfahrungen mit Angriffen auf ihre IT-Sicherheit gemacht. Nicht von ungefähr gehören heute technische Lösungen mit Firewalls und Softwareprodukten gegen Viren und Spam zur Basis jeder IT-Architektur. Doch um das Sicherheitsniveau zu optimieren, sind darüber hinaus verstärktes Schwachstellenmanagement, erhöhte Sensibilität durch Sicherheitsrichtlinien und die Zertifizierung eigener Lösungen sinnvoll.
Um die unternehmenseigene IT-Administration hier zu entlasten, wollen zukünftig 76 Prozent der von IDC befragten Unternehmen auf externe Dienstleister zurückgreifen. Denn die Unsicherheit ist groß: Wie lässt sich der aktuelle Sicherheitsstatus überhaupt bewerten? Wo liegen unsere Schwächen? Wo setzt man zuerst an, und welche Maßnahmen sind nicht nur sinnvoll, sondern auch effizient?
Deshalb ist vor allem produktunabhängige, pragmatische Beratung gefragt, die Unternehmen eine umfassende Übersicht über den Stand der eigenen Informationssicherheit verschafft. Grundsätzlich hat sich dafür in der Praxis eine Kurzanalyse bewährt, die sich an den Standards ISO 17799:2005 / 27001 und an praktischen Erfahrungen orientiert. Ein umfassender Sicherheits-Check besteht aus sechs einzelnen Schritten: Audit-Workshop, Security Scan, Befragungen, Begehung, Risikodiskussion und Maßnahmenplanung.
Am Anfang steht das Audit
Die Analyse startet mit einem Audit-Workshop. An ihm nehmen Verantwortungs- und Know-how-Träger des Unternehmens teil, wie Vertreter der Geschäftsleitung, der IT-Leiter, Verantwortliche des Daten-, Brand- und Gebäudeschutzes und ein „normaler“ PC-Nutzer, z. B. ein Sachbearbeiter. Nützlich sind auch die Erfahrungen von Vertretern aus Betriebsrat, Personalabteilung und Werkschutz – aus Effektivitätsgründen sollten jedoch nicht mehr als 5 bis 7 Teilnehmer anwesend sein.
Inhalt des Workshops ist der Austausch über den Stand der Informationssicherheit. Die Befragten erhalten hier die Chance, den Sicherheitsstatus des Unternehmens zu definierten Themenkomplexen darzustellen. Nicht selten werden ihnen dabei Schwerpunkte bewusst, die bisher nur am Rande wahrgenommen wurden. Setzten die Berater während des Audits entsprechende Tools ein, so kann bereits am Ende des Workshops der erste Eindruck vom Sicherheitsstatus des Unternehmens grafisch und als Scorecard präsentiert werden. Auf diese Weise werden schon nach sehr kurzer Zeit Defizite etwa in Sicherheitsmanagement und -politik, aber auch im Zugriffsrechte- und Notfallmanagement erkennbar.
Im Nachgang dazu kann – in zwei unterschiedlichen Varianten – ein „Security Scan“ durchgeführt werden. Bei der Variante des „Blackbox-Tests“ übernimmt der Auditor quasi die Rolle eines externen Hackers. Er erhält nur minimale Informationen über das Angriffsziel – wie sie beispielsweise auf einer üblichen Visitenkarte zu finden sind – und nutzt das Internet als Medium für den fingierten Angriff. Bei der Variante des internen „Whitebox-Tests“ bekommt der Auditor Zugang zum internen LAN sowie umfassende Informationen über die zu überprüfenden Systeme und deren Konfiguration sowie der Sicherheitsarchitektur und Organisation. Die Ergebnisse dieses „Security Scans“ fließen dann konsolidiert in die Gesamtauswertung der Kurzanalyse ein.
Die bisherigen Erkenntnisse werden nun für die Befragungen von Geschäftsleitung, IT-Personal und Vertretern der Belegschaft herangezogen. Ziel dieser vertraulichen Einzelgespräche ist es, einen Eindruck des Status Quo und der üblichen Verhaltensweisen zu bekommen. So sollte etwa die Handhabung von Passwörtern gezielt hinterfragt werden: Wie wird ihre Qualität organisatorisch abgesichert? Und wie geschieht dies technisch? Werden in den Domänen-Regeln Einstellungen vorgenommen, die den Anwender zur Verwendung komplexer Passworte zwingen? Hier kommt es nicht selten zu der Erkenntnis, dass Anwender den Umgang mit Passwörtern ganz anders handhaben, als dies der Administrator eigentlich vorgesehen hat.
Betriebsblindheit überwinden
Am Hauptsitz des Unternehmens sollte danach eine Begehung durchgeführt werden, bei der Bereiche wie Rechner- und sensible Produktionsräume, Büros von Mitarbeitern, Eingänge und Flure sowie Standorte von zentralen Druckern etc. per Augenschein auf Sicherheitsdefizite geprüft werden. Hierbei liegt der Schwerpunkt auf Sicherheit der Infrastruktur und des Zutrittssystems zu sensiblen Bereichen, auf Brandschutz und der sicheren Verwahrung von vertraulichen Dokumenten in Büros und an gemeinschaftlich genutzten Stellen. Alle festgestellten Schwachstellen werden fotografiert und anschließend der Dokumentation beigefügt. Der Nutzen dieser Überprüfung ist für das Unternehmen so offensichtlich wie die allgemeine „Betriebsblindheit“, die derartige Sicherheitslücken leicht übersehen lässt.
