Notwendigkeit von Sicherheitsmaßnahmen
Wer der Meinung ist, dass Helme für Motorradfahrer oder
Sicherheitsgurte für Autofahrer nicht notwendig sind, der muss auch
keine besonderen Sicherheitsmaßnahmen im IT-Bereich ergreifen.
Im Allgemeinen kann man sagen, dass der
"gesunde Menschenverstand"
für den Anfang ein guter Ratgeber ist.
Kommen zusätzliche Faktoren wie IT-Arbeitsplätze, neue
Abrechnungssoftware, Online-Bestellungen oder eigener Webauftritt ins
Spiel, hilft der angesprochene "gesunde Menschenverstand" nur noch
bedingt weiter. Es wird einfach zu schwierig alle Eventualitäten und die
Konsequenzen eines nicht vorhandenen Sicherheitskonzepts in ganzem
Umfang zu überblicken.
Wie sieht es aus, wenn an einem Mittwoch, vormittags, um 11.00 Uhr,
Teile Ihrer IT-Infrastruktur ausfallen? Gibt es Probleme bei
Bestellungen, Lieferungen, Kundenrückfragen, Online-Banking,
Terminplanung, ...? Wenn Sie hier mit "Nein" antworten können, dann
informieren Sie mich, und wir orientieren uns künftig an Ihrem
IT-Konzept 😉
Schwachstellenanalyse
Im Normalfall (97% !) kann man aber auf die oben gestellte Frage
nicht mit "Nein" antworten. Auf den Punkt gebracht: es geht darum,
Schwachstellen im System zu finden, bevor diese zu einem echten Problem
werden können!
Im Mittelpunkt der Analysen und Tests stehen folgende Fragen:
-
Welche technischen Schwachstellen haben Ihre IT-Systeme und / oder Netzwerke und / oder Software?
-
Welche "nicht-technischen" Schwachstellen bestehen im Umgang mit Ihren IT-Systemen?
-
Welcher Schaden kann verursacht werden, wenn ein möglicher Angreifer
in Ihr IT-System eindringt, oder Teile dieses Systems ausfallen?
-
Welche Sicherheitsmechanismen werden eingesetzt, und wie wirksam sind diese?
Es ist äußerst wichtig, diese Fragen exakt zu beantworten!
Konsequenzen sind logisch
Was nutzt die beste Schwachstellenanalyse, wenn daraus keine
Konsequenzen gezogen werden? Welche Schlüsse aus einer
Schwachstellenanalyse gezogen werden, bedarf eines klar definierten
Prozesses. Zunächst müssen folgende Punkte bewertet werden:
-
Handelt es sich wirklich um eine Schwachstelle?
-
Wo liegt der Ursprung der Schwachstelle?
-
Wie hoch ist das Gefährdungspotenzial dieser Schwachstelle?
-
Wie schnell muss die Schwachstelle geschlossen werden?
-
Ist es überhaupt möglich die Schwachstelle zu schließen?
-
Mit welchem Aufwand ist die Schließung dieser Schwachstelle verbunden?
-
Wie kann diese Lösung auf Dauer verifiziert werden?
Bei allen diesen Überlegungen sollte man allerdings nicht das "Aufwand-Nutzen-Verhältnis" aus den Augen verlieren.
Umsetzung ist erforderlich
Auch wenn die richtigen Konsequenzen aus einer Schwachstellenanalyse
gezogen werden, scheitert es oft daran, die gezogenen Schlüsse zeitnah
und in verantwortungsvoller Weise umzusetzen. Es wird nicht
funktionieren, das Sicherheitsniveau innerhalb eines Tages zu
maximieren! Sehr wichtig ist außerdem, dass der Arbeitsablauf, bzw. die
täglichen Geschäftsprozesse, durch die Umsetzung eines
Sicherheitsplanes nicht belastet oder gestört werden.
Wer rastet der rostet!
Ein einmal angepasstes Sicherheitssystem muss abschließend natürlich auf seine Wirksamkeit hin getestet werden.
Außerdem werden immer wieder neue Sicherheitslücken aufgedeckt,
wo hingehend "alte" Bedrohungsszenarien aus dem Blickfeld verschwinden
oder ganz wegfallen.
Wie auch bei anderen technischen Systemen muss von Zeit zu Zeit an
einem kleinen Schräubchen eine Nachjustierung bzw. eine Änderung der
Feineinstellung getroffen werden. Dieser Test soll regelmäßig, aber in
unbestimmten Zeitabständen erfolgen. Nur so kann sichergestellt werden,
dass sich eine neue Sicherheitslücke erst gar nicht bildet, bzw. diese
zeitnah geschlossen werden kann.
Zusammenfassung
die wichtigsten Punkte:
-
IT-Sicherheit ist ein nicht zu unterschätzender Aspekt in einem Unternehmen, und nimmt schon jetzt eine zentrale Rolle ein
-
IT-Sicherheit zu erreichen ist kein Projekt!
-
IT-Sicherheit zu erreichen ist ein sich fortsetzender Prozess
-
Es gibt keine 100% Sicherheit!
-
Planung ist unerlässlich
-
Vertrauen ist gut, Kontrolle ist besser!
-
"IT-Sicherheit muss nicht teuer sein ... es kann aber sehr teuer werden, wenn man sich nicht darum kümmert!"
© hs-bit.de 2020