Unsere Webseite nutzt Cookies und weitere Technologien, um die Benutzerfreundlichkeit für Sie zu verbessern und die Leistung der Webseite und unserer Werbemassnahmen zu messen. Weitere Informationen und Optionen finden Sie in unserer Datenschutzerklärung.
Ok

IT Security: Das müssen Sie beim Sicherheitskonzept beachten

Ab einer gewissen Grösse einer Organisation ist es nicht mehr möglich, die Vorgaben und Vorgehensweisen bei Fragen der IT Security nur in den Köpfen der Verantwortlichen aus Management und Administration zu belassen – es muss ein schriftlich ausgearbeitetes Konzept her.

09.06.2022 Von: Lars Behrens
IT Security

IT Security – Dokumentierte Sicherheit ist besser als «gemerkte» Sicherheit

Namen sind bekanntlich Schall und Rauch, aber wir werden ein solches strukturiertes Dokument als Sicherheitskonzept bezeichnen. Aus diesem Sicherheitskon­zept können dann Richtlinien und Massnahmen abgeleitet werden, die nachvollziehbar umgesetzt werden müssen. Ohne ein solches schriftlich ausgearbeitetes Konzept ist die Gefahr gross, dass die Vorgaben zur Sicherheit nur unscharf in den Köpfen einiger Be­teiligter formuliert sind.

Anforderungen an ein Sicherheitskonzept

Die Ausarbeitung eines Sicherheitskonzepts ist eine Arbeit, bei der viele Teilaspekte in Bezug auf IT Security zu berücksich­tigen sind:

  • Absichern der Kommunikationswege im Fest- und Mobilnetz
  • Schutz des Netzwerks vor unerwünschten Eindringlingen
  • die Prüfung der Sicherheit von PCs und Servern
  • Richtlinien für die Nutzer
  • Schulung und Sensibilisierung der Nutzer
  • Updateroutinen
  • Sicherheit der Daten Festlegung, welche Daten als sensibel anzusehen sind

Erstellung eines Sicherheitskonzepts

Die vorangegangenen Betrachtungen konnten sicherlich einen ersten Überblick geben, worauf ein solches Konzept Rücksicht nehmen sollte.

Je nach Grösse und Struktur der Organisation ist das Sicherheitskonzept mehr oder weniger komplex und umfangreich. Damit bei seiner Erstellung auch an alle Aspekte gedacht wird, ist eine standardisierte Vorgehensweise sinnvoll. Am Beginn steht dabei eine eher abstrakte Vorgabe, die sich aus dem Ziel des Unternehmens oder der Behörde ableitet und «Sicherheitspolitik» oder «Sicherheitspolicy» genannt wird.

Aufgabe und Zielsetzung der IT Security definieren

Als Ausgangspunkt für die Ausarbeitung der Sicherheitspolitik dient in der Regel eine allgemeine Definition von Funktion und Aufgabe der Netzwerke und IT-Systeme. Dabei wird spezifiziert, welche Anforderungen an die IT Security und die Verfügbarkeit der ein­gesetzten Informationstechnologien zu erfüllen sind.

Ein Sicherheitskonzept besitzt eine allgemeine Zielsetzung, deren Inhalt wesentlich von den individuellen Gegebenheiten der betreffenden Organisationseinheit abhängt. Dabei muss die Policy technisch und ökonomisch sinnvoll realisierbar und die Umsetzung von der Geschäftsleitung sichergestellt sein.

Einsatzzweck und -ort spielen eine wichtige Rolle

Eine wichtige Rolle ist natürlich auch die Grösse und der Umfang des IT-Systems bzw. des Netzwerks eines Unternehmens, und natürlich das Metier. In Banken, Versicherun­gen, behördlichen und sozialen Einrichtungen besitzt die Sicherheit der Daten und der Kommunikation naturgemäss einen höheren Stellenwert als in den meisten kleinen und mittleren Betrieben oder etwa in Universitätseinrichtungen, sofern diese sich nicht gera­de mit der Forschung beschäftigen.

Ein weiteres Beispiel: Polizei und Militär sichern ihr Netzwerk üblicherweise sogar phy­sisch gegen den Zugang Unbefugter ab, indem sie etwa eine eigene WAN-Infrastruktur betreiben; es ist ja auch irgendwie schwerlich vorstellbar, dass das Büro der Kantonspo­lizei über einen herkömmlichen DSL-Anschluss mit der digitalen Welt verbunden ist.

Zusammenarbeit von IT-Abteilung und Management

PRAXISTIPP: Die inhaltliche Erarbeitung sollte in Absprache zwischen technischem IT-Personal und dem Management geschehen. Darüber hinaus muss festgelegt werden, wem die Auslegung der (schriftlich fixierten) Sicherheitspolitik im Einzelfall obliegt. Auch bei einer noch so detaillierten Beschreibung der einzelnen Ziele treten in der Praxis immer wieder Fälle auf, bei denen verschiedene Interpretationen möglich sind.

IT-Systemerfassung/Strukturanalyse

Die Erstellung des Sicherheitskonzepts beginnt bei der Feststellung des vorhandenen bzw. geplanten IT-Verbunds. Neben den Software-Anwendungen oder der Hardware sind hier z.B. auch die Räumlichkeiten der Server, vorhandene Gebäude und die spezifi­schen Rollen der Mitarbeiter zu erfassen. Ziel ist die Schaffung einer soliden Grundlage für die IT Security, in der alle sicherheitsrelevanten Parameter beschrieben sind.

Schutzbedarfs-Feststellung

Ist der IT-Verbund ausreichend dokumentiert, werden im zweiten Schritt die Daten be­wertet. Die Frage ist, wie wichtig welche der gespeicherten oder verarbeiteten Informati­onen sind. Hieraus leitet sich ab, ob z.B. Standardsicherheitsmassnahmen genügen oder weitergehende Aktionen erforderlich sind.

Basis-Sicherheitscheck

In diesem Schritt wird festgestellt, welche Sicherheits-
massnahmen der IT Security schon umgesetzt sind.

Modellierung nach IT-Grundschutz

Aus den erfassten Bestandsdaten zum IT-Verbund und den Anforderungen an die IT Security müssen nun die entsprechenden Sicherheitsmassnahmen zusammengetragen werden. Diese Abbildung des praktischen Umfelds auf die Einzelmassnahmen beschreibt die Modellierung anhand systematischer, kategorisierter Module.

Newsletter W+ abonnieren