09.08.2017

IT Security: Das müssen Sie beim Sicherheitskonzept beachten

Ab einer gewissen Grösse einer Organisation ist es nicht mehr möglich, die Vorgaben und Vorgehensweisen bei Fragen der Sicherheit nur in den Köpfen der Verantwortlichen aus Management und Administration zu belassen – es muss ein schriftlich ausgearbeitetes Konzept her.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
IT-Security

Dokumentierte Sicherheit ist besser als «gemerkte» Sicherheit

Namen sind bekanntlich Schall und Rauch, aber wir werden ein solches strukturiertes Dokument als Sicherheitskonzept bezeichnen. Aus diesem Sicherheitskon­zept können dann Richtlinien und Massnahmen abgeleitet werden, die nachvollziehbar umgesetzt werden müssen. Ohne ein solches schriftlich ausgearbeitetes Konzept ist die Gefahr gross, dass die Vorgaben zur Sicherheit nur unscharf in den Köpfen einiger Be­teiligter formuliert sind.

Anforderungen an ein Sicherheitskonzept

Die Ausarbeitung eines Sicherheitskonzepts ist eine Arbeit, bei der viele Teilaspekte zu berücksich­tigen sind:

  • Absichern der Kommunikationswege im Fest- und Mobilnetz
  • Schutz des Netzwerks vor unerwünschten Eindringlingen
  • die Prüfung der Sicherheit von PCs und Servern
  • Richtlinien für die Nutzer
  • Schulung und Sensibilisierung der Nutzer
  • Updateroutinen
  • Sicherheit der Daten Festlegung, welche Daten als sensibel anzusehen sind

Erstellung eines Sicherheitskonzepts

Die vorangegangenen Betrachtungen konnten sicherlich einen ersten Überblick geben, worauf ein solches Konzept Rücksicht nehmen sollte.

Je nach Grösse und Struktur der Organisation ist das Sicherheitskonzept mehr oder weniger komplex und umfangreich. Damit bei seiner Erstellung auch an alle Aspekte gedacht wird, ist eine standardisierte Vorgehensweise sinnvoll. Am Beginn steht dabei eine eher abstrakte Vorgabe, die sich aus dem Ziel des Unternehmens oder der Behörde ableitet und «Sicherheitspolitik» oder «Sicherheitspolicy» genannt wird.

Aufgabe und Zielsetzung definieren

Als Ausgangspunkt für die Ausarbeitung der Sicherheitspolitik dient in der Regel eine allgemeine Definition von Funktion und Aufgabe der Netzwerke und IT-Systeme. Dabei wird spezifiziert, welche Anforderungen an die Sicherheit und die Verfügbarkeit der ein­gesetzten Informationstechnologien zu erfüllen sind.

Ein Sicherheitskonzept besitzt eine allgemeine Zielsetzung, deren Inhalt wesentlich von den individuellen Gegebenheiten der betreffenden Organisationseinheit abhängt. Dabei muss die Policy technisch und ökonomisch sinnvoll realisierbar und die Umsetzung von der Geschäftsleitung sichergestellt sein.

Einsatzzweck und -ort spielen eine wichtige Rolle

Eine wichtige Rolle ist natürlich auch die Grösse und der Umfang des IT-Systems bzw. des Netzwerks eines Unternehmens, und natürlich das Metier. In Banken, Versicherun­gen, behördlichen und sozialen Einrichtungen besitzt die Sicherheit der Daten und der Kommunikation naturgemäss einen höheren Stellenwert als in den meisten kleinen und mittleren Betrieben oder etwa in Universitätseinrichtungen, sofern diese sich nicht gera­de mit der Forschung beschäftigen.

Ein weiteres Beispiel: Polizei und Militär sichern ihr Netzwerk üblicherweise sogar phy­sisch gegen den Zugang Unbefugter ab, indem sie etwa eine eigene WAN-Infrastruktur betreiben; es ist ja auch irgendwie schwerlich vorstellbar, dass das Büro der Kantonspo­lizei über einen herkömmlichen DSL-Anschluss mit der digitalen Welt verbunden ist.

PRAXISTIPP
Die inhaltliche Erarbeitung sollte in Absprache zwischen technischem IT-Personal und dem Management geschehen. Darüber hinaus muss festgelegt werden, wem die Auslegung der (schriftlich fixierten) Sicherheitspolitik im Einzelfall obliegt. Auch bei einer noch so detaillierten Beschreibung der einzelnen Ziele treten in der Praxis immer wieder Fälle auf, bei denen verschiedene Interpretationen möglich sind.

Zusammenarbeit von IT-Abteilung und Management

IT-Systemerfassung/Strukturanalyse

Die Erstellung des Sicherheitskonzepts beginnt bei der Feststellung des vorhandenen bzw. geplanten IT-Verbunds. Neben den Software-Anwendungen oder der Hardware sind hier z.B. auch die Räumlichkeiten der Server, vorhandene Gebäude und die spezifi­schen Rollen der Mitarbeiter zu erfassen. Ziel ist die Schaffung einer soliden Grundlage, in der alle sicherheitsrelevanten Parameter beschrieben sind.

Schutzbedarfs-Feststellung

Ist der IT-Verbund ausreichend dokumentiert, werden im zweiten Schritt die Daten be­wertet. Die Frage ist, wie wichtig welche der gespeicherten oder verarbeiteten Informati­onen sind. Hieraus leitet sich ab, ob z.B. Standardsicherheitsmassnahmen genügen oder weitergehende Aktionen erforderlich sind.

Basis-Sicherheitscheck

In diesem Schritt wird festgestellt, welche Sicherheitsmassnahmen schon umgesetzt sind.

Modellierung nach IT-Grundschutz

Aus den erfassten Bestandsdaten zum IT-Verbund und den Anforderungen an die IT-Sicherheit müssen nun die entsprechenden Sicherheitsmassnahmen zusammengetragen werden. Diese Abbildung des praktischen Umfelds auf die Einzelmassnahmen beschreibt die Modellierung anhand systematischer, kategorisierter Module.

Weitere detaillierte Angaben zum Sicherheitskonzept erhalten Sie demnächst in unserer InformatikPraxis Online Lösung.

Quelle: www.linbit.com

MaLiWi IT

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Datenschutz perfekt im Griff

    Datenschutz perfekt im Griff

    So erstellen Sie unkompliziert Ihre individuelle Datenschutz-Dokumentation.

    Mehr Infos

  • Die wichtigsten IT-Vertragsvorlagen

    Die wichtigsten IT-Vertragsvorlagen

    Über 100 IT-Vertragsvorlagen, Checklisten und Arbeitshilfen auf praktischem USB-Stick.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Compliance und Wettbewerbsrecht für Profis mit Prof. Dr. Patrick Krauskopf

    Neuste Entwicklungen und aktuelle Rechtspraxis

    Nächster Termin: 09. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internationale Vertragsgestaltung für Profis mit Prof. Dr. Patrick Krauskopf

    Rechtssichere Verhandlungen und Verträge auf internationalem Parkett

    Nächster Termin: 16. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 16. November 2017

    mehr Infos