Das Risiko sitzt vielfach noch immer in der Chefetage
Textgröße:  |
||
 |
verfasst von: Edmund E. Lindau | 22|8|2007 |
|
|
||
|
|
|
|
Ein grundlegendes Element im Sicherheitsprozess stellt das Vulnerability-Assessment dar. Es wird üblicherweise im Rahmen einer Risikoanalyse eingesetzt, um entsprechende Schwachstellen aufzudecken. Im laufenden Betrieb kann Vulnerability-Assessment zur Aufrechterhaltung der Sicherheit eingesetzt werden. Es übernimmt dabei eine Audit- und Überwachungsfunktion. Problematisch ist, dass die Netzwerke und Sicherheitslösungen vieler Unternehmen im Laufe der Jahre Stück für Stück relativ konzeptlos zusammengebastelt wurden, so dass Sicherheitslücken oftmals gar nicht registriert werden. Hilfreich sind hier so genannte Vulnerability-Scans, die umfassende Risikoanalysen der gesamten Netzwerk-Topographie ermöglichen und Sicherheitslücken aufdecken. Auf der Basis einer ersten Bestandsaufnahme kann dann ein umfassendes Sicherheitskonzept entwickelt werden. Die Sicherheitsüberprüfung einer Organisation muss die gesamte Unternehmensstruktur wie etwa interne und externe Netzwerke abdecken, dazu angeschlossene und drahtlose Geräte sowie alle wichtigen Netzwerkkomponenten – von Datenbanken und Routern bis hin zu den kundenspezifischen Web-Applikationen. Die Technik muss dabei in der Lage sein, auch sehr komplexe Organisationen mit verteilter Architektur abbilden zu können. Unternehmensnetzwerke verändern sich heutzutage fast stündlich, so dass fortlaufende Vulnerability-Assessments unbedingt erforderlich werden, um neu entstandene Lücken direkt aufzudecken. Solche kontinuierlichen Vulnerability-Assessments sind speziell für Unternehmen mit vielen Niederlassungen und unterschiedlichen Standorten unerlässlich, das heißt, mit sich ständig verändernden, dynamischen Netzwerken. Denn ein Unternehmensnetzwerk ist immer nur so sicher wie sein schwächstes Glied, und dieses muss identifiziert werden. Erkenntnisse aus diesen Scans müssen dann wieder in die verschiedenen Phasen des IT-Sicherheits-Prozesses einfließen. Security-Assessment – und sei es noch so präzise – macht nur dann Sinn, wenn die gefundenen Sicherheitslücken auch umgehend beseitigt werden. Nur ein solches in sich geschlossenes System nimmt Unternehmen sowohl das Aufdecken von Sicherheitslücken als auch die Beseitigung der gefundenen Risiken ab. Hier bieten sich automatisierte, kontinuierliche Sicherheitschecks von Netzwerken an, die mit einer speziellen Management-Technologie zur Behebung von Sicherheitslücken verbunden sind. Unternehmen werden auf diese Weise darin unterstützt, ihre Sicherheitsbemühungen nach Priorität zu gliedern, so dass sie ihre Ressourcen gezielt auf die Beseitigung der gravierendsten Risiken fokussieren können. DER CHEF IST RECHTLICH VERANTWORTLICH Wie aber kann der Chef sicherstellen, dass alle relevanten Geschäftsdaten zuverlässig gespeichert und wiederauffindbar sind, wenn er nicht eingehend mit der IT-Organisation vertraut ist? Selbstverständlich gehört ein gewisses Maß an Vertrauen in die IT-Verantwortlichen dazu. Aber bestimmte Fragen kann und muss die Unternehmensleitung selbst stellen. Der erste und wichtigste Schritt ist der Einsatz eines zuverlässigen Backups, um Daten und Applikationen regelmäßig zu sichern. Hand in Hand mit der Datensicherung gehen immer die Rücksicherung und Wiederherstellung, die dafür sorgen, dass im Fall eines Systemausfalls das Geschäft schnell und ohne Verlust wichtiger Informationen wieder aufgenommen werden kann. Mit ins Sicherheitskonzept einbezogen werden muss auch eine Datenarchivierungsstrategie, welche die vorschriftskonforme Aufbewahrung, die Regelung der Zugriffserlaubnis bis hin zur schnellen Datenbereitstellung auf Wunsch von Behörden oder internen Abteilungen umfasst. Archivierung ist keine reine IT-Frage mehr, sie involviert das ganze Unternehmen. Compliance Lexikon ist eine ständige Aufgabe, die immer wieder Anpassungen an geänderte Systeme und Prozesse erfordert. Dabei geht es nicht nur um neue Gesetze und Regulierungen, sondern auch um interne Vorgaben. Je mehr Geschäftsprozesse digital abgebildet und gespeichert werden, desto mehr Vorschriften zur digitalen Datenhaltung greifen. Desto höher ist aber auch das Risiko der Nichterfüllung bis hin zur Konsequenz von Strafen. Um dieses Risiko weitgehend auszuschalten, müssen Unternehmen zusätzlich ihre eigenen Compliance-Lexikon-Regeln aufstellen, die in der Hauptsache das Management des Datenbestands, die Unterstützung im Rechtsfall sowie Datenschutz/Zugangssicherheit betreffen. Das Zusammenstellen digitaler Unterlagen aus unorganisierten Datenbeständen kann zur Sisyphusarbeit werden und überdies hohe Kosten verursachen. Ein organisiertes Archiv hilft beim Einhalten von Fristen und lässt Zeit für weitere Vorbereitungen im Rahmen des Rechtsfalls. Der Einsatz von WORM-Medien (Write Once, Read Many) sorgt darüber hinaus dafür, dass wichtige Daten zwar nicht geändert oder gelöscht, aber dennoch schnell und einfach abgerufen werden können. EINE EINHEITLICHE STRATEGIE IST GEFRAGT Im Grunde bleibt Unternehmen nur eine Wahl: Sicherheitspolitik definieren, Sicherheitsstrategie aufsetzen und umsetzen. Technische Möglichkeiten, um Daten zu schützen, gibt es heute genügend. Die optimale Sicherheit bietet Daten starken Schutz, unabhängig von ihrem Lagerort oder den Systemen, über die sie laufen. Ein hohes Sicherheitsniveau wird erst dann erreicht, wenn Daten jederzeit geschützt werden können – egal ob sie in Bewegung sind oder nur mehr gelagert werden. Der erste Schritt ist die zuverlässige Sicherung der Daten auf Platte oder Band und deren ständige Verfügbarkeit, beziehungsweise im Fall eines Ausfalles die Möglichkeit, Daten und Systeme schnell wiederherzustellen und somit ein hohes Maß an Business Continuity zu gewährleisten. Im zweiten Schritt muss die Kombination und enge Integration traditioneller Sicherheitslösungen mit Primär-, Sekundär- und Archivspeichersystemen gegeben sein. Die Verschlüsselung von Daten bietet einen äußerst wirksamen und vor allem einfach umsetzbaren Schutz gegen unbefugte Zugriffe von extern und intern. Beim Verweis auf die hohen Kosten eines lückenlosen Konzepts lässt sich sofort eine Gegenrechnung aufmachen: Imageverlust, Auftragsrückgang, entgangene Gewinne, erneuter Image-Aufbau, Bußgelder, Schadenersatzforderungen und ähnliches lassen sich hochrechnen. Ein kompromissloses Sicherheitspaket ist dagegen fast eine Lappalie. Damit wird klar: Sicherheitsrisiken müssen vermieden werden – weshalb Datensicherheit Chefsache ist.
1 2
|
||
 |
|
|
