Decker Consulting GmbH

Management and Information Technology Solutions

prüfen, bewerten, optimieren -
so bleibt Ihr Unternehmen der Konkurrenz immer voraus

Decker Consulting GmbH aktuell - September 2006

Decker Consulting GmbH
 
 
 

Inhalt

 
 
 

Ist Informationssicherheit ein technisches Problem? (Teil 1)

Schenkt man den Herstellern und Verkäufern von Virenschutzprogrammen, Spamfiltern, Intrusion Detection, Virtual Private Networks (VPNs), Firewalls, etc. Glauben, ist ein Unternehmen nach Installation ihrer Software oder Hardware jeweils bestens geschützt. Häufig kann zwar so eine einzelne technische Sicherheitslücke geschlossen werden. Eine grundlegende Verbesserung der Sicherheitslage wird so aber nicht erreicht, da entscheidende Aspekte einer integrierten, unternehmensweiten Informationssicherheit nicht berücksichtigt werden. Zudem sind die Einzellösungen oft nicht hinreichend aufeinander abgestimmt, sodass es zu kostspieligen Überschneidungen kommt.

Das entscheidende Problem ist jedoch, dass der Bezug zur Geschäftstätigkeit fehlt und so die Risikofähigkeit des Unternehmens bestenfalls intuitiv berücksichtigt wird. In einigen Fällen wird durch ein technologiefokussiertes Vorgehen die Ausübung der Geschäftstätigkeit mehr behindert als das Sicherheitsprobleme gelöst werden.

Betrachtet man die verschiedenen Bedrohungsarten, so sind einschlägigen Studien zufolge organisatorische oder personelle, z.B. durch Social Engineering, stärker zu gewichten als rein technische und solche aus dem Firmeninneren höher als solche von Aussen. Worauf es tatsächlich ankommt, wenn man Information erfolgreich schützen will, zeigt der internationale Standard ISO/IEC 27001:2005 - Anforderungen an ein Informationssicherheitsmanagementsystem:

  • Das Management engagiert sich nachweislich.
  • Die Sicherheitspolitik, -ziele und -massnahmen werden individuell auf das Unternehmen zugeschnitten.
  • Die Risikoüberlegungen werden in das unternehmensweite Risikomanagement integriert.
  • Organisatorische, personelle und technische Aspekten werden ganzheitlich betrachtet.
  • Die Informationssicherheit wird gemäss dem Plan - Do - Check - Act (PDCA) Zyklus fortwährend verbessert.

Ist die Gesamtstruktur vorhanden, kann man sich auch um die Implementierung einzelner technischer Massnahmen kümmern. Wie man das prozess-, service- und kundenorientiert machen kann, ist in der ISO/IEC 2000-1:2005 - Anforderungen an das IT Service Management - und der IT Infrastructure Library (ITIL) als der dazu gehörigen Best Practice beschrieben.

Die Vorteile dieses systematischen Vorgehens liegen auf der Hand:

  • Umfang und Qualität der Massnahmen werden aus den Geschäftsanforderungen abgeleitet und können mit diesen einfach begründet werden.
  • Lücken oder Überlappungen werden vermieden. Sicherheit wird integral und kosteneffizient.
  • Durch den PDCA Zyklus wird die fortwährende Verbesserung der Informationssicherheit optimal mit der Entwicklung des Unternehmens abgestimmt.

Fazit: Informationssischerheit ist immer aus der spezifischen Unternehmenssicht heraus zu sehen und zu planen. So genannte Standardprodukte aus den Regalen der Software- und Hardware-Hersteller bieten eine gewisse Hilfe, aber nur dann, wenn ihr Einsatz im Rahmen der unternehmensweiten Informationssicherheit gezielt geplant wird. Entscheidend sind sie nicht.

Unternehmen, die eine Mobilisierung ihrer Mitarbeiter mithilfe von Laptops, PDAs oder Smartphones planen, sind ganz speziell gefordert. Hier sind organisatorische und personellen Aspekte des Informationssicherheitsmanagements besonders wichtig, da die für feste Arbeitsplatzstationen üblichen Massnahmen nicht greifen.

In der nächsten Ausgabe des Newsletters werden wir im 2. Teil dieses Artikels die Informationssicherheit in den unternehmerischen Gesamtzusammenhang setzen.

Dr. habil. Karsten M. Decker

 
 
 

Informationssicherheit in Zahlen

  • Gemäss einem Survey der Informationssicherheit im Jahre 2003 gaben 90% der Büroangestellten ihr Passwort für einen billigen Schreibstift preis.
    (Quelle: www.theregister.co.uk/2003/04/18/)
  • Zwei Drittel der 400 befragten baden-württembergischen Technologie-Unternehmen mit einem summierten Umsatzvolumen von ca. 29 Milliarden Euro waren in den letzten zehn Jahren Opfer eines ``unfreundlichen Informationsabflusses''. Am realistischsten ist die Gefährdung kleiner, innovativer Unternehmen mit einem hohen Wettbewerbsvorteil, insbesondere, wenn sie eine Kleinserienfertigung mit neuen Produkten und zukunftsweisenden Produktionsverfahren haben, nur mit wenigen Wettbewerbern konkurrieren und international agieren.
    (Quelle: Sicherheitsforum Baden-Württenberg, 2004)
  • Täglich wird gestohlene Kreditkarteninformation von mindestens 300 - 400 Briten in Chat-Räumen gehandelt. Kreditkarten mit dem 3-ziffrigen Sicherheits Code werden für USD 3 - 5 gehandelt, Kreditkarten mit Sicherheits Code und PIN für USD 10 - 100.
    (Quelle: The Times, 15. April 2006)
  • Notebooks, die ursprünglich als Erleichterung der Arbeit gedacht waren, werden zunehmend zu einem Sicherheitsrisiko. Viele Firmen haben ihr ganzes Augenmerk auf den Schutz vor externen Gefahren wie Viren und Computerattacken gerichtet und die Gefahren, die von mobilen Endgeräten ausgehen, unterschätzt.
    (Quelle: Handelszeitung, 6. - 12. September 2006)
 
 
 

Informationssicherheit und Outsourcing leicht gemacht

Für Sie gratis bereitgestellt: Schnelltests und vollständige Selbstbewertungsformulare zu den folgenden Themen:

Überzeugen Sie sich selbst vom praktischen Wert unserer Formulare.

 
 
 

White Papers

Alle White Papers sind kostenlos.

 
 
 

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.