Home 
Portfolio Software [lösungen] Datensicherung Sicherheit ist Chefsache
Portfolio Software [lösungen] Datensicherung Sicherheit ist Chefsache
Sicherheit ist Chefsache
Verantwortung und Zuständigkeit beschränken sich hierbei keineswegs auf die jeweiligen IT-Fachabteilungen. Vielmehr gilt: Sicherheit ist Chefsache. Dem hat auch der Gesetzgeber Rechnung getragen. Verschiedene Gesetze und Regelungen belegen die persönliche Haftung von Geschäftsführern bzw. Vorständen im Falle etwaiger Versäumnisse.
Die früher oftmals geäußerte Einschätzung, dass "bei uns noch nie etwas passiert ist" und deshalb kein Handlungsbedarf bestehe, ist glücklicherweise in letzter Zeit einem wachsenden Problembewusstsein gewichen. Fast überall werden Daten verarbeitet werden, die vielfältigen Missbrauch ermöglichen, sollten sie in die "richtigen" Hände fallen.
Selbst erfahrene Netzwerk- oder Sicherheitsspezialisten können nicht alles wissen und können stets Fehler machen. Dies gilt besonders bei Administratoren im eigenen Zuständigkeitsbereich, wo oftmals eine gewisse Betriebsblindheit herrscht. Externe Überprüfungen decken nahezu immer ernste Schwachstellen auf.
Von der Richtlinie zum Sicherheitskonzept
Es gilt deshalb, aktiv, handlungsorientiert und angemessen mit den Risiken umzugehen, die der Einsatz von Informationstechnik mit sich bringt. Dies erfordert einerseits klare Richtlinie der Leitungsebene, was die Ziele, Methoden und Vorgehensweisen für IT-Sicherheit in der eigenen Institution angeht.
Der nächste und auch wichtigste Schritt besteht jedoch in der Erarbeitung eines angemessenen, wirksamen und vollständigen IT-Sicherheitskonzepts. Die darin beschriebenen IT-Sicherheitsmaßnahmen haben zu Ziel, die Bedrohungen für die eigenen Informationen und Informationstechnik auf ein akzeptables Minimum zu reduzieren.
Hierfür hat sich das IT-Grundschutzhandbuch des BSI besonders in Deutschland, aber auch in anderen europäischen und außereuropäischen Ländern als Standardwerk etabliert. Es enthält eine systematische Methodik zur Erarbeitung von IT-Sicherheitskonzepten und praxiserprobte Standard-Sicherheitsmaßnahmen, die in zahlreichen Behörden und Unternehmen erfolgreich zum Schutz vor IT-Risiken eingesetzt werden.
Gefährdungen der IT-Sicherheit in Behörden und Unternehmen ergeben sich aus unterschiedlichen Richtungen. Das IT-Grundschutzhandbuch des BSI differenziert dabei 5 Kategorien: Zum Bereich "Höhere Gewalt" gehören zum Beispiel Schäden durch Blitz, Erdbeben oder Wasser. Besonders wichtig ist die zweite Kategorie "Organisatorische Mängel". Fehlende oder unzureichende Regelungen sind eine der wichtigsten Ursachen für IT-Sicherheitsprobleme. In vielen Fällen sind die vorhandenen Regelungen auch nicht praxisgerecht oder veraltet. Auch "Menschliche Fehlhandlungen" - die dritte Kategorie von Gefährdungen - lassen sich in der Praxis kaum zu 100% vermeiden. Hier entstehen Sicherheitsprobleme oft durch unzureichende Schulung oder mangelnde Sensibilisierung für IT-Sicherheit. Der Bereich "Technisches Versagen" ist vielfach aus dem Alltag bekannt: Computer können aufgrund von Hard- oder Software-Fehlern abstürzen, mechanische Komponenten - z.B. Lüfter - haben nur eine begrenzte Lebensdauer. Umfragen und Studien gehen davon aus, dass nur etwa 20% der Sicherheitsprobleme in die fünfte Kategorie - "Vorsätzliche Handlungen" fallen. Hierzu gehören Angriffe über das Internet, Diebstahl, Abhören von Leitungen, Manipulationen an Hard- und Software.
