Militärische Sicherheit in der IT

DEFCON 2 für die Unternehmens-IT

| Autor / Redakteur: Gianluca De Lorenzis* / Peter Schmitz

IT-Abteilungen können von militärischen Sicherheitsstandards profitieren, dazu ist vor allem zunächst einmal genau zu definieren, welche Applikationen, Server und Mobile Devices welchen Rahmen von Schutz und Verschlüsselung benötigen.
IT-Abteilungen können von militärischen Sicherheitsstandards profitieren, dazu ist vor allem zunächst einmal genau zu definieren, welche Applikationen, Server und Mobile Devices welchen Rahmen von Schutz und Verschlüsselung benötigen. (Bild: Hüttenhölscher - Fotolia.com)

Gemessen am Bedrohungspotenzial von Malware, Datenspionage und Cyberkriminalität und milliardenschweren Schäden durch Cyber-Attacken, sollten Unternehmen eine erhöhte Abwehrbereitschaft zeigen, aber in den meisten Unternehmen scheint eher noch Friedenszeit zu herrschen.

Anzugträger, die in einem unterirdischen Bunker konzentriert Sicherheitscodes abgleichen, während rote Warnlichter über Computermonitore flackern und sich eine Stahltür dramatisch langsam schließt – eine solche Szenerie kennt man eher aus einem schlechten Actionstreifen der 80er-Jahre als aus der eigenen IT-Abteilung.

Nur: gemessen am Bedrohungspotenzial von Malware, Datenspionage und Cyberterrorismus sollte es dort eigentlich ganz ähnlich zugehen. Denn obwohl einschlägige Studien Jahr für Jahr auf die milliardenschweren Schäden durch Cyber-Attacken hinweisen, ist in den meisten Unternehmen noch ein Verteidigungsbereitschaftszustand (Defense readiness conditions = DEFCON) der Stufe 5 (Friedenszeit) die Regel, obwohl längst eine erhöhte Einsatzbereitschaft und Mobilisierung aller Reserven (Stufe 2) angebracht wäre.

Dafür gibt es zwei wesentliche Gründe. Erstens die immense Komplexität der existierenden Standards: Allein die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) umfassen mehrere tausend Seiten. Wer sich mindestens an den wertvollen Hinweisen des BSI-Standard 100-2 orientiert, stößt dann aber schnell auf die zweite Hürde: wo sollte man überhaupt ansetzen? Hilfe bieten inzwischen immer mehr IT-Dienstleister mit Hard- oder Softwarelösungen an, die nach Standards von Militär und Geheimdiensten geprüft sind.

Bei deren Auswahl sollten Unternehmen in erster Linie simulieren, ob die Lösung in der vorhandenen IT-Infrastruktur einsetzbar und skalierbar ist. Die Netzwerklast durch ihren Einsatz darf nicht zu hoch sein, schließlich muss der Regelbetrieb ordentlich laufen. Die wichtigsten unternehmenskritischen Applikationen sind dabei wie ein Kleinod zu schützen, etwa über eine Zuordnung von Sicherheitsstufen. Hier ist vor allem zunächst einmal genau zu definieren, welche Applikationen, Server und Mobile Devices welchen Rahmen von Schutz und Verschlüsselung benötigen. Das verhindert neue Komplexität und Einbußen in der Usability. Vor allem bei der Netzwerksicherung und der Abschottung der mobilen Kommunikation können CIOs vom militärischen Knowhow externer IT-Dienstleister profitieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43525527 / Risk Management)