Sicherheits- und Notfallmanagement aufbauen und optimieren Annähernd lückenlose Sicherheit

Autor / Redakteur: Das Interview führte Katrin Hofmann / Stephan Augsten

Im November dieses Jahres startet der zweitägige „BSI-Campus 2013“ der Vogel IT-Akademie. DieTeilnehmer lernen, Sicherheit konform zu den BSI-Grundschutzkatalogen und -Standards BSI 100-1 bis 100-4 umzusetzen. Im Vorfeld erläutert der IT-Sicherheitsexperte Dr. Markus a Campo deren Dringlichkeit, welche Konsequenzen ein unausgereiftes Sicherheitsmanagement haben kann und wo es am häufigsten Defizite gibt.

Firmen zum Thema

IT-Grundschutz bildet eine gute Grundlage für ein umfassendes Security-Management.
IT-Grundschutz bildet eine gute Grundlage für ein umfassendes Security-Management.
(Bild: BSI)

Katrin Hofmann: Sie referieren am ersten Seminartag des BSI Campus 2013 über die BSI-Grundschutzkataloge und die Standards BSI 100-1 bis -3. Warum ist eine Ausrichtung an diesen wesentlich?

Campo: Mittlerweile gibt es für Firmen und Behörden zahlreiche Gesetze und Richtlinien, die sich unter dem Stichwort „Compliance“ zusammenfassen lassen. Darunter fallen nicht nur Anforderungen an den Datenschutz, sondern auch die Verpflichtung des Managements zum Risikomanagement- und -controlling.

Die Erfüllung dieser Vorgaben erfordert eine intensive Beschäftigung mit dem Thema „Informationssicherheit“. Es ist sinnvoll und spart Zeit als auch Geld, wenn man sich hier an etablierten Standards vom BSI orientiert.

Hofmann: Wie helfen die Standards konkret, die Informationssicherheit herzustellen?

Campo: Die BSI-Standards behandeln alle Aspekte der Informationssicherheit, angefangen von einer Organisationsstruktur für Informationssicherheit über Risikoanalysen bis hin zum Einsatz der BSI-Grundschutzkataloge. In den Grundschutzkatalogen werden ganz konkrete Vorgaben gemacht, wie beispielsweise ein Windows-Server abzusichern ist oder eine Strategie zum Virenschutz entwickelt und umgesetzt wird.

Hofmann: Was sind die Folgen, wenn das Sicherheitsmanagement von Organisationen unausgereift ist?

Campo: Ein schlechtes Sicherheitsmanagement hat immer zur Folge, dass Sicherheitslücken aufreißen. Diese eröffnen Möglichkeiten, die Informationssicherheit zu beschädigen, indem etwa Daten ausgespäht oder Trojaner in das Netzwerk eingeschleust werden.

Ein gutes Sicherheitsmanagement begreift die Informationssicherheit als einen Prozess der ständigen Überprüfung und Verbesserung. Wie die Praxis zeigt, entstehen ohne diese dynamische Vorgehensweise früher oder später immer Sicherheitslücken mit oft fatalen Folgen.

Hofmann: Aus Ihrer Erfahrung als vereidigter IT-Security-Sachverständiger: Wo gibt es am häufigsten Defizite?

Campo: Häufige Probleme entstehen beim Patch-Management. Besonders schwierig wird es bei Java, PDF-Readern oder Flash-Playern, deren Updates sich nicht so leicht automatisch verteilen lassen. Deshalb entsteht hier das größte Angriffspotenzial, etwa durch Client-seitige Angriffe über manipulierte PDF-Dateien.

Eine andere Baustelle ist in vielen Firmen und Behörden die Frage nach der Verantwortung des Benutzers. Nur mit Technik und organisatorischen Vorgaben lässt sich heutzutage keine wirkliche Sicherheit mehr erzielen. Eine ganzheitliche Betrachtung ist nötig, zu der die BSI-Standards wertvolle Anregungen liefern.

Hofmann: Wie ist mit Restrisiken umzugehen?

Campo: Restrisiken kann man ignorieren, sich dagegen versichern oder aber mit geeigneten Maßnahmen weiter verkleinern. Welche dieser Möglichkeiten genutzt werden soll, ist im Einzelfall oft schwierig zu entscheiden. Werden zu große Risiken getragen, entsteht im Ernstfall vielleicht ein Organisationsverschulden.

Versucht man aber, alle denkbaren Risiken zu verhindern, explodieren die Kosten für die Informaionssicherheit. Mit Hilfe der BSI-Standards kann hier ein praktikabler Mittelweg gefunden werden.

(ID:42356084)