Wie steht es um die IT-Sicherheit in meinem Unternehmen?
Im letzten Beitrag “IT-Sicherheit ist Chefsache” haben wir festgestellt, dass IT-Sicherheit keine IT-Aufgabe ist, sondern verschiedene Stakeholder auf unterschiedlichen Wirkebenen bedarf, um gut zu funktionieren. Zusammengefasst: Ohne Commitment und Bewegung von ganz oben geht es nicht, nur mit der Unterstützung der Leitungsebene sind zielgerichtete Maßnahmen mit Bezug auf unternehmensrelevante Werte überhaupt möglich. IT-Sicherheit ist eben Chefsache!
Wir brauchen also eine Veränderung, um der immer stärkeren Bedrohungslage gerecht zu werden. Doch wie geht man das Thema konkret an?
Schritt 1: Commitment
Das Thema sollte auf Ebene der Geschäftsleitung auf die Agenda. Dadurch wird sichergestellt, dass es nicht in den Hintergrund gerät, nur weil es gerade irgendwo anders brennt (und tut es das nicht immer irgendwo?)
Doch nur darüber reden hilft nicht: Man muss auch an die Umsetzung ran!
Zunächst ist es wichtig, dass man verantwortliche Stellen definiert – es sollte also jemanden auf der operativen Ebene geben, der sich primär um das Thema kümmert. Ob CISO oder ITSB, wichtig ist, dass der Person ausreichend Ressourcen (Zeit, Budget, Wissen/Informationen) zur Verfügung gestellt werden, sich des Themas anzunehmen. Im Umkehrschluss heißt das, im Idealfall überträgt man die Rolle nicht den ohnehin schon überlasteten IT-Abteilungsleiter, sondern schafft dafür eine neue Stelle.
Schritt 2: Risiko ermitteln
Am liebsten würden wir alle Unternehmenswerte perfekt schützen, ohne Auswirkungen auf Produktivität und ohne hohe Kosten. Das ist natürlich eine utopische Vorstellung, welche einem Realitätscheck nicht standhält. In Wirklichkeit stehen uns begrenzte Ressourcen zur Verfügung, mit denen wir einen möglichst effizienten Umgang pflegen sollten, indem wir die wichtigsten Assets schützen und Schadensereignisse so gering wie möglich halten.
Um das zu tun, benötigen wir eine initiale Einschätzung des aktuellen Risikos für die IT. Diese muss zu Beginn nicht umfassend detailliert erfolgen, es reicht, sich Gedanken über die kritischsten Geschäftsprozesse und Assets zu machen und diese zu Papier zu bringen.
Um zu einer sinnvollen Einordnung zu kommen, sollten Werte der Daten und Assets bestimmt werden können und die Schadenshöhe bei Verlust der elementaren Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) daraus ableitbar sein. Im Anschluss sollte man dieser ermittelten Schadenshöhe eine Eintrittswahrscheinlichkeit gegenüber stellen – diese basiert i. d. R. auf Annahmen und Schätzungen (Wie attraktiv sind wir für Angreifer? Wie hoch ist unsere Angriffsfläche?).
Aus beiden Werten – zu erwartender Schaden und Eintrittswahrscheinlichkeit eines Schadens – ergibt sich das individuelle Risiko.
Schritt 3: Stand der IT-Sicherheit ermitteln
Kennt man das Risiko, so ist der erste Schritt getan, man kennt seine schützenswerten Assets. Im Anschluss geht es ans Eingemachte – wie gut ist das Unternehmen wirklich geschützt, wenn es angegriffen wird?
Dazu werden Daten, Prozesse und Systeme auf den Prüfstand gestellt. Man beginnt auf hoher Abstraktionsebene und arbeitet sich bis auf System- und Datenebene vor. Durch die Vorarbeit – das Commitment, die Einschätzung des Risikos und der kritischsten Komponenten – hat man eine gute Grundlage, um Maßnahmen strukturiert und gezielt zu analysieren und hinterfragen.
Schritt 4: Gezielte Verbesserung
Aus den in der Risikoermittlung gewonnenen Erkenntnissen über die kritischen Assets und Prozesse und den in der IT-Sicherheits-Prüfung ermittelten Lücken und Problemen lässt sich in der Folge eine zielgerichtete Steuerung der Maßnahmen zu Verbesserung der IT-Sicherheit herstellen. Wie anfangs erwähnt, sind Ressourcen begrenzt und sollten so eingesetzt werden, dass sie die bestmögliche Wirkung erzielen.
Theorie & Praxis: Der Cyber-Sicherheits-Check
Das alles wirkt auf den ersten Blick immer noch sehr abstrakt – wie soll ich denn jetzt mein Risiko erkennen, wo setze ich an mit meiner IT-Sicherheits-Prüfung, welche Bereiche schaue ich mir an? Mit diesem Problem ist man insbesondere im Bereich des KMU nicht allein. Deshalb hat sich unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Thematik angenommen und bietet viele niederschwellige Angebote wie Checklisten und Prüfungen, welche das Thema in verschiedenen Abstraktionstiefen angehen.
Einen davon wollen wir uns hier genauer anschauen: Den Cyber-Sicherheits-Check, entwickelt von BSI und ISACA, dem Prüfverband der IT-Auditoren und Revisoren. Diese einsteigerfreundliche Unternehmensprüfung führt einen durch alle genannten Punkte, vom Commitment über die Risikobetrachtung bis zur die IST-Aufnahme der IT-Sicherheit. Die Prüfung lässt sich mit der nötigen Erfahrung und Zeit selbst durchführen oder von einem zertifizierten externen Prüfer als Dienstleistung ausführen. Der Leitfaden führt den Prüfer durch eine Reihe von Themengebieten wie Netzwerksicherheit, Schutz vor Schadsoftware, Bereitstellung von Ressourcen oder Bewältigung von Sicherheitsvorfällen, um ein allumfassendes Bild der aktuellen IT-Sicherheitslage festzustellen. Die Prüfung durchläuft mehrere Abstraktionsebenen, von der Sichtung von Dokumenten wie Prozessbeschreibungen und Netzplänen bis zur Prüfung von Firewall-Konfigurationen. Die Ergebnisse der Prüfung werden in einem Abschlussbericht zusammengefasst und ein Fazit aus der Prüfung in Form einer Management Summary wird gezogen. Diesen Bericht kann man im Nachgang als priorisierte Aufgabenliste verwenden, um seine IT-Sicherheit gezielt und stückweit zu verbessern.
Die sepago unterstützt Sie gerne dabei, diese Prüfung gemäß aktueller ISACA Leitlinie durchzuführen, mehr dazu erfahren sie hier.
Auch nach erfolgreicher Prüfung – ob autodidaktisch oder durch einen externen Prüfer ihrer Wahl – sind wir gerne bereit, Sie auf der Reise zur Verbesserung der IT-Sicherheit zu begleiten. Egal ob Endpoint Security, Information Protection oder Active Directory Assessment – wir freuen uns, von Ihnen zu hören!