Suchen

Militärische Sicherheit in der IT DEFCON 2 für die Unternehmens-IT

| Autor / Redakteur: Gianluca De Lorenzis* / Peter Schmitz

Gemessen am Bedrohungspotenzial von Malware, Datenspionage und Cyberkriminalität und milliardenschweren Schäden durch Cyber-Attacken, sollten Unternehmen eine erhöhte Abwehrbereitschaft zeigen, aber in den meisten Unternehmen scheint eher noch Friedenszeit zu herrschen.

Firmen zum Thema

IT-Abteilungen können von militärischen Sicherheitsstandards profitieren, dazu ist vor allem zunächst einmal genau zu definieren, welche Applikationen, Server und Mobile Devices welchen Rahmen von Schutz und Verschlüsselung benötigen.
IT-Abteilungen können von militärischen Sicherheitsstandards profitieren, dazu ist vor allem zunächst einmal genau zu definieren, welche Applikationen, Server und Mobile Devices welchen Rahmen von Schutz und Verschlüsselung benötigen.
(Bild: Hüttenhölscher - Fotolia.com)

Anzugträger, die in einem unterirdischen Bunker konzentriert Sicherheitscodes abgleichen, während rote Warnlichter über Computermonitore flackern und sich eine Stahltür dramatisch langsam schließt – eine solche Szenerie kennt man eher aus einem schlechten Actionstreifen der 80er-Jahre als aus der eigenen IT-Abteilung.

Nur: gemessen am Bedrohungspotenzial von Malware, Datenspionage und Cyberterrorismus sollte es dort eigentlich ganz ähnlich zugehen. Denn obwohl einschlägige Studien Jahr für Jahr auf die milliardenschweren Schäden durch Cyber-Attacken hinweisen, ist in den meisten Unternehmen noch ein Verteidigungsbereitschaftszustand (Defense readiness conditions = DEFCON) der Stufe 5 (Friedenszeit) die Regel, obwohl längst eine erhöhte Einsatzbereitschaft und Mobilisierung aller Reserven (Stufe 2) angebracht wäre.

Dafür gibt es zwei wesentliche Gründe. Erstens die immense Komplexität der existierenden Standards: Allein die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) umfassen mehrere tausend Seiten. Wer sich mindestens an den wertvollen Hinweisen des BSI-Standard 100-2 orientiert, stößt dann aber schnell auf die zweite Hürde: wo sollte man überhaupt ansetzen? Hilfe bieten inzwischen immer mehr IT-Dienstleister mit Hard- oder Softwarelösungen an, die nach Standards von Militär und Geheimdiensten geprüft sind.

Bei deren Auswahl sollten Unternehmen in erster Linie simulieren, ob die Lösung in der vorhandenen IT-Infrastruktur einsetzbar und skalierbar ist. Die Netzwerklast durch ihren Einsatz darf nicht zu hoch sein, schließlich muss der Regelbetrieb ordentlich laufen. Die wichtigsten unternehmenskritischen Applikationen sind dabei wie ein Kleinod zu schützen, etwa über eine Zuordnung von Sicherheitsstufen. Hier ist vor allem zunächst einmal genau zu definieren, welche Applikationen, Server und Mobile Devices welchen Rahmen von Schutz und Verschlüsselung benötigen. Das verhindert neue Komplexität und Einbußen in der Usability. Vor allem bei der Netzwerksicherung und der Abschottung der mobilen Kommunikation können CIOs vom militärischen Knowhow externer IT-Dienstleister profitieren.

(ID:43525527)