Suchen

Planung und Management professioneller Sicherheitsüberprüfungen - Teil 3

Wertigkeiten und Verwundbarkeiten definieren, IT-Sicherheit quantifizieren

Seite: 2/2

Firmen zum Thema

Als Beispiel kann hier die uneingeschränkte Verfügbarkeit der Server einer Bank gesehen werden, über die Kunden das Online-Banking abwickeln. Da die Bank damit Geld verdient und Kunden darüber Transaktionen durchführen, muss der Server einer absoluten Redundanz unterstehen. Dies wäre die Verfügbarkeit, die unabdingbar ist. Die Integrität würde sich für das PIN/TAN-Verfahren messen lassen, da hierbei eine Manipulation ausgeschlossen werden muss. Die auf dem Server hinterlegten Daten müssen der absoluten Vertraulichkeit unterliegen und dürfen von einer dritten Person unbefugt nicht eingesehen werden.

Das Modell V-I-V wäre hier als Beispiel eine Grundlage, um diese Sicherheit zu gewährleisten. Bei einer Sicherheitsüberprüfung würde dann die Bedeutung und die Wertigkeit entsprechend gemessen und Berücksichtigung finden. Sicherheit sollte im Zuge des Prozesses einer Sicherheitsüberprüfung dann auch durch einschlägige Sicherheitsnormen herbeigeführt werden.

Dabei ist es entscheidend, in welchem Marktsegment sich ein Unternehmen bewegt, und welche Sicherheitsansprüche vorhanden sind. Zum einen wäre als Norm z.B. ITIL (IT Infrastructure Library) zur Einführung und Durchsetzung von ITSM (IT-Service-Management) zu nennen, da hier strukturiert vorgegangen wird. Aber auch die wichtigen ISO Normen sollten dabei in Betracht gezogen und das Unternehmen daran gemessen werden.

Relevante IT-Security Standards

  • ITIL / ITSM
  • ISO 27002/27001 etc., vormals ISO 17799 nach BS7799
  • Common Criteria
  • Cobit - Control Objectives for Information and Related Technology
  • Grundschutzkataloge, BSI (BSI-100-1/2/3/4, Realisierung ISMS Informationssicherheitsmangagementsystems, Notfallmanagement)

Für die Sicherheitsüberprüfung ist es wichtig, dass sich das Unternehmen gemeinsam mit dem Penetration Tester die möglichen Bedrohungen anschaut. Hierbei sollte ein Augenmerk darauf gelegt werden, dass laut diverser Studien als häufige Bedrohung zunächst einmal die Mitarbeiter gesehen werden. Hierbei sollten Unternehmer nicht boshaft gegenüber den Mitarbeitern denken, denn als Bedrohung ist hier auch oftmals der unsachgemäße Umgang mit EDV zu sehen. Diese resultiert häufig aus der nicht vorhandenen Sensibilität der Mitarbeiter in Bezug auf die Benutzung und Sicherheit der EDV.

Mögliche Bedrohungen der Unternehmens-Sicherheit

  • Viren, Würmer, Trojaner, Scripte, infected Webseiten etc.
  • Schwachstellen, nicht gepatchte Software
  • Mitarbeiter durch unsachgemäße Bedienung, mutwillige Beschädigung etc.
  • Wettbewerber, Konkurrenz (Spionage)
  • Geheimdienste, Nachrichtendienste, Professionelle Angreifer
  • Skript Kiddies, destruktives Vorgehen und Verhalten

Oftmals werden die Bedrohungen falsch eingeschätzt, da nach wie vor das Argument „Uns ist noch nie etwas passiert“ vorgebracht wird. Viele Unternehmen setzen dann darauf und sind einer Prävention gegenüber nicht ausreichend aufgeschlossen. Ein Umstand, der verhängnisvolle Wirkungen haben kann.

Als Beispiel ist hier ebenso anzuführen, dass viele Unternehmen ein Backup anlegen, jedoch eine Rücksicherung nicht getestet wird. Trügerische Sicherheit wäre hier dann gegeben, und könnte in einem Schadensfall schlimme Folgen haben. Produktivdaten, Kundendaten oder wichtige Dokumente können verloren sein. Durch gezielte Prävention, Sensibilität und eine professionelle Sicherheitsüberprüfung schafft man deutlich mehr Sicherheit.

Artikelfiles und Artikellinks

Link: Teil 1

Link: Teil 2

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 2019065)