Was ist das?

Informationssicherheit bedeutet – unter Beachtung der Grundsätze der Vertraulichkeit, Integrität und Verfügbarkeit – Informationen vor einer Reihe von Bedrohungen zu schützen, um die Geschäftskontinuität zu wahren, die Kapitalrentabilität zu maximieren und das Geschäftsrisiko zu minimieren.

Um die oben genannten drei Prinzipien umsetzen zu können, ist es notwendig, folgende drei Aufgaben abzuschließen: die Ausführung einer Risikoanalyse (Hazard Analysis), die Einführung eines Managementsystems für Informationssicherheit (ISMS – Information Security Management System) und die Durchführung von Penetrationstests (Penetration Testing), wobei alle drei dieser Aufgaben einen wichtigen und grundlegenden Beitrag zur Umsetzung einer guten Informationssicherheitspolitik leisten.

Wofür?

Informationen stellen einen der wichtigsten Vermögenswerte jedes Unternehmens dar und können in den verschiedensten (digitalen und nicht digitalen) Medien gespeichert werden. Der Wert der in den Systemen eines Unternehmens gespeicherten Informationen spielt für seinen Erfolg eine immer bedeutendere Rolle. Gleichzeitig nehmen die Bedrohungen der Sicherheit dieser Informationen ständig zu, auf externer Ebene, wie z.B. durch Hacker, die sowohl gewinnorientiert als auch aus purem Spaß arbeiten, ebenso wie intern, d.h. aus Informations- oder Kenntnismangel, Fahrlässigkeit oder Vorsatz. Auch werden regelmäßig Schwachstellen in den von Unternehmen täglich verwendeten Programmanwendungen und -systemen entdeckt, die dazu genutzt werden können, um auf wichtige oder vertrauliche Firmeninformationen zuzugreifen.

Aufgrund des exponentiellen Informationswachstums ist es heutzutage somit extrem wichtig, Daten auf eine sichere Weise zu speichern und zu schützen (unter Bewahrung der Vertraulichkeit), ohne dabei die Datengenauigkeit (Integrität) und unmittelbare Datenzugänglichkeit (Verfügbarkeit) zu beeinträchtigen.

Auditing und Risk Analysis

Auditprozesse und Risikoanalysen sind ein wichtiger Faktor bei der Definition der Informationssicherheitspolitik und IT-Sicherheitspolitik eines Unternehmens. Das Hauptziel eines Audit- und Risikoanalyseprogrammes ist es, die Vermögenswerte, Methoden und Prozesse eines Unternehmens festzustellen und die damit verbundenen Risiken zu identifizieren. Dadurch wird es möglich, das Unternehmen als solches und nicht nur seine IT-Infrastruktur zu schützen. Ein Risikoaudit bzw. eine Risikoanalyse ist ein Prozess, der aus der Sicht des gesamten Unternehmensmanagements und nicht nur innerhalb des IT-Bereichs erfolgen muss, denn Informations- und IT-Sicherheit gehen weit über den Informatikbereich hinaus.

 

Ziel eines Sicherheitsaudits bzw. einer Risikoanalyse ist es, Gefahren zu identifizieren und abzuschätzen und anschließend die notwendigen Abhilfemaßnahmen festzulegen, sodass das Risiko auf ein für das Unternehmen akzeptables Niveau reduziert werden kann.

Die Durchführung eines Risikoaudits bzw. einer Risikoanalyse bietet Unternehmen folgende Vorteile:

  • deutliche Verbesserung der Sicherheit der Informationssysteme, die Unternehmensinformationen speichern, verarbeiten und weiterleiten
  • deutliche Verbesserung der Prozessumsetzung und des Prozessmanagements
  • bessere und stärkere Kontrolle der IT-Assets des Unternehmens
  • besseres Risikomanagement auf Unternehmensebene
  • die Unternehmensführung kann bei Investitionen im Bereich der Informationssicherheit die besseren Entscheidungen treffen

Die Durchführung eines Risikoaudits bzw. einer Risikoanalyse umfasst folgende Schritte:

  1. Festlegung des Umfangs und organisatorischen Rahmens
  2. Risikoidentifikation
  3. Risikoeinschätzung
  4. Risikobewertung
  5. Bekanntgabe der Risiken und Maßnahmen zur Risikominderung
  6. Umsetzung der Maßnahmen zur Risikominderung
  7. Annahme des Endrisikos

 

Definition von Managementsystem für Informationssicherheit (Information Security Management System – ISMS)

Was ist ein ISMS-System?

