Sicherheits- und Notfallmanagement aufbauen und optimieren

Annähernd lückenlose Sicherheit

Seite: 2/2

Firmen zum Thema

Hofmann: Was sind die Folgen, wenn das Sicherheitsmanagement von Organisationen unausgereift ist?

Campo: Ein schlechtes Sicherheitsmanagement hat immer zur Folge, dass Sicherheitslücken aufreißen. Diese eröffnen Möglichkeiten, die Informationssicherheit zu beschädigen, indem etwa Daten ausgespäht oder Trojaner in das Netzwerk eingeschleust werden.

Ein gutes Sicherheitsmanagement begreift die Informationssicherheit als einen Prozess der ständigen Überprüfung und Verbesserung. Wie die Praxis zeigt, entstehen ohne diese dynamische Vorgehensweise früher oder später immer Sicherheitslücken mit oft fatalen Folgen.

Hofmann: Aus Ihrer Erfahrung als vereidigter IT-Security-Sachverständiger: Wo gibt es am häufigsten Defizite?

Campo: Häufige Probleme entstehen beim Patch-Management. Besonders schwierig wird es bei Java, PDF-Readern oder Flash-Playern, deren Updates sich nicht so leicht automatisch verteilen lassen. Deshalb entsteht hier das größte Angriffspotenzial, etwa durch Client-seitige Angriffe über manipulierte PDF-Dateien.

Eine andere Baustelle ist in vielen Firmen und Behörden die Frage nach der Verantwortung des Benutzers. Nur mit Technik und organisatorischen Vorgaben lässt sich heutzutage keine wirkliche Sicherheit mehr erzielen. Eine ganzheitliche Betrachtung ist nötig, zu der die BSI-Standards wertvolle Anregungen liefern.

Hofmann: Wie ist mit Restrisiken umzugehen?

Campo: Restrisiken kann man ignorieren, sich dagegen versichern oder aber mit geeigneten Maßnahmen weiter verkleinern. Welche dieser Möglichkeiten genutzt werden soll, ist im Einzelfall oft schwierig zu entscheiden. Werden zu große Risiken getragen, entsteht im Ernstfall vielleicht ein Organisationsverschulden.

Versucht man aber, alle denkbaren Risiken zu verhindern, explodieren die Kosten für die Informaionssicherheit. Mit Hilfe der BSI-Standards kann hier ein praktikabler Mittelweg gefunden werden.

(ID:42356084)