Es gibt nur wenige Wirtschaftstrends, deren Anspruch und Wirklichkeit derart weit auseinanderlaufen wie die jüngsten Entwicklungen zur IT-Sicherheit. Während die Schäden steigen, ist das Bewusstsein für IT-Sicherheit bei vielen Unternehmen wenig ausgeprägt: Schon die zahlreichen Begriffe wie Cyber-Security, Datensicherheit, Datenschutz, Informationssicherheit und die in den Markt drängenden Schutzprogramme und Analysetools erschweren die Orientierung. Je tiefer sich aber Produktions- und Lieferprozesse digital vernetzen, desto stärker steigen die Angriffsmöglichkeiten durch veraltete Technik, falsche Handhabung und Infektionen mit Schadsoftware.
Der rechtliche Rahmen um das Thema IT-Sicherheit ist im Gegensatz zu seinem breiten Anwendungsfeld relativ überschaubar. Bundesweit wird der sogenannte Grundschutz des Bundesamts für Sicherheit in der Informationstechnologie (BSI) empfohlen, als international anerkannter Standard die ISO/IEC 27001 mit ihren Regelwerken. Ergänzend zum gesamten Schutzbedarf gilt ab Mai 2018 die EU-Datenschutz-Grundverordnung (EU-DSGVO). Faktisch betrifft die Verordnung jeden Betrieb als sogenannten Auftragsdatenverarbeiter, sobald Kundendaten aufgenommen, verarbeitet oder bereitgestellt werden. Während der Gesetzgeber Schutzmaßnahmen verlangt, stehen beim Datenschutz vor allem organisatorische Maßnahmen wie die Sensibilisierung und Schulung von Mitarbeitern im Fokus. Eine weitere rechtliche Neuerung im Umfeld der Informationssicherheit ist das IT-Sicherheitsgesetz für Betreiber kritischer IT-Infrastrukturen (Kritis). Solche Branchen werden künftig gesetzlich verpflichtet sein, dem BSI einen Mindeststandard an IT-Sicherheit nachzuweisen. Für Netzbetreiber der Energiewirtschaft ist dies bereits der Fall. Bis zum Januar 2018 müssen sie die Zertifizierung nach DIN ISO/IEC 27001 gemäß dem IT-Sicherheitskatalog umsetzen, die Forderung an Wasserversorger wurde zum 1. August 2017 erlassen.
Die Regelungen für weitere Kritis-Betreiber stehen unmittelbar bevor. Die Sektoren Gesundheit, Ernährung, Finanz- und Versicherungswesen, Transport und Verkehr sowie IT und Telekommunikation sind alsbald zu erwarten. Auch wenn sich einige Erbringer von Dienstleistungen nicht als Betreiber einer kritischen IT-Infrastruktur sehen. In der gesamten Prozesskette der Leistungserbringung stehen sie jedoch als nachgelagerte Dienstleister oder Lieferanten mit Kritis-Betreibern sekundär oder tertiär im Austausch. Folglich steigt auch hinsichtlich der IT-Sicherheit ihr Handlungsdruck.
Das Mindestmaß an IT-Sicherheit
Wie aber erreichen Betriebe ein belastbares Mindestmaß an IT-Sicherheit? Bevor in technische Lösungen investiert wird, müssen vor allem grundlegende organisatorische Maßnahmen geklärt sein. Die Bandsicherung etwa nützt nichts, wenn sie verloren geht oder nicht verschlüsselt war. Erst das Ineinandergreifen von technischen und organisatorischen Maßnahmen schafft ein angemessenes Sicherheitsniveau.
Zunächst sollten nicht rein IT-spezifische Maßnahmen im Fokus stehen, sondern die Dokumentation von sensiblen und für die Kunden bedeutsamen Geschäftsprozessen aus dem Qualitätsmanagement. Die Verantwortlichen im Unternehmen müssen sich zuerst einen Überblick über die IT-Bestandteile der gesamten Prozesskette verschaffen, indem sie die Assets lückenlos erkennen. Das Mindestmaß an Dokumentationsanforderung ist für ein strukturiertes Sicherheitskonzept grundlegend, damit die Aktivitäten auf den nächsten Stufen nachvollziehbar und steuerbar werden.
Unternehmen, die bereits aufgrund von gesetzlichen Vorgaben oder Kundenanforderungen auf dem Weg sind, IT-Sicherheitsstandards einführen, sollten als Richtschnur die internationale Norm ISO/IEC 27001 zur Errichtung eines Informationssicherheits-Managementsystems (ISMS) in Blick nehmen. Die Regulierungspraxis zeigt, dass sich die aus unterschiedlichen Quellen speisenden vielfältigen Standards zunehmend an der global etablierten Norm angleichen.
Betriebe, die nicht so recht wissen, welche Inhalte die Norm fordert, jedoch eine erweiterte Basis für einen Zertifizierungsprozess legen wollen, sind die Grundlagen der IT Infrastructure Library (Itil) zu empfehlen. Zwar ist nirgends gefordert, Itil einzuführen. Jedoch umfasst diese Sammlung von Best-Practice-Vorschlägen alle erforderlichen Prozesse eines professionellen IT-Betriebs, die auch die Norm überwiegend fordert. Kernanforderung hierbei ist die Messbarkeit der Prozesse und die Ausrichtung auf kontinuierliche Verbesserungen, über Zielvereinbarungen, das Erkennen von Schwachpunkten bis zur Umsetzung von Service-Verbesserungen.
IT-Sicherheit lediglich auf technische Abwehrmaßnahmen zu reduzieren, greift zu kurz. Damit Organisationen in der Lage sind, kurzfristig reagieren zu können, müssen alle relevanten IT-Prozesse im permanenten Prozess erkannt, Leistungsparameter definiert, bewertet und dokumentiert werden. Nur so kann gezielt gegengesteuert werden. Damit ist IT-Sicherheit nicht als Firewall zu verstehen, sondern als integraler Bestandteil des Service- und Qualitätsmanagements.
Dokumentation für ein IT-Sicherheitsmanagementsystem:
- IT-Ziele und Informationssicherheitsziele, die aus den übergeordneten Unternehmenszielen abgeleitet sind
- Schutzbedarf und Risikomanagement der Unternehmenswerte und IT-Systeme
- Externe Vorgaben durch Gesetze, Regulatoren und Normen
- Interne Vorgaben und Richtlinien
- Vertragliche Verpflichtungen
- Anwendbarkeitserklärung
- Managementbewertung und Nachweis interner Audits
- Organigramm und gegebenenfalls die Berufung der „kompetenten“ Personen
Top 5 der IT-Bedrohungen:
- Infektion mit Schadsoftware über das Internet
- Einschleusen von Schadsoftware über Wechseldatenträger
- Social Engineering
- Menschliches Fehlverhalten
- Einbruch über Fernwartungszugänge