Planung und Management professioneller Sicherheitsüberprüfungen - Teil 3

Wertigkeiten und Verwundbarkeiten definieren, IT-Sicherheit quantifizieren

29.01.2009 | Autor / Redakteur: Marko Rogge / Peter Schmitz

Wenn man nicht weiß welche Teile der IT schützenswert sind, weiß man auch nicht wo man prüfen muss.
Wenn man nicht weiß welche Teile der IT schützenswert sind, weiß man auch nicht wo man prüfen muss.

Als Beispiel kann hier die uneingeschränkte Verfügbarkeit der Server einer Bank gesehen werden, über die Kunden das Online-Banking abwickeln. Da die Bank damit Geld verdient und Kunden darüber Transaktionen durchführen, muss der Server einer absoluten Redundanz unterstehen. Dies wäre die Verfügbarkeit, die unabdingbar ist. Die Integrität würde sich für das PIN/TAN-Verfahren messen lassen, da hierbei eine Manipulation ausgeschlossen werden muss. Die auf dem Server hinterlegten Daten müssen der absoluten Vertraulichkeit unterliegen und dürfen von einer dritten Person unbefugt nicht eingesehen werden.

Das Modell V-I-V wäre hier als Beispiel eine Grundlage, um diese Sicherheit zu gewährleisten. Bei einer Sicherheitsüberprüfung würde dann die Bedeutung und die Wertigkeit entsprechend gemessen und Berücksichtigung finden. Sicherheit sollte im Zuge des Prozesses einer Sicherheitsüberprüfung dann auch durch einschlägige Sicherheitsnormen herbeigeführt werden.

Dabei ist es entscheidend, in welchem Marktsegment sich ein Unternehmen bewegt, und welche Sicherheitsansprüche vorhanden sind. Zum einen wäre als Norm z.B. ITIL (IT Infrastructure Library) zur Einführung und Durchsetzung von ITSM (IT-Service-Management) zu nennen, da hier strukturiert vorgegangen wird. Aber auch die wichtigen ISO Normen sollten dabei in Betracht gezogen und das Unternehmen daran gemessen werden.

Relevante IT-Security Standards

  • ITIL / ITSM
  • ISO 27002/27001 etc., vormals ISO 17799 nach BS7799
  • Common Criteria
  • Cobit - Control Objectives for Information and Related Technology
  • Grundschutzkataloge, BSI (BSI-100-1/2/3/4, Realisierung ISMS Informationssicherheitsmangagementsystems, Notfallmanagement)

Für die Sicherheitsüberprüfung ist es wichtig, dass sich das Unternehmen gemeinsam mit dem Penetration Tester die möglichen Bedrohungen anschaut. Hierbei sollte ein Augenmerk darauf gelegt werden, dass laut diverser Studien als häufige Bedrohung zunächst einmal die Mitarbeiter gesehen werden. Hierbei sollten Unternehmer nicht boshaft gegenüber den Mitarbeitern denken, denn als Bedrohung ist hier auch oftmals der unsachgemäße Umgang mit EDV zu sehen. Diese resultiert häufig aus der nicht vorhandenen Sensibilität der Mitarbeiter in Bezug auf die Benutzung und Sicherheit der EDV.

Mögliche Bedrohungen der Unternehmens-Sicherheit

  • Viren, Würmer, Trojaner, Scripte, infected Webseiten etc.
  • Schwachstellen, nicht gepatchte Software
  • Mitarbeiter durch unsachgemäße Bedienung, mutwillige Beschädigung etc.
  • Wettbewerber, Konkurrenz (Spionage)
  • Geheimdienste, Nachrichtendienste, Professionelle Angreifer
  • Skript Kiddies, destruktives Vorgehen und Verhalten

Oftmals werden die Bedrohungen falsch eingeschätzt, da nach wie vor das Argument „Uns ist noch nie etwas passiert“ vorgebracht wird. Viele Unternehmen setzen dann darauf und sind einer Prävention gegenüber nicht ausreichend aufgeschlossen. Ein Umstand, der verhängnisvolle Wirkungen haben kann.

Als Beispiel ist hier ebenso anzuführen, dass viele Unternehmen ein Backup anlegen, jedoch eine Rücksicherung nicht getestet wird. Trügerische Sicherheit wäre hier dann gegeben, und könnte in einem Schadensfall schlimme Folgen haben. Produktivdaten, Kundendaten oder wichtige Dokumente können verloren sein. Durch gezielte Prävention, Sensibilität und eine professionelle Sicherheitsüberprüfung schafft man deutlich mehr Sicherheit.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2019065 / Security-Testing)