IT-Grundschutz

IT-Sicherheit im Fokus

Sicherheit ist ein Grundbedürfnis des Menschen – und damit unserer Gesellschaft. Gerade in Zeiten von Globalisierung, steigender Mobilität und wachsender Abhängigkeit der Industrienationen von Informations- und Kommunikationstechnik nimmt das Sicherheitsbedürfnis immer mehr zu.

Wachsende Verwundbarkeit und die Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken erhöhen den Handlungsdruck, durch aktives IT-Sicherheitsmanagement Schäden zu verhindern und das Risiko zu minimieren. Die Verantwortung beschränkt sich keineswegs auf die IT-Fachabteilungen. Vielmehr gilt: IT-Sicherheit ist Chefsache. Dem hat auch der Gesetzgeber Rechnung getragen. Verschiedne Gesetze und Regelungen belegen die persönliche Haftung von Geschäftsführern bzw. Vorständen im Falle von Versäumnissen.

Eine weit verbreitete Ansicht ist, dass IT-Sicherheitsmaßnahmen zwangsläufig mit hohen Investitionen in Sicherheitstechnik. Dem ist jedoch nicht so. Die wichtigsten Erfolgsfaktoren sind gesunder Menschenverstand, durchdachte organisatorische Regelungen und zuverlässige – gut informierte Mitarbeiter, die selbständig Sicherheitserfordernisse diszipliniert und routiniert beachten. Die Erstellung und Umsetzung eines wirksamen und effektiven IT-Sicherheitskonzeptes muss darum nicht unbezahlbar sein. Die wirksamsten Maßnahmen sind überraschend simpel und noch dazu oft kostenlos.

Eine andere weit verbreitete Fehleinschätzung betrifft den eigenen Schutzbedarf. Oft stößt man auf die folgenden Aussagen:

„Bei uns ist noch nie etwas passiert.“ Diese Aussage ist mutig. Vielleicht hat bei früheren Sicherheitsvorfällen niemand etwas bemerkt!

„Unser Netz ist sicher.“ Die Fähigkeit potentieller Angreifer wird oft unterschätzt. Hinzu kommt, dass selbst ein erfahrener Netz- oder Sicherheitsspezialist nicht alles wissen und gelegentlich Fehler machen kann. Externe Überprüfungen decken nahezu immer ernste Schwachstellen auf und sind ein guter Schutz vor „Betriebsblindheit“.

„Unsere Mitarbeiter sind vertrauenswürdig.“ Verschiedene Statistiken zeichnen ein anders Bild: Die Mehrzahl der Sicherheitsverstöße wird durch Innentäter verursacht. Dabei muss nicht immer Vorsatz im Spiel sein. Auch durch Versehen, Übereifer oder Neugier gepaart mit mangelndem Problembewusstsein entstehen manchmal große Schäden.

Jeder sollte sich bewusst machen: Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess.

Wichtige Grundbegriffe

Es gibt drei Grundwerte der IT-Sicherheit: Vertraulichkeit, Verfügbarkeit und Integrität

• Vertraulichkeit: Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden.
  
  
• Verfügbarkeit: Dem Benutzer stehen Dienstleistungen, Funktionen eines IT-Systems oder auch Informationen zum geforderten Zeitpunkt zur Verfügung.
  
  
• Integrität: Die Daten sind vollständig und unverändert. Der Begriff „Information“ wird in der EDV für „Daten“ verwendet, denen je nach Zusammenhang bestimmte Attribute wie z.B. Autor oder Zeitpunkt der Erstellung zu geordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert oder Angaben zum Autor verfälscht oder der Zeitpunkt der Erstellung manipuliert wurde.
  
  
  

Weitere wichtige Begriffe sind:

• Authentisierung = Identität
• Autorisierung = Berechtigung
• Datenschutz
• Datensicherheit = Vertraulichkeit, Verfügbarkeit und Integrität
• Risikoanalyse = Eintrittswahrscheinlichkeit und erwartete Schadenhöhe
• Sicherheitsrichtlinie = (security policy) Definition von Schutzzielen, allgemeine Sicherheitsmaßnahmen
  
  

Schadensfälle als warnendes Beispiel. Viele Szenarien zeigen Handlungsbedarf. Als Beispiel sind zu nennen:

• Fehlendes Backup
• Befall durch Computer-Viren
• Ausfall des Administrators
• Hackerangriffe aus dem Internet
• Der „Innentäter“