Risk Management

So kann die IT-Sicherheit von der Medizin lernen

| Autor / Redakteur: Prof. Dr. Peter Schaff* / Stephan Augsten

Prävention, Hygiene, Standards – allesamt Begriffe, die sich in der Medizin ebenso wie in der IT-Sicherheit wiederfinden.
Prävention, Hygiene, Standards – allesamt Begriffe, die sich in der Medizin ebenso wie in der IT-Sicherheit wiederfinden. (Bild: Archiv)

In der Medizin konnte man jahrhundertelang Erfahrung sammeln und aus Fehlern lernen. Die IT-Sicherheit ist verhältnismäßig jung und oft ein schwieriges oder vernachlässigtes Feld. Dabei gibt es erstaunlich viele Parallelen zwischen den beiden Disziplinen.

Die IT-Sicherheit könnte sich die Medizin durchaus als Vorbild nehmen. Ein Beispiel ist etwa die Übertragung von Viren: Ob Arzt, Krankenschwester oder Pfleger, jeder wäscht sich gründlich die Hände und desinfiziert sie, bevor er mit einem neuen Patienten in Kontakt kommt.

Doch was heute selbstverständlich ist, musste erst durch schmerzhafte Erfahrungen gelernt werden. Denn das Risikobewusstsein hat sich erst im Laufe der Zeit entwickelt. Im frühen 18. Jahrhundert war es keine Seltenheit, dass Ärzte, die eben noch eine Autopsie vorgenommen haben, gleich anschließend eine Geburt betreut haben – ohne sich dazwischen die Hände zu waschen und die Kleidung zu wechseln.

Dass sich Infektionen so ohne Probleme verbreiten konnten, verwundert heute nicht mehr, doch damals fehlten das Wissen und das Bewusstsein dafür. Die IT-Sicherheit steht heute vor einem ähnlichen Problem: Sie muss verhindern, dass sich Viren auf den Computern von Unternehmen ausbreiten und Schaden anrichten. Doch hier fehlt ebenfalls noch das Problemverständnis.

Was in der Medizin das Händewaschen ist, ist in der IT-Sicherheit der richtige und umfassende Einsatz der Firewall: Jeder Rechner braucht einen aktuellen und starken Schutz vor Angriffen von außen, der aber auch tatsächlich aktiviert und korrekt administriert ist.

Doch Experten gehen davon aus, dass IT-Sicherheit nur zu 20 Prozent mit technischen Mitteln realisierbar ist. Für die restlichen 80 Prozent sind eine gute Organisation und so auch das Bewusstsein und Verhalten der Mitarbeiter notwendig. Daher ist es mindestens genauso wichtig, dass alle in der Firma mitverantwortlich sind – nicht nur die IT-Abteilung.

Viren-Scanner und Firewalls sind zwar eine gute Prävention, können aber nicht jede Schadsoftware und alle Hackerangriffe abwehren. Damit die Mitarbeiter sich richtig verhalten können, brauchen sie entsprechende Schulungen und die Möglichkeit, sich selbstständig über Sachverhalte zu informieren. Unternehmen sollten sich zudem bei der IT-Sicherheit von Anfang an auf den Ernstfall vorbereiten.

Der Datenschutzindikator (DSI), den TÜV SÜD gemeinsam mit der Ludwig-Maximilians-Universität (LMU) München entwickelt hat, zeigt jedoch, dass bei 39 Prozent der Befragten überhaupt kein systematisches Vorgehen zum Umgang mit Datenschutzverletzungen im Unternehmen definiert ist. Und nur 20 Prozent sind sich sicher, dass es ein systematisches Vorgehen im Fall einer Datenschutzverletzung gibt.

Doch solch ein im Vorfeld definiertes systematisches Vorgehen ist wichtig, da es hilft, entsprechend notwendige Maßnahmen sofort in die Wege zu leiten. Wie es auch in der Medizin der Fall ist: Kommt ein Patient in die Notaufnahme, werden so schnell es geht entsprechende, bereits im Vorfeld definierte Maßnahmen angestoßen: Er wird aufgenommen, kommt in den OP, wird für die Operation vorbereitet, Ärzte und Schwestern desinfizieren ihre Hände und beginnen mit der Arbeit. Ohne, dass die einzelnen Schritte nochmals abgeklärt werden müssen.

