Not­wen­dig­keit von Sich­er­heits­maßnah­men

Wer der Mei­nung ist, dass Hel­me für Mo­tor­rad­fahr­er oder Sich­er­heits­gur­te für Au­to­fah­rer nicht not­wen­dig sind, der muss auch kei­ne be­son­der­en Sich­er­heits­maß­nah­men im IT-Be­reich er­greif­en. Im All­ge­mein­en kann man sa­gen, dass der "ge­sun­de Men­schen­ver­stand" für den An­fang ein gu­ter Rat­ge­ber ist. Kom­men zu­sätz­liche Fak­to­ren wie IT-Ar­beits­plätze, neue Ab­rech­nungs­soft­ware, On­line-Be­stel­lung­en oder ei­gen­er Web­auf­tritt ins Spiel, hilft der an­ge­sproch­ene "ge­sun­de Men­schen­ver­stand" nur noch be­dingt wei­ter. Es wird ein­fach zu schwier­ig al­le Even­tu­al­i­tä­ten und die Kon­se­quen­zen ei­nes nicht vor­han­den­en Sich­er­heits­kon­zepts in gan­zem Um­fang zu über­blick­en. Wie sieht es aus, wenn an ei­nem Mitt­woch, vor­mit­tags, um 11.00 Uhr, Tei­le Ihrer IT-In­fra­struk­tur aus­fal­len? Gibt es Pro­ble­me bei Be­stel­lung­en, Lie­fer­ung­en, Kun­den­rück­fra­gen, On­line-Bank­ing, Ter­min­plan­ung, ...? Wenn Sie hier mit "Nein" ant­wor­ten kön­nen, dann in­for­mier­en Sie mich, und wir ori­en­tie­ren uns künf­tig an Ihrem IT-Kon­zept 😉

Schwach­stel­len­ana­ly­se

Im Nor­mal­fall (97% !) kann man aber auf die oben ge­stell­te Fra­ge nicht mit "Nein" ant­wor­ten. Auf den Punkt ge­bracht: es geht da­rum, Schwach­stel­len im Sys­tem zu fin­den, bevor die­se zu ei­nem ech­ten Pro­blem wer­den kön­nen! Im Mit­tel­punkt der Ana­ly­sen und Tests ste­hen fol­gen­de Fra­gen:
  1. Wel­che tech­ni­schen Schwach­stel­len ha­ben Ih­re IT-Sys­te­me und / oder Netz­werke und / oder Soft­ware?
  2. Wel­che "nicht-tech­ni­schen" Schwach­stel­len be­ste­hen im Um­gang mit Ihren IT-Sys­te­men?
  3. Wel­cher Scha­den kann ver­ur­sacht wer­den, wenn ein mö­glich­er An­grei­fer in Ihr IT-Sys­tem ein­dringt, oder Tei­le die­ses Sys­tems aus­fal­len?
  4. Wel­che Sich­er­heits­mech­an­is­men wer­den ein­ge­setzt, und wie wirk­sam sind die­se?
Es ist äuß­erst wich­tig, die­se Fra­gen ex­akt zu be­ant­wor­ten!

Kon­se­quen­zen sind lo­gisch

Was nutzt die bes­te Schwach­stel­len­ana­ly­se, wenn da­raus kei­ne Kon­se­quen­zen ge­zo­gen wer­den? Wel­che Schlüs­se aus ei­ner Schwach­stel­len­ana­ly­se ge­zo­gen wer­den, be­darf ei­nes klar de­fi­nier­ten Pro­zes­ses. Zu­nächst müs­sen fol­gen­de Punk­te be­wer­tet wer­den:
  • Han­delt es sich wirk­lich um ei­ne Schwach­stel­le?
  • Wo liegt der Ur­sprung der Schwach­stel­le?
  • Wie hoch ist das Ge­fähr­dungs­po­ten­zi­al die­ser Schwach­stel­le?
  • Wie schnell muss die Schwach­stel­le ge­schlos­sen wer­den?
  • Ist es über­haupt mö­glich die Schwach­stel­le zu schließen?
  • Mit welch­em Auf­wand ist die Schlie­ßung die­ser Schwach­stel­le ver­bun­den?
  • Wie kann die­se Lö­sung auf Dau­er ver­i­fi­ziert wer­den?
Bei al­len die­sen Über­le­gung­en soll­te man al­ler­dings nicht das "Auf­wand-Nut­zen-Ver­hält­nis" aus den Au­gen ver­lier­en.

Um­setz­ung ist er­for­der­lich

Auch wenn die rich­ti­gen Kon­se­quen­zen aus ei­ner Schwach­stel­len­ana­ly­se ge­zo­gen wer­den, schei­tert es oft da­ran, die ge­zo­gen­en Schlüs­se zeit­nah und in ver­ant­wort­ungs­vol­ler Wei­se um­zu­setz­en. Es wird nicht funk­ti­o­nier­en, das Sich­er­heits­ni­veau in­ner­halb ei­nes Ta­ges zu ma­xi­mier­en! Sehr wich­tig ist au­ßer­dem, dass der Ar­beits­ab­lauf, bzw. die tä­glich­en Ge­schäfts­pro­zes­se, durch die Um­setz­ung ei­nes Sich­er­heits­plan­es nicht be­las­tet oder ge­stört wer­den.

Wer ras­tet der ros­tet!

Ein ein­mal an­gepass­tes Sich­er­heits­sys­tem muss ab­schlie­ßend na­tür­lich auf sei­ne Wirk­sam­keit hin ge­tes­tet wer­den. Au­ßer­dem wer­den im­mer wie­der neue Sich­er­heits­lücken auf­ge­deckt, wo hin­ge­hend "alte" Be­dro­hungs­sze­na­ri­en aus dem Blick­feld ver­schwin­den oder ganz weg­fal­len. Wie auch bei an­de­ren tech­ni­schen Sys­tem­en muss von Zeit zu Zeit an ei­nem klei­nen Schräub­chen ei­ne Nach­jus­tier­ung bzw. eine Än­der­ung der Fein­ein­stel­lung ge­trof­fen wer­den. Die­ser Test soll re­gel­mä­ßig, aber in un­be­stimm­ten Zeit­abstän­den er­fol­gen. Nur so kann sich­er­ge­stellt wer­den, dass sich ein­e neue Sich­er­heits­lücke erst gar nicht bil­det, bzw. die­se zeit­nah ge­schlos­sen wer­den kann.

Zu­sam­men­fas­sung

die wich­tig­sten Punk­te:
  • IT-Sich­er­heit ist ein nicht zu un­ter­schätz­en­der As­pekt in ei­nem Un­ter­nehm­en, und nimmt schon jetzt eine zen­tra­le Rol­le ein
  • IT-Sich­er­heit zu er­rei­chen ist kein Pro­jekt!
  • IT-Sich­er­heit zu er­rei­chen ist ein sich fort­setz­en­der Pro­zess
  • Es gibt kei­ne 100% Sich­er­heit!
  • Pla­nung ist un­er­läss­lich
  • Ver­trau­en ist gut, Kon­trol­le ist bes­ser!
  • "IT-Sich­er­heit muss nicht teu­er sein ... es kann aber sehr teu­er wer­den, wenn man sich nicht da­rum küm­mert!"
© hs-bit.de 2020