Informationssicherheit

Der Erfolg der Aktivitäten der IT-Sicherheitsbeauftragten und der umgesetzten Informationssicherheitsrichtlinie ist ein nicht eingetretenes Ereignis. Das macht es auch so schwierig, den betriebenen Aufwand zu werten. Daher ist eine grundsätzliche Akzeptanz für die Umsetzung von Sicherheitsmaßnahmen notwendig, damit nicht einerseits gegen Angriffe von außen und andererseits gegen innere Hindernisse angegangen werden muß. Sich erst Gedanken zu machen wenn bereits Schaden entstanden ist, ist die falsche Strategie.

Anhand eines Risikoberichtes lassen sich Aufwand und Nutzen gegeneinander abwiegen und daraus ergeben sich die notwendigen Schritte zur Umsetzung eines seriösen Sicherheitsprozesses. Ein Risiko-Management verwendet man, um die Gefahrenstellen zu isolieren und um die notwendigen Maßnahmen für den Fall eines erfolgreichen Angriffs festzulegen (Maßnahmenkatalog). Das Sicherheitskonzept basiert auf einem systematischen Prozess, der Risiken identifiziert, analysiert, kontrolliert und kommuniziert.

Eine moderne Risikoanalyse (Risiko ist das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe - um das Risiko zu minimieren muß also mindestens einer der beiden Faktoren minimiert werden) setzt sich also aus folgenden Schritten zusammen, die zyklisch immer wieder durchzuführen sind:

  • Systeminventur
  • Verwundbarkeits- und Gefahrenbewertung
  • Kontrollmechanismen
  • Entscheidung
  • Kommunikation und Monitoring

Dies alles ist natürlich sehr arbeitsintensiv, insbesondere bei der erstmaligen Einführung aber auch die ständige Systeminventur und das Monitoring sowie das Nahebringen der Sicherheitsvorkehrungen zu dem Mitarbeitern ist sehr aufwendig.

Vor dem Einsatz bestimmter Techniken sind natürlich genaue Sicherheitsregeln für ein sicheres Netzwerk und Richtlinien für die Mitarbeiter zu erstellen. Diese legen die Verwendung der eingesetzen Tools sowie der Verantwortlichkeiten und der Handlungsabläufe fest. Die Rollen der beteiligten Personen müssen dabei klar und eindeutig definiert sein.

Index

Härtung von Apache
Sichere Browser-Einstellungen
Sichere E-Mail-Client-Einstellungen
Handy-Signatur
Datenklassifizierung am Beispiel Apache
Autorisierung mit OAuth2
Kennwort-Policy
Phishing
Erläuterungen zur IS-Richtlinie
UNIX
Verschlüsselung