Den genannten Bedrohungen muss durch ein ganzheitliches und angemessenes IT-Sicherheitskonzept Rechnung getragen werden, das in der Praxis auch "gelebt" wird. Ein ganzheitliches IT-Sicherheitskonzept umfasst gemäß dem IT-Grundschutzhandbuch des BSI Maßnahmen alle relevanten Bereiche, von der Infrastruktur bis hin zur Organisationsstruktur. Im Vordergrund hierbei steht, dass die Ermittlung des Schutzbedarfes und die Erstellung des IT-Sicherheitskonzeptes möglichst vereinfacht werden soll. So muss im ersten Schritt keine komplexe und aufwändige Analyse von Bedrohungen und Eintrittswahrscheinlichkeiten seitens der IT-Verantwortlichen durchgeführt werden. Bei Einsatz des IT-Grundschutzhandbuchs muss lediglich das Maßnahmen-Soll mit dem Ist-Zustand im Unternehmen verglichen werden, um die Sicherheitsdefizite zu ermitteln und passende Sicherheitsmaßnahmen zu identifizieren. Das Ziel, welches mit dem IT-Grundschutz erreicht werden soll, ist "durch organisatorische, personelle, infrastrukturelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau für IT-Systeme aufzubauen, das auch für sensiblere Bereiche ausbaufähig ist". Um einen möglichst breiten Nutzerkreis adressieren zu können, orientieren sich die im IT-Grundschutzhandbuch enthaltenen Sicherheitsmaßnahmen an einem Schutzbedarf, der auf die meisten IT-Systeme zutrifft.
Das IT-Grundschutzhandbuch hat sich als Standardwerk zur ökonomischen Erarbeitung wirksamer IT-Sicherheitskonzepte international etabliert. Daher häuften sich Nachfragen aus dem Anwenderkreis, wie die erfolgreiche Umsetzung der IT-Grundschutz-Maßnahmen nach außen transparent gemacht werden kann. Dies hat das BSI dazu veranlasst, eine Zertifizierung nach IT-Grundschutz zu entwickeln.
Mit Zertifikaten zu "messbarer" IT-Sicherheit
Es wurden insgesamt drei Ausprägungen der IT-Grundschutz-Qualifizierung definiert: Neben dem IT-Grundschutz-Zertifikat gibt es noch die Selbsterklärungen "IT-Grundschutz Aufbaustufe" und "IT-Grundschutz Einstiegsstufe".
Der Erteilung eines IT-Grundschutz-Zertifikates geht eine Überprüfung durch einen lizenzierten Auditor voraus. Kann die Umsetzung der geprüften Maßnahmen bestätigt werden oder kann die Nichtumsetzung durch äquivalente Maßnahmen ausgeglichen werden, so wird das IT-Grundschutz-Zertifikat erteilt.
Das IT-Grundschutz-Zertifikat stellt einen ersten Schritt in Richtung "messbare" IT-Sicherheit in Behörden und Unternehmen dar. Anhand eines etablierten und praxisbewährten Katalogs von Standard-Sicherheitsmaßnahmen - dem IT-Grundschutzhandbuch des BSI - wird eine Aussage über den tatsächlich vorhandenen IT-Sicherheitszustand in dem betrachteten IT-Verbund getroffen. Auf diese Weise lassen sich die eigenen Bemühungen um IT-Sicherheit und die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen und das Vertrauen der Kunden und Anwender in die Sicherheit der Organisation stärken.
Die früher oftmals geäußerte Einschätzung, dass "bei uns noch nie etwas passiert ist" und deshalb kein Handlungsbedarf bestehe, ist glücklicherweise in letzter Zeit einem wachsenden Problembewusstsein gewichen. Fast überall werden Daten verarbeitet werden, die vielfältigen Missbrauch ermöglichen, sollten sie in die "richtigen" Hände fallen.
Selbst erfahrene Netzwerk- oder Sicherheitsspezialisten können nicht alles wissen und können stets Fehler machen. Dies gilt besonders bei Administratoren im eigenen Zuständigkeitsbereich, wo oftmals eine gewisse Betriebsblindheit herrscht. Externe Überprüfungen decken nahezu immer ernste Schwachstellen auf.
Von der Richtlinie zum Sicherheitskonzept
Es gilt deshalb, aktiv, handlungsorientiert und angemessen mit den Risiken umzugehen, die der Einsatz von Informationstechnik mit sich bringt. Dies erfordert einerseits klare Richtlinie der Leitungsebene, was die Ziele, Methoden und Vorgehensweisen für IT-Sicherheit in der eigenen Institution angeht.
Der nächste und auch wichtigste Schritt besteht jedoch in der Erarbeitung eines angemessenen, wirksamen und vollständigen IT-Sicherheitskonzepts. Die darin beschriebenen IT-Sicherheitsmaßnahmen haben zu Ziel, die Bedrohungen für die eigenen Informationen und Informationstechnik auf ein akzeptables Minimum zu reduzieren.
Hierfür hat sich das IT-Grundschutzhandbuch des BSI besonders in Deutschland, aber auch in anderen europäischen und außereuropäischen Ländern als Standardwerk etabliert. Es enthält eine systematische Methodik zur Erarbeitung von IT-Sicherheitskonzepten und praxiserprobte Standard-Sicherheitsmaßnahmen, die in zahlreichen Behörden und Unternehmen erfolgreich zum Schutz vor IT-Risiken eingesetzt werden.