  • Ein ISMS-System ist die Umsetzung einer Reihe von Maßnahmen zur Gewährleistung der Informationssicherheit, beruhend auf dem Modell der kontinuierlichen Verbesserung mit PDCA-Methodik (Plan -> Do -> Check -> Act).

Ziele eines ISMS-Systems

  • Hauptziel eines Managementsystems für Informationssicherheit ist es, unter Beibehaltung derselben Standards die Effektivität und Effizienz der Prozesse und IT-Infrastruktur eines Unternehmens dauerhaft aufrechtzuerhalten, ungeachtet möglicher interner und externer Änderungen.

 

ISMS-Systeme basieren auf der PDCA-Methodik (Plan -> Do -> Check -> Act).

  • Plan:

○ Entwurf des ISMS-Systems und Festlegung der Rahmenbedingungen (Statement of Aplicability, SoA)

○ Einschätzung der IT-Assets und Risiken der Informationssicherheit (Risk Analysis)

○ Erstellen eines Aktionsplans und Auswahl geeigneter (Kontroll-)Maßnahmen

○ Lückenanalyse (Gap Analysis)

  • Do:

○ Umsetzung der Aktionspläne (bereits festgelegte Maßnahmen und Kontrollen)

  • Check:

○ Durchführung interner Audits, Validierung/Überprüfung der angewandten Maßnahmen (Kontrollen)

  • Act:

○ Analyse, Überprüfung und Umsetzung der Korrektur- und Entwicklungsmaßnahmen (falls erforderlich) für eine kontinuierliche Verbesserung

Sicherheitsaudits und Penetrationstests

Sicherheitsaudits und Penetrationstests werden mit dem Ziel durchgeführt, durch die Simulation interner und externer Angriffe die System- und Netzwerksicherheit von Unternehmen zu bewerten sowie die Ergebnisse dieser Angriffe zu analysieren. Sie umfassen die Prüfung möglicher Schwachstellen sowie die Wahrscheinlichkeit und Leichtigkeit einer Ausnutzung dieser Schwachstellen, um unberechtigten Zugang zu Informationen zu erhalten.

Ziel von Penetrationstests ist die Erstellung von Berichten, in denen nicht nur die Schwachstellen aufgezeigt, sondern auch der Risikograd dieser Schwachstellen sowie die notwendigen Korrekturmaßnahmen zur Verbesserung der System- und Netzwerksicherheit erörtert werden. Man unterscheidet generell zwei Arten von Penetrationstests: interne und externe Penetrationstests bzw. „Black-Box-Tests“ und „White-Box-Tests“. Bei externen bzw. Black-Box-Tests besitzt das Unternehmen, welches die Tests durchführt, keinerlei Informationen über die verfügbaren Systeme oder den internen Zugriff auf die zu testende Unternehmensstruktur. D.h. alle Testverfahren werden ohne jegliches Insiderwissen durchgeführt. Bei internen bzw. White-Box-Tests bekommen die Tester vom Auftraggeber alle Informationen zu den zu überprüfenden Systemen, wie Netzwerkeinstellungen, externe Dienstleistungen, IPs etc., oder es wird ihnen der Zugriff auf die IT-Infrastruktur des Kunden ermöglicht, um Schwachstellen innerhalb des Unternehmens feststellen zu können.

Die Hauptvorteile von Sicherheitsaudits und Penetrationstest sind die, dass Unternehmen dadurch wichtige Maßnahmen zum Schutz ihrer IT-Infrastruktur und Informationssicherheit vor konventionellen, marktüblichen Angriffen umsetzen können; dadurch kann das Risiko eines Datenverlusts verringert und den damit verbundenen finanziellen Verlusten und Imageschäden vorgebeugt werden.