English

IT Sicherheit, der Reihe nach

von VPNHaus | 12.09.2019 |Cybersecurity Strategy, Data Security, Encryption, Endpoint Management

Informationssicherheit soll die wichtigen Assets des Unternehmens schützen, transparent, unaufdringlich und immer aktuell sein und natürlich nichts kosten. Die Zauberformel, um all das zu erreichen, gibt es nicht, allerdings kann man mit einem strukturierten Vorgehen zumindest zwei von fünf Wünschen erfüllen: Hohe Schutzwirkung, immer aktuell.

Der erste Schritt: Die organisationsbezogene Sicherheitsrichtlinie

Aller Anfang ist schwer, aber auch wenn es um die Informationssicherheit geht, sind zum Start grundlegende Überlegungen anzustellen. Die organisationsbezogene Sicherheitsrichtlinie sind allumspannende Dokumente und eine Richtlinie schlechthin, an der sich die Informationssicherheit orientiert. Sie bildet die wichtigsten Rahmenbedingungen für das Unternehmen ab und umfasst die Bezüge zu regulatorischen Vorgaben, Branchenstandards, internen Compliance-Vorgaben und Best Practices. Vermutlich haben die meisten Unternehmen diesen Schritt schon hinter sich, wenn nicht, es gibt im Internet haufenweise Anleitungen und Vorlagen wie so etwas aussehen könnte. Neben allgemeinen Anweisungen, wie die Informationssicherheit umzusetzen ist, können darin, oder in einem referenzierten Dokument, auch konkrete IT-Security Anweisungen hinterlegt sein. Beispielsweise, dass Remote-Zugänge durch ein VPN zu schützen sind und welche Verschlüsselungsalgorithmen dafür notwendig sind.

Wissen was man hat: Inventur im Netz

Nichts ist so beständig wie der Wandel und das gilt auch für das Netzwerk im Unternehmen. Die Chancen stehen gut, dass sich die Netzinfrastruktur Monat für Monat verändert: Durch neue Hardware, neue Dienste wie Cloud-Anbindung und durch mobile Technologien. Es ist wichtig, trotzdem ein klares Bild der vorhandenen Infrastruktur einschließlich der Anwendungen und der darüber liegenden Sicherheitsrichtlinien zu behalten. Das funktioniert am besten mit den entsprechenden Tools: Einem zur Inventur von Assets und Topologien sowie einem, das die Compliance-Ebenen darüberlegen kann.

Hausbau digital: Die Architektur und Topologie an der Unternehmensrichtlinie ausrichten

Nun lassen sich erste konkrete Maßnahmen angehen, auch wenn diese in einem bestehenden System kaum im vollen Umfang umsetzbar sind. Die Architektur sollte an den Sicherheitszonen ausgerichtet werden, die in der Richtlinie, je nach Risikomatrix der Anwendungen, definiert wurden. Die Grenze nur am Perimeter zu ziehen, reicht heute meist nicht mehr. Mit einer internen Segmentierung des so genannten Ost-West-Verkehrs kann die Seitwärtsbewegung im Netz für Eindringlinge erschwert oder verhindert werden.

Lücken stopfen: Soll und Ist in Übereinstimmung bringen

Wenn man der Anleitung bis hierher gefolgt ist, hält man einen guten Blueprint seines Netzwerks, der Anwendungen und der damit verknüpften Sicherheitsrichtlinien in der Hand. Trotzdem wird es Abweichungen zwischen „Soll“ und „Ist“ geben, die nun zu finden und abzustellen sind. Dazu müssen alle Elemente, die die Sicherheitsrichtlinie praktisch umsetzen – Firewalls, Router, VPN-Gateways, Switche, etc. – betrachtet und deren Konfigurationsdaten überprüft und bei Bedarf angepasst werden.

Die Neverending Story: Change-Management im Griff behalten

Nur einmal „Soll“ mit „Ist“ zu vergleichen, ist natürlich vergeblich. Informationssicherheit funktioniert nach dem Deming-Kreislauf mit den Phasen Plan, Do, Check, Act. Um die Sicherheit nicht nur herzustellen, sondern auch über die Zeit zu halten und sogar zu verbessern, ist ein kontinuierlicher Prozess notwendig. Jede Konfigurationsänderung kann potenziell Löcher in die Sicherheitsmaßnahmen reißen und die Richtlinie verletzen. Häufig sind die Maßnahmen, die den Change Prozess begleiten, Bestandteil von Audit-Anforderungen für Zertifikate. Der Prozess muss also nicht nur prüfen, ob die gewünschte Änderung mit den Richtlinien vereinbar ist, sondern auch die Verantwortlichen dafür benennen und revisionssicher dokumentieren.

Achtung Kontrolle: Bereit für den Audit

Es soll Unternehmen geben, die ihre Informationssicherheit nur für den Audit herstellen. Schließt sich die Tür hinter dem Auditor, werden alle Best Practices wieder über den Haufen geworfen. Das hat natürlich nicht nur fatale Auswirkungen auf die Informationssicherheit, es ist auch ein sehr kostspieliges Verhalten. Alle Aufwände, die aus der geordneten und sicheren Unternehmensarchitektur resultierten, waren umsonst. Die Hoffnung ist, dass alle vorher durchgeführten Schritte in solide verankerten und gelebten Maßnahmen resultieren, die ein zurück zur (unsicheren) Tagesordnung auf vielen Ebenen verhindern. Wenn ein Unternehmen tatsächlich seine Informationssicherheit nach dem beschriebenen Rezept aufgebaut hat, stehen die Chancen dafür sehr gut.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK