Quelle: All About Security, 25.07.2011
Natürlich hinken Hersteller und Dienstleister teilweise hinterher, wenn es um Know-how Vergleiche zur Hackerszene geht.
IT-Security, Datenschutz, oder beides oder was???
Ehrlich betrachtet besteht unserer Ansicht nach in vielen Unternehmen eine große Unsicherheit zum Thema IT-Security. Häufig wird unserer Erfahrung nach auch der Zusammenhang zwischen Datenschutz und IT-Sicherheit nicht oder nur in Teilen hergestellt. In der Regel verliert man sich in Allgemeinheiten wie “Datenschutz ist bei uns inzwischen Chefsache”, “unsere IT-Sicherheitsrichtlinie wird permanent auditiert” oder “wir haben festgestellt, dass unsere Daten nicht besonders schützenswert sind”. Unsere – zugegebenermaßen etwas spitze – Gegenfrage heißt dann oft: Welches Risikomanagement betreiben Sie denn?
Natürlich hinken auch Hersteller und Dienstleister teilweise hinterher, wenn es um Know-how Vergleiche zur Hackerszene geht. Das ist auch leicht zu erklären, denn in der Regel bewegt sich ein Sicherheitsunternehmen innerhalb definierter Bahnen. Die Unternehmensstrategie eines Herstellers oder Resellers von IT-Security-Lösungen orientiert sich natürlich auch an der Entwicklung der Sicherheitsanforderungen, ist aber eben auch abhängig von marktwirtschaftlichen Einflüssen. Die “Gegenseite” zeigt sich dynamisch, manchmal auch schwammig. Den einzelnen, frei agierenden Hacker gibt es zwar auch, die eigentliche Bedrohung geht aber von Hacker-Netzwerken aus.
Es gibt keine Geheimwaffe, um sich gegen Spionage und Hackerangriffe zu schützen. Um einer ernsthaften Bedrohung zu begegnen, muss klar sein, welche Bedeutung die Infrastruktur und die in der IT verarbeiteten Daten für ein Unternehmen oder eine Behörde haben. Und hier fehlt den meisten der richtige Ansatz: Risikomanagement.
Als Betreiber einer IT, sei es in meiner eigenen kleinen Umgebung mit ein, zwei Servern oder einem Rechenzentrum, muss ich meine Prozesse betrachten und mir einige Fragen stellen:
- In welchem Prozess werden Daten verarbeitet?
- Wie klassifiziere ich diese Daten (geschäftskritisch, personenbezogen, besonders schützenswert)?
- Wer kann ein Interesse daran haben, diese Daten ebenfalls zu besitzen?
- Muss ich diese Daten unbedingt verarbeiten?
- Wie laufen die Daten durch meine Infrastruktur?
- Gibt es Medienbrüche (elektronisch zu Papier oder umgekehrt etc.)?
- Wer hat an welcher Stelle Zugriff auf diese Daten?
- Warum erlaube ich diese Zugriffe?
Wenn Sie diese Fragen zufriedenstellend beantworten können, haben Sie die Grundlage für ein Risikomanagement. Sie können jetzt planen, welchen Aufwand Sie für den Schutz welcher Daten betreiben wollen und können. Sie werden feststellen, dass Sie auf diesem Weg auch wesentlich mehr Klarheit über die Bedeutung Ihrer IT-Umgebung erhalten. Beziehen Sie in Ihre Überlegungen auch immer die Mitarbeiterinnen und Mitarbeiter, Kolleginnen und Kollegen, Führungskräfte und Dienstleister ein! Lassen Sie sich helfen, überspringen Sie die Hürden der Betriebsblindheit (und die gibt es!), holen Sie sich Rat in Bezug auf gesetzliche Anforderungen und bei der Auswahl von Sicherheitslösungen.
Transparenz über die Risiken und klare Kommunikation im Unternehmen sind die wichtigsten Maßnahmen zu mehr Datensicherheit. Scheuen Sie sich nicht, sich dem Thema zu stellen. Ermitteln Sie Ihr Risiko und schützen Sie sich dann mit besten Mitteln!
Bei der Auswahl dieser Mittel stehen Sie vor einer unglaublichen Auswahl an Möglichkeiten. Wenn Sie sich schon intensiver mit der Materie auseinandergesetzt haben, kennen Sie die verschiedenen Ansätze der Hersteller ja. Ob es nun die “best of breed” Strategie (für jeden Teilbereich der vermeintlich Beste) oder die Komplettlösung eines Herstellers ist: sie muss beherrschbar sein. Und darin liegt heute die größte Herausforderung beim Management der IT-Security. Wenn Sie die Vorarbeit geleistet, ein Risikomanagement implementiert, Ihr Unternehmen gebrieft, die Lösungen ausgewählt und installiert haben, müssen Sie mit dem ganzen auch noch klarkommen. Unterschätzen Sie nicht den Aufwand im Betrieb der Lösungen. Etliche Unternehmen stellen erst nach einem Event fest, dass die Verwaltungskonsole des Virenscanners schon seit Wochen veraltete Stände auf irgendwelchen Laptops ausweist. Das liegt daran, dass zwar die Lösung vorhanden, der Prozess aber keineswegs etabliert ist.
Achten Sie also bei der Auswahl der Lösungen darauf, dass diese in Ihre Überwachungsmechanismen integriert werden kann. Denn nichts ist schwieriger, als neue Prozesse auszurollen. Eine vielfältige Quelle, um den geneigten Administrator zu verwirren, bieten die Hersteller auch in der Auswahl der Begriffe und Abkürzungen für Ihre Produkte und Lösungen. Sie werden feststellen, dass keineswegs jeder ein und das Selbe unter einer Web Application Firewall versteht. Letztendlich muss Ihnen der Dienstleister erklären können, an welcher Stelle das empfohlene Produkt in Ihr Risikomanagement passt.
Die Aussichten für die Zukunft sind düster, da müssen wir uns nichts vormachen. Wir können eine gepflegte Paranoia an den Tag legen, die ständig durch Nachrichten über neue Datenlecks genährt wird. Wir können auch ignorant unsere persönlichen Daten bei jeder Postkartenaktion verstreuen (nach dem Motto, die wissen ja eh schon alles über mich). Oder aber: Seien Sie sensibel genug, um eine gewisse Datensparsamkeit an den Tag zu legen. Nutzen Sie aufgeklärt Social Networks, denken Sie an die Risiken aber auch daran, dass kein Weg am Fortschritt vorbei führt. Wenn Sie für die Datensicherheit in Ihrem Unternehmen verantwortlich sind, nehmen Sie diese Verantwortung auch an. Optimieren Sie Ihre Umgebung und Ihre Prozesse so weit, wie Sie es für richtig erachten. Bleiben Sie am Ball, Datenschutz ist ein durchaus lebendiges Thema!
Autorin: Dipl.-Ing. (FH) Silke Jacob, System Engineer/Technische Sachverständige Datenschutz & Datensicherheit, Netzlink Informationstechnik GmbH
Gefällt mir:
Gefällt mir Lade...