Gefährdungen der IT-Sicherheit in Behörden und Unternehmen ergeben sich aus unterschiedlichen Richtungen. Das IT-Grundschutzhandbuch des BSI differenziert dabei 5 Kategorien: Zum Bereich "Höhere Gewalt" gehören zum Beispiel Schäden durch Blitz, Erdbeben oder Wasser. Besonders wichtig ist die zweite Kategorie "Organisatorische Mängel". Fehlende oder unzureichende Regelungen sind eine der wichtigsten Ursachen für IT-Sicherheitsprobleme. In vielen Fällen sind die vorhandenen Regelungen auch nicht praxisgerecht oder veraltet. Auch "Menschliche Fehlhandlungen" - die dritte Kategorie von Gefährdungen - lassen sich in der Praxis kaum zu 100% vermeiden. Hier entstehen Sicherheitsprobleme oft durch unzureichende Schulung oder mangelnde Sensibilisierung für IT-Sicherheit. Der Bereich "Technisches Versagen" ist vielfach aus dem Alltag bekannt: Computer können aufgrund von Hard- oder Software-Fehlern abstürzen, mechanische Komponenten - z.B. Lüfter - haben nur eine begrenzte Lebensdauer. Umfragen und Studien gehen davon aus, dass nur etwa 20% der Sicherheitsprobleme in die fünfte Kategorie - "Vorsätzliche Handlungen" fallen. Hierzu gehören Angriffe über das Internet, Diebstahl, Abhören von Leitungen, Manipulationen an Hard- und Software.
Den genannten Bedrohungen muss durch ein ganzheitliches und angemessenes IT-Sicherheitskonzept Rechnung getragen werden, das in der Praxis auch "gelebt" wird. Ein ganzheitliches IT-Sicherheitskonzept umfasst gemäß dem IT-Grundschutzhandbuch des BSI Maßnahmen alle relevanten Bereiche, von der Infrastruktur bis hin zur Organisationsstruktur. Im Vordergrund hierbei steht, dass die Ermittlung des Schutzbedarfes und die Erstellung des IT-Sicherheitskonzeptes möglichst vereinfacht werden soll. So muss im ersten Schritt keine komplexe und aufwändige Analyse von Bedrohungen und Eintrittswahrscheinlichkeiten seitens der IT-Verantwortlichen durchgeführt werden. Bei Einsatz des IT-Grundschutzhandbuchs muss lediglich das Maßnahmen-Soll mit dem Ist-Zustand im Unternehmen verglichen werden, um die Sicherheitsdefizite zu ermitteln und passende Sicherheitsmaßnahmen zu identifizieren. Das Ziel, welches mit dem IT-Grundschutz erreicht werden soll, ist "durch organisatorische, personelle, infrastrukturelle und technische Standard-Sicherheitsmaßnahmen ein Standard-Sicherheitsniveau für IT-Systeme aufzubauen, das auch für sensiblere Bereiche ausbaufähig ist". Um einen möglichst breiten Nutzerkreis adressieren zu können, orientieren sich die im IT-Grundschutzhandbuch enthaltenen Sicherheitsmaßnahmen an einem Schutzbedarf, der auf die meisten IT-Systeme zutrifft.
Das IT-Grundschutzhandbuch hat sich als Standardwerk zur ökonomischen Erarbeitung wirksamer IT-Sicherheitskonzepte international etabliert. Daher häuften sich Nachfragen aus dem Anwenderkreis, wie die erfolgreiche Umsetzung der IT-Grundschutz-Maßnahmen nach außen transparent gemacht werden kann. Dies hat das BSI dazu veranlasst, eine Zertifizierung nach IT-Grundschutz zu entwickeln.
Mit Zertifikaten zu "messbarer" IT-Sicherheit
Es wurden insgesamt drei Ausprägungen der IT-Grundschutz-Qualifizierung definiert: Neben dem IT-Grundschutz-Zertifikat gibt es noch die Selbsterklärungen "IT-Grundschutz Aufbaustufe" und "IT-Grundschutz Einstiegsstufe".
Der Erteilung eines IT-Grundschutz-Zertifikates geht eine Überprüfung durch einen lizenzierten Auditor voraus. Kann die Umsetzung der geprüften Maßnahmen bestätigt werden oder kann die Nichtumsetzung durch äquivalente Maßnahmen ausgeglichen werden, so wird das IT-Grundschutz-Zertifikat erteilt.
Das IT-Grundschutz-Zertifikat stellt einen ersten Schritt in Richtung "messbare" IT-Sicherheit in Behörden und Unternehmen dar. Anhand eines etablierten und praxisbewährten Katalogs von Standard-Sicherheitsmaßnahmen - dem IT-Grundschutzhandbuch des BSI - wird eine Aussage über den tatsächlich vorhandenen IT-Sicherheitszustand in dem betrachteten IT-Verbund getroffen. Auf diese Weise lassen sich die eigenen Bemühungen um IT-Sicherheit und die erfolgreiche Umsetzung der Standard-Sicherheitsmaßnahmen transparent machen und das Vertrauen der Kunden und Anwender in die Sicherheit der Organisation stärken.
