Dienstleister bieten Sicherheit für den Mittelstand in mehreren Stufen

IT-Analyse und Security-Beratung schützen vor bösen Überraschungen

01.10.2007 | Autor / Redakteur: Thomas Heinig / Stephan Augsten

Externe IT-Security-Dienstleister haben einen ungetrübten Blick für Schwachstellen.
Externe IT-Security-Dienstleister haben einen ungetrübten Blick für Schwachstellen.

Schwachstellen in der IT-Sicherheit führen nicht nur in großen Konzernen, sondern auch in kleinen und mittelständischen Unternehmen immer wieder zu bösen Überraschungen. Doch viele Mittelständler sind auf das Ausmaß der Angriffe nicht adäquat eingestellt. Immer mehr IT-Dienstleister bieten deshalb spezielle Beratungskonzepte für den Mittelstand an.

Während große Konzerne in der Regel auf eine eigene IT-Abteilung mit gut ausgebildeten und hoch spezialisierten Mitarbeitern zugreifen können, sieht es im Mittelstand meist düster aus. Je nach Größe des Unternehmens gibt es entweder gar keine eigene IT-Abteilung – oder wenn es doch eine gibt, dann ist sie meist nur mit wenigen Mitarbeitern besetzt. Und die haben alle Hände voll zu tun, um das normale Alltagsgeschäft zu bewältigen. Intensive Beschäftigung mit der IT-Sicherheit steht da meist nicht auf dem Programm.

Doch das kann sich rächen: Laut einer Studie des Marktforschung-Unternehmens IDC haben immerhin 82 Prozent aller befragten Mittelständler bereits Erfahrungen mit Angriffen auf ihre IT-Sicherheit gemacht. Einen Hacker interessiert es im Zweifelsfalle eben nicht, wem die IP-Adresse gehört, die er gerade angreift.

Für die Firmen ist dies ein großes Dilemma, denn einerseits sehen sie sich in Sachen IT-Sicherheit mittlerweile mit denselben Anforderungen wie in einem Großunternehmen konfrontiert. Auf der anderen Seite haben sie aber oft nicht die finanziellen und personellen Mittel, um adäquat auf die Bedrohung reagieren zu können.

Um hier Abhilfe zu schaffen, haben mittlerweile viele Dienstleister wie beispielsweise Siemens Enterprise Communications spezielle Kurzanalysen für mittelständische Unternehmen entwickelt. Der Vorteil: Schwachstellen werden aufgedeckt und Handlungsempfehlungen machen den Weg frei für eine „gelebte“ IT-Sicherheit.

Stufenplan

In der Regel bestehen die Beratungsansätze dabei aus mehreren Stufen: Ein Audit-Workshop gehört ebenso dazu wie ein detaillierter Security-Scan, Befragungen, Begehungen, Risikodiskussionen und eine konkrete Maßnahmenplanung.

Die Mitarbeiter und die Geschäftsführung sind dabei in jeden Schritt mit eingebunden, denn die Informationssicherheit ist immer nur so gut wie die beteiligten Menschen. Denn was nützen schließlich die besten Vorschriften, wenn Mitarbeiter sie nicht einhalten?

Um den Ist-Zustand der IT-Sicherheit festzustellen, wird zunächst ein Audit-Workshop durchgeführt. Eine toolgestützte Fragerunde bildet das Herzstück dieser Veranstaltung. Sie gibt den Befragten die Chance, den Sicherheitsstatus des Unternehmens zu definierten Themenkomplexen darzustellen.

Nicht selten werden den Teilnehmern dabei plötzlich Schwerpunkte der Informationssicherheit bewusst, die bisher noch gar keine Rolle gespielt haben, beispielsweise die sichere Aufbewahrung von Dokumenten oder der Brandschutz im Serverraum.

Schwachstellen aufdecken und bewerten

Die Bewertung der Antworten erfolgt im Tool durch einen definierten Schlüssel, der sich aus der Gewichtung der Fragen und ihrer Implementierungstiefe zusammensetzt. Als Ergebnis wird noch im selben Workshop der spontane, erste Eindruck vom Sicherheitsstatus des Unternehmens grafisch und als Scorecard präsentiert, wodurch die ersten Schwachstellen unmittelbar sichtbar werden. Die Scorecards detaillieren die Ergebnisse und können zur Trendaussage in Bezug auf die Entwicklung der eigenen Informationssicherheit genutzt werden.

Parallel zum Audit, in manchen Fällen auch vorher, wird in einem weiteren Schritt ein Security Scan durchgeführt. Entweder als externer Blackbox-Test oder als interner Whitebox-Test. Bei der Variante des Blackbox-Tests übernimmt der Auditor quasi die Rolle eines externen Hackers. Er nutzt das Internet als Medium und erhält nur minimale Informationen über das Angriffsziel. Typische Informationen sind beispielsweise eine Visitenkarte mit E-Mail Adresse.

Bei internen Whitebox-Tests bekommt der Auditor Zugang zum internen LAN. Außerdem erhält er umfassende Informationen über die zu überprüfenden Systemen und deren Konfiguration sowie zur Sicherheitsarchitektur und Organisation. Der Auditor nimmt bei dieser Testvariante quasi die Rolle eines vertrauenswürdigen Insiders ein.

Befragung und Risikodiskussion

Im nächsten Schritt werden die erkannten Schwerpunkte des Audit-Workshops und des Security Scans detailliert untersucht. Dies geschieht beispielsweise mit Hilfe einer Befragung, an der – je nach Themenkomplex – neben der Geschäftsleitung und dem IT-Personal auch Mitarbeiter der Belegschaft teilnehmen. Die Befragung erfolgt dabei in vertraulichen Einzelgesprächen.

