IT Security: Das müssen Sie beim Sicherheitskonzept beachten
Lars Behrens, Dipl.-Paed
Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.
IT Security – Dokumentierte Sicherheit ist besser als «gemerkte» Sicherheit
Ein solches, strukturiertes Dokument wird als IT-Sicherheitskonzept bezeichnet. Aus diesem Sicherheitskonzept können dann Richtlinien und Massnahmen abgeleitet werden, die nachvollziehbar umgesetzt werden müssen. Ohne ein solches schriftlich ausgearbeitetes Konzept ist die Gefahr gross, dass die Vorgaben zur Sicherheit nur unscharf in den Köpfen einiger Beteiligter formuliert sind.
Anforderungen an ein Sicherheitskonzept
Die Ausarbeitung eines Sicherheitskonzepts ist eine Arbeit, bei der viele Teilaspekte in Bezug auf IT Security zu berücksichtigen sind:
- Absichern der Kommunikationswege im Fest- und Mobilnetz
- Schutz des Netzwerks vor unerwünschten Eindringlingen
- die Prüfung der Sicherheit von PCs und Servern
- Richtlinien für die Nutzer
- Schulung und Sensibilisierung der Nutzer
- Updateroutinen
- Sicherheit der Daten
- Backup und Resore
- Festlegung, welche Daten als sensibel anzusehen sind
Erstellung eines Sicherheitskonzepts
Die vorangegangenen Betrachtungen konnten sicherlich einen ersten Überblick geben, worauf ein solches Konzept Rücksicht nehmen sollte.
Je nach Grösse und Struktur der Organisation ist das Sicherheitskonzept mehr oder weniger komplex und umfangreich. Damit bei seiner Erstellung auch an alle Aspekte gedacht wird, ist eine standardisierte Vorgehensweise sinnvoll. Am Beginn steht dabei eine eher abstrakte Vorgabe, die sich aus dem Ziel des Unternehmens oder der Behörde ableitet und «Sicherheitspolitik» oder «Sicherheitspolicy» genannt wird.
Passende Produkt-Empfehlungen
Aufgabe und Zielsetzung der IT Security definieren
Als Ausgangspunkt für die Ausarbeitung der Sicherheitspolitik dient in der Regel eine allgemeine Definition von Funktion und Aufgabe der Netzwerke und IT-Systeme. Dabei wird spezifiziert, welche Anforderungen an die IT Security und die Verfügbarkeit der eingesetzten Informationstechnologien zu erfüllen sind.
Ein Sicherheitskonzept besitzt eine allgemeine Zielsetzung, deren Inhalt wesentlich von den individuellen Gegebenheiten der betreffenden Organisationseinheit abhängt. Dabei muss die Policy technisch und ökonomisch sinnvoll realisierbar und die Umsetzung von der Geschäftsleitung sichergestellt sein.
Einsatzzweck und -ort spielen eine wichtige Rolle
Eine wichtige Rolle ist natürlich auch die Grösse und der Umfang des IT-Systems bzw. des Netzwerks eines Unternehmens, und natürlich das Metier. In Banken, Versicherungen, behördlichen und sozialen Einrichtungen besitzt die Sicherheit der Daten und der Kommunikation naturgemäss einen höheren Stellenwert als in den meisten kleinen und mittleren Betrieben oder etwa in Universitätseinrichtungen, sofern diese sich nicht gerade mit der Forschung beschäftigen.
Ein weiteres Beispiel: Polizei und Militär sichern ihr Netzwerk üblicherweise sogar physisch gegen den Zugang Unbefugter ab, indem sie etwa eine eigene WAN-Infrastruktur betreiben; es ist ja auch irgendwie schwerlich vorstellbar, dass das Büro der Kantonspolizei über einen herkömmlichen DSL-Anschluss mit der digitalen Welt verbunden ist.
GDPR und NIS2 beachten!
Für sensible Bereiche (Energie- und andere Infrastruktur, Gesundheitswesen, Militär und Zulieferer, Kommunikation u.a.) ist durch die erheblich ausgeweiteten Anforderungen an die IT-Sicherheit im Zuge der Einführung und Umsetzung der Europäischen Datenschutz-Grundverordnung (GDPR bzw. DSG-VO) sowie NIS2 und KRITIS ein solches Sicherheitskonzept ohnehin unabdingbar. Dazu aber an anderer Stelle mehr, da eine tiefergehende Betrachtung an dieser Stelle den Rahmen sprengen würde.
Zusammenarbeit von IT-Abteilung und Management
PRAXISTIPP: Die inhaltliche Erarbeitung sollte in Absprache zwischen technischem IT-Personal und dem Management geschehen. Darüber hinaus muss festgelegt werden, wem die Auslegung der Sicherheitspolitik im Einzelfall obliegt. Auch bei einer noch so detaillierten Beschreibung der einzelnen Ziele treten in der Praxis immer wieder Fälle auf, bei denen verschiedene Interpretationen möglich sind. Dennoch ist eine schriftlich Fixierung in Form eines IT-Sicherheitskonzepts unverzichtbar!
IT-Systemerfassung/Strukturanalyse
Die Erstellung des Sicherheitskonzepts beginnt bei der Feststellung des vorhandenen bzw. geplanten IT-Verbunds. Neben den Software-Anwendungen oder der Hardware sind hier z.B. auch die Räumlichkeiten der Server, vorhandene Gebäude und die spezifischen Rollen der Mitarbeiter zu erfassen. Ziel ist die Schaffung einer soliden Grundlage für die IT Security, in der alle sicherheitsrelevanten Parameter beschrieben sind.
Schutzbedarfs-Feststellung
Ist der IT-Verbund ausreichend dokumentiert, werden im zweiten Schritt die Daten bewertet. Die Frage ist, wie wichtig welche der gespeicherten oder verarbeiteten Informationen sind. Hieraus leitet sich ab, ob z.B. Standardsicherheitsmassnahmen genügen oder weitergehende Aktionen erforderlich sind.
Basis-Sicherheitscheck
In diesem Schritt wird festgestellt, welche Sicherheitsmassnahmen der IT Security schon umgesetzt sind.
Modellierung nach IT-Grundschutz
Aus den erfassten Bestandsdaten zum IT-Verbund und den Anforderungen an die IT Security müssen nun die entsprechenden Sicherheitsmassnahmen zusammengetragen werden. Diese Abbildung des praktischen Umfelds auf die Einzelmassnahmen beschreibt die Modellierung anhand systematischer, kategorisierter Module.