Von der Gefahr trennen

Eine ebenfalls in der Medizin bereits erfolgreich eingesetzte Maßnahme ist die Isolierung, auch Quarantäne genannt: Genauso wie Menschen, die unter einer stark ansteckenden und gefährlichen Krankheit leiden, müssen auch von Viren betroffene Systeme schnellstmöglich abgeschottet werden, um den Schaden zu begrenzen.

Dazu werden etwa Zugänge und Zugriffe gesperrt und Netze getrennt. Damit dies erfolgreich ist, muss die Infektion jedoch auch frühzeitig entdeckt werden. Denn wie bei einer Wunde kann sie einen immer größeren Schaden anrichten, je länger sie ungestört ist.

In der Medizin würde man im schlimmsten Fall die Extremität, die betroffen ist, amputieren. In der IT-Sicherheit wäre dies gleichbedeutend mit einem Abschalten, Löschen und Neuaufsetzen beispielsweise der Produktionssoftware, damit die übrigen IT-Netzwerke nicht infiziert werden. Laut dem Data Breach Investigations Report 2013 der Firma Verizon dauert es bei 62 Prozent der getesteten Firmen allerdings mindestens zwei Monate, bis ein Hacker-Angriff überhaupt festgestellt wurde. Hier gibt es also deutliches Verbesserungspotenzial.

Strukturierte Rahmenbedingungen

Schließlich und endlich lässt sich als Parallele der beiden Branchen eine Orientierung an festen Strukturen wie Normen und gesetzlichen Regelungen feststellen. Auch hier empfiehlt es sich für Unternehmen, sich an Branchenstandards und die Gesetze zu halten.

Von wesentlicher Bedeutung für die IT-Sicherheit ist die Norm DIN/EN ISO 27001. Sie dient als Leitlinie für den Aufbau einer umfassenden Strategie für das Sicherheitskonzept. Als international führende Norm für Informationssicherheits-Managementsysteme bietet sie einen systematischen und strukturierten Ansatz, sensible Daten zu schützen sowie deren Integrität sicherzustellen und die Verfügbarkeit von IT-Systemen zu erhöhen.

Außerdem ermöglicht die Norm Strukturen, um schnell auf Sicherheitsvorfälle reagieren zu können, Verantwortlichkeiten klar zu definieren und das Sicherheitsmanagement zu optimieren. Denn Erfahrungen und Lehren sollten immer genutzt werden, um weitere Verbesserungen anzustoßen. Dazu kommen gesetzliche Rahmenbedingungen, beispielsweise aus dem Bundesdatenschutzgesetz, dem IT-Sicherheitsgesetz oder die EU-Richtlinie für Netz- und Informationssicherheit.

All diese Regularien wurden ebenfalls entwickelt und beschlossen, um die Sicherheit von Daten und Informationen zu stärken. Genau wie in der Medizin drohen hohe Strafen, wenn die gesetzlichen Regelungen nicht eingehalten werden. Bei der Orientierung, welche Bestimmungen für das eigene Unternehmen gelten und relevant sind, helfen ebenfalls externe Dienstleister mit ihrer Expertise.

Penetrationstest – der „Gesundheits-Check“ für Systeme

Doch auch die Weisheit „Vorsorge ist besser als Nachsorge“ gilt in der Medizin wie in der IT-Sicherheit. Um sicher zu gehen, dass Unternehmen die passenden Schutzmaßnahmen ergriffen haben, bietet sich der „Gesundheits-Check“ Penetrationstest an. Interne Sicherheitskräfte oder Experten eines externen Dienstleisters wie TÜV SÜD stellen den tatsächlichen Schutz auf die Probe, decken Schwachstellen sowie Ursachen auf und empfehlen darauf aufbauend notwendige Verbesserungen.

Prof. Dr. Peter Schaff
Prof. Dr. Peter Schaff (Bild: TÜV Süd)

Da laut einer Studie von McAfee aus dem Jahr 2013 jede Minute etwa 70 neue Bedrohungsbilder entstehen und sich dadurch auch die sicherheitsrelevanten Faktoren ständig ändern, ist es wichtig, sich nicht nur auf einzelne aufgedeckte Schwachstellen zu konzentrieren. Besser ist es, die Ursachen der festgestellten Probleme in jedem Fall zu beheben, um den bestmöglichen Schutz zu gewährleisten.

* Prof. Dr. Peter Schaff, Leiter der TÜV SÜD Management Service Division.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44175364 / Hacker und Insider)