Ziel ist es, einen möglichst umfassenden Eindruck des Status Quo und der üblichen Verhaltensweisen, beispielsweise bei der Verwendung von Passwörtern, zu bekommen. In den Interviews werden bereits identifizierte Einzelerkenntnisse und offene Inhalte aus dem Audit-Workshop sowie Ergebnisse des technischen Security Checks detailliert behandelt.

Ist die Befragung abgeschlossen, erfolgt als nächstes die Begehung am Hauptstandort des Unternehmens. Rechner- und sensible Produktionsräume ebenso auf Sicherheitsdefizite untersucht wie Büros von Mitarbeitern, Eingänge und Flure oder die Standorte von zentralen Druckern.

Hierbei liegt der Schwerpunkt auf Sicherheit der Infrastruktur und des Zutrittssystems zu sensiblen Bereichen, auf Brandschutz und der sicheren Verwahrung von vertraulichen Dokumenten in Büros und an gemeinschaftlich genutzten Stellen. Alle festgestellten Schwachstellen werden fotografiert und anschließend der Dokumentation beigefügt.

IT-Sicherheit aus der Distanz betrachtet

Externe Experten bringen einen entscheidenden Vorteil: Sie laufen nicht Gefahr, durch die üblicherweise weit verbreitete „Betriebsblindheit“ die größten Sicherheitslöcher zu übersehen. In der Ergebnisdokumentation wird jede einzelne festgestellte Schwachstelle aufgelistet, vom Berater durch Prüfen gegenüber genannten Standards und Best Practices bewertet und mit einer speziellen Handlungsempfehlung versehen. Dieses Dokument bildet dann die Grundlage für die anschließende Risikodiskussion.

Gerade diese Risikodiskussion ist ein äußerst wichtiger Schritt, denn nicht alle Schwachstellen müssen automatisch mit einem hohen Risiko verbunden sein. Erst durch die Bestimmung potenzieller Auswirkungen und der Wahrscheinlichkeit des Eintritts eines Ereignisses, bestimmt sich die Höhe des Risikos. Und nur wenn man die Höhe des Risikos kennt, lassen sich Maßnahmen wirtschaftlich beurteilen und auswählen.

Wesentlicher Faktor bei der Bewertung ist die unternehmensspezifische Risikostrategie. In einer Diskussionsrunde werden deshalb die Vorgehensweise zur Risikobewertung abgestimmt und gemeinsam reaktive sowie proaktive Maßnahmen zur Risikominimierung abgeleitet.

Unterstützung der Geschäftsleitung

Diese gemeinsame Bewertung bildet im letzten Schritt die Grundlage für den nun zu erstellenden Maßnahmenplan. In ihm werden zunächst die definierten Maßnahmen gemeinsam konsolidiert und gebündelt, anschließend priorisiert und schließlich in einem zeitlichen Stufenplan (Roadmap) festgezurrt. Auf diese Weise lassen sich kurz-, mittel- und langfristige Möglichkeiten zur Verbesserung der Informationssicherheit festlegen, die das Unternehmen nach und nach verwirklichen kann.

Für die Zukunft können außerdem Budgetplanungen direkt auf diese Vorlage abgestimmt werden, was eine weitere Sicherheit bietet. Geschäftsführung, Sicherheitsverantwortliche und IT-Management können diese Strategie zudem unmittelbar als eigene Handlungsgrundlage nutzen.

Gleichzeitig ist aber auch ein kritischer Punkt erreicht: Denn im Bewusstsein, einen wichtigen Schritt zur Verbesserung des eigenen Sicherheitsniveaus getan zu haben, blockiert das hektische Tagesgeschäft oft alle guten Vorsätze. Deshalb kommt es für die meisten Mittelständler darauf an, zuerst Sicherheitspolitik und Sicherheitsverantwortlichkeiten festzulegen und damit einen Prozess einzuleiten, der von Dauer ist.

Die Rolle eines Beauftragten für Informationssicherheit beispielsweise sollte deshalb bereits frühzeitig definiert werden. Er wird von der Geschäftsleitung eingesetzt und ist ihr direkt unterstellt.

Dabei soll er nicht nur regelmäßig über die implementierten Sicherheitsstandards bericht erstatten. Ebenso hat er Einfluss auf Projektentscheidungen, erarbeitet Vorlagen oder ist ein Ansprechpartner bei Personalfragen wie beispielsweise Einstellungsverträgen und Sensibilisierungsmaßnahmen für Mitarbeiter.

Den passenden Beauftragten für IT-Sicherheit wählen

In vielen Unternehmen wird für diese Position deswegen gern der IT-Leiter eingesetzt. Doch davon ist dringend abzuraten, denn Interessenskonflikte sind in der Regel programmiert. Nicht umsonst spricht der IT-Security- und Compliance-Standard ISO 27001:2005 von „Segregation of duties“ (Trennung von Zuständigkeiten) und „Independent review of information security“ (unabhängige Überprüfung der Informationssicherheit).

Doch egal wie sich ein Unternehmen entscheidet. Wichtig ist bei allen Aktivitäten die unbedingte Unterstützung des Firmenmanagements – denn nur so können die festgelegten Maßnahmen auch mit Leben erfüllt werden.

Thomas Heinig ist Consultant bei Siemens Enterprise Communications in Leipzig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2008049 / Schwachstellen-Management)