In der Ergebnisdokumentation sollte jede einzelne festgestellte Schwachstelle aufgelistet, vom Berater durch Prüfen gegen Standards und Best Practices bewertet und mit einer speziellen Handlungsempfehlung versehen werden. Ziel ist es, diese Maßnahmen differenziert und gleichzeitig für das Unternehmen machbar zu definieren.
Dieses Dokument bildet die Grundlage der anschließenden Risikodiskussion. Sie ist notwendig, weil Schwachstellen nicht immer mit hohen Risiken verbunden sein müssen. Erst aus der Bestimmung potenzieller Auswirkungen und der Wahrscheinlichkeit des Eintritts eines Ereignisses ergibt sich die Höhe des Risikos. Und nur wenn man sie kennt, lassen sich Maßnahmen wirtschaftlich beurteilen und auswählen. Da hier auch die unternehmensspezifische Risikostrategie eine Rolle spielt, werden in einer Diskussionsrunde deshalb die Vorgehensweise zur Risikobewertung abgestimmt und gemeinsam reaktive und proaktive Maßnahmen zur Risikominimierung abgeleitet.
Diese gemeinsame Bewertung bildet die Grundlage für den nun zu erstellenden Maßnahmenplan. In ihm werden zunächst die definierten Maßnahmen gemeinsam konsolidiert und gebündelt, anschließend priorisiert und schließlich in einem zeitlichen Stufenplan (Roadmap) festgelegt. Hier wird der Nutzen für das Unternehmen am deutlichsten: Das Vorgehen zur Verbesserung des aktuellen Informationssicherheitsstatus wird kurz-, mittel- und langfristig definiert. Für die Zukunft können Budget- und Personalplanungen direkt auf diese Vorlage abgestimmt werden. Geschäftsführung, Sicherheitsverantwortliche und IT-Management können diese Strategie direkt als eigene Handlungsgrundlage nutzen.
Sicherheitsmanagement als Prozess begreifen
Durch die Abarbeitung dieser sechs Schritte erhält ein Unternehmen in kürzester Zeit eine Übersicht über den Status der eigenen Informationssicherheit, einen individuellen Maßnahmenplan und damit eine Grundlage für Budget- und Personalplanungen. Damit ist der Startpunkt für einen Sicherheitsmanagementprozess gesetzt, gleichzeitig aber auch ein kritischer Punkt erreicht. Denn in dem Bewusstsein der Mitwirkenden und der Verantwortlichen im Unternehmen, mit Analyse und Maßnahmenplan einen wichtigen Schritt zur Verbesserung des eigenen Sicherheitsniveaus getan zu haben, kann das übliche Tagesgeschäft gute Vorsätze sehr schnell blockieren. Deshalb kommt es für die meisten Mittelständler darauf an, neben der künftigen Sicherheitspolitik auch einen Verantwortlichen festzulegen.
Dessen Rolle sollte nicht unterschätzt werden: Als Beauftragter der Geschäftsleitung erstattet er ihr regelmäßig Bericht über den Sicherheitsstatus, aktuelle Probleme und gegebenenfalls Sicherheitsvorfälle. Er nimmt Einfluss auf Projektentscheidungen, erarbeitet Vorlagen und ist – beispielsweise bei Einstellungsverträgen und Sensibilisierungsmaßnahmen – auch Ansprechpartner für Personalfragen.
Von der – aus verständlichen Motiven – häufig praktizierten Entscheidung, hierfür den IT-Leiter einzusetzen, kann man allerdings nur abraten – denn damit ist ein Interessenkonflikt vorprogrammiert. Nicht von ungefähr empfiehlt der ISO-Standard 27001 hier die Trennung der Zuständigkeiten sowie die unabhängige Überprüfung der Informationssicherheit. Wichtig ist zudem, dass der Sicherheitsverantwortliche bei seinen Aktivitäten stets von Seiten des Managements unterstützt wird. Nur auf diese Weise wird ein Sicherheitsprozess eingeleitet, der wirklich von Dauer ist.
Checkliste: Organisatorischen Schwachstellen auf der Spur
1. Gibt es Dokumente, die aus strategischer und organisatorischer Sicht Leitlinien zur Informationssicherheit festlegen?
2. Wurden dedizierte Verantwortlichkeiten für Informationssicherheit festgelegt?
3. Existieren Regelwerke, vor allem Richtlinien für die Sensibilisierung der Mitarbeiter (z. B. für den sicheren Umgang mit dem PC bzw. bei der Nutzung des Internets)?
4. Werden vertrauliche Dokumente und Daten klassifiziert (z. B. „Vertraulich“, „Nur zum internen Gebrauch“)?
5. Wird der Prozess der Berechtigungsvergabe in der IT dokumentiert?
6. Gibt es eine Notfall-Konzeption bzw. -Pläne für sensible Systeme?
7. Ist ein IT-Sicherheitskonzept vorhanden, oder gibt es nur Teillösungen wie Firewall und Virenschutz?
8. Wie ist es um die Infrastruktur des Rechnerraums bestellt, der häufig zum Beispiel aus einem ehemaligen Büro entstanden ist?
9. Wurden sensible Server „gehärtet“? Befindet sich das Betriebssystem noch im Auslieferungszustand? Werden Kennungen mit Standardpasswort vergeben?
10. Ist das Datennetz flach strukturiert? Existieren Sicherheitszonen und virtuelle Netzwerke (VLANs)? Gibt es Routing auf Basis des Internet-Protokolls (IP)?
