Standards für den Hochsicherheitsbereich Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


01.12.2011 Edmund E. Lindau

Standards für den Hochsicherheitsbereich

Das Raiffeisen Rechenzentrum Süd sichert seine Webdienste nach ISO 27001, um einen Nachweis für die Umsetzung der drei Säulen der Informationssicherheit "Vertraulichkeit, Integrität und Verfügbarkeit" von unabhängiger Stelle zu erhalten.

Im Bankenbereich werden für die verpflichtenden jährlichen IT-Prüfungen technische Regelwerke wie Cobit oder SAS 70 eingesetzt. Damit ergeben sich im Raiffeisen Rechenzentrum Süd aktuell inhaltliche Synergien von rund 75 Prozent, um auch den übergreifenden Aspekt der Informationssicherheit nach ISO 27001 abzudecken.

Der internationale Standard gewährleistet über die rein technische IT-Sicherheit hinaus auch den umfassenden Schutz von Informationen – egal ob auf dem Schreibtisch, am Laptop oder in den Köpfen der Mitarbeiter. Auch zum Thema Websicherheit bietet ISO 27001 einen ganzheitlichen Zugang: Mit ihrem Prozessdenken ermöglicht die Norm das effiziente Abbilden von Sicherheitsprozessen über Abteilungs- und Unternehmensgrenzen hinaus. Diese Sichtweise ist etwa beim Hosting von Kundenapplikationen erforderlich.

KRITISCHE WEBZUGÄNGE Das Raiffeisen Rechenzentrum Süd ist verantwortlich für den vollumfänglichen Betrieb der IT-Infrastruktur der steirischen Raiffeisen Bankengruppe. Ziel ist es, durch die ISO-27001-Zertifizierung einen international gültigen Nachweis für die erfolgreiche Umsetzung der drei Säulen in der Informationssicherheit »Vertraulichkeit / Integrität / Verfügbarkeit« von unabhängiger Stelle zu erhalten. »Im Bereich Websicherheit haben wir definiert, dass alle über Internet zugänglichen Dienste wie Mailserver, FTP-Server oder Webapplikationen per se dem Hochsicherheitsbereich zuzurechnen sind«, erklärt IT-Security Officer Markus Hefler.

RISIKEN UND BUSINESS-ZIELE Im Rahmen der gemäß ISO 27001 durchzuführenden Risikoanalyse wurden sämtliche IT-Komponenten, die zur Bereitstellung von Internet Services verwendet werden, als sicherheitskritisch eingestuft. »Grund dafür ist die Tatsache, dass diese Systeme rund um die Uhr Angriffen von beliebigen Systemen weltweit ausgesetzt sind«, betont Raiffeisen-Rechenzentrum-Süd-Geschäftsführer Dietmar Schlar. Die Art und Beschreibung der Datenklassifizierung obliegt dem Unternehmen, allerdings fordert ISO 27001, sich eingehend mit der Bewertung einzelner Risiko-Spots zu beschäftigen und Sicherheitsmaßnahmen im Sinne der Business Ziele abzuleiten.

SCHWACHSTELLEN FINDEN Ein Kernpunkt der ISO 27001 ist das Vulnerability Management. »Dieser systematische Ansatz zum ständigen Aufdecken und Beheben von Schwachstellen ist auch ein Erfolgsfaktor für den Betrieb sicherer Websysteme«, so Markus Hefler. »Eine Webseite die heute als sicher gilt, kann schon morgen aufgrund eines Softwarefehlers angreifbar sein. Solche Risiken werden durch standardisierte Prozesse minimiert.«

Der Auditor der Zertifizierungsorganisation CIS, Herfried Geyer, ergänzt: »Auf einer frequentierten Autobahn kann schneller ein Unfall passieren, als auf einer ruhigen Nebenstraße. Gemäß dieser Logik ist Websicherheit eng mit dem heterogenen Risikoansatz der Security-Norm ISO 27001 verbunden. Demnach sollten Unternehmen ,Risiko-Hot-Spots' definieren, für die dann wirksame Sicherheitsmaßnahmen zu evaluieren sind. Bei kritischen Webplattformen muss sich Sicherheit durch den gesamten Lifecycle ziehen .«

So stellt die Stabstelle Information Security and Audit des Raiffeisen Rechenzentrum Süd sicher, dass laufend Informationen über die neuesten Schwachstellen in Softwareprodukten gesammelt und an die zuständigen Personen weitergegeben werden. Wesentlich dabei ist die Prüfung der Relevanz und Priorität von Schwachstellen.

DAUERHAFTE SICHERHEIT Das Einspielen von Patches erfolgt zum Großteil automatisiert anhand festgelegter Regeln. Die Umsetzung sämtlicher Änderungen sowie der Rollout unterliegen den nach ISO 20000 gelebten Prozessen Change- und Release-Management. Somit ist sichergestellt, dass nur getestete und freigegebene Software installiert wird.

»Für die reibungslose Umsetzung ist eine nachvollziehbare Dokumentation unentbehrlich. Für jede Änderung ist die Erstellung eines so genannten Request for Change verpflichtend. So werden rasche Fehlerdiagnosen und eventuell notwendige Roll-Backs, also das Zurücksetzen von Änderungen, ermöglicht oder beschleunigt«, erklärt Hefler. Durch standardisiertes Vorgehen werden sowohl Beauftragungs- als auch Umsetzungsfehler stark reduziert.

Mit Hilfe eines effektiven Softwareschwachstellen-Managements ist es somit möglich, die Sicherheit der Websysteme dauerhaft zu gewährleisten. Zudem entspricht das Vorgehen gemäß ISO 27001 dem gesetzlich geforderten »Sorgfalts­anspruch«, so dass gleichzeitig auch die Haftung bei Datenpannen minimiert wird.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr

Hosted by:    Security Monitoring by: