IT-Security: Schutzbedarfsanalyse, eine unterschätzte Disziplin?

IT-Security, ein Thema, das uns in letzter Zeit fast täglich begegnet: sei es die NSA-Affäre, hunderte von Millionen geklauter Zugangsdaten, entwendete Kreditkarteninformationen, gehackte Cloudaccounts usw. Auf der Suche nach Input zum Thema IT-Security finde ich immer wieder fast ausschließlich Technologie-Aspekte: Patches, Authentifizierung, Internet of Things, Firewalls, Android, Windows XP, … Und noch ein bisschen Sensibilisierung bzw. Nutzerverhalten. Und das war’s dann schon?

Ein Tresor

Nicht alles, was man besitzt, ist gleich schützenswert. Und nicht jeder Ort bietet den gleichen Schutz. In einem Tresor können wir die wertvollsten Besitztümer aufheben. Liegt er dazu versteckt, dann ist der Schutz, den er bietet, noch größer. In ein Bankschließfach (das ich noch sicherer einschätze als einen Tresor in der eigenen Wohnung) kommen dann die allerwichtigsten Dinge.

Aber welches sind die wertvollsten oder die wichtigsten Dinge? Das muss natürlich überlegt sein, bevor wir beginnen, Schließfach und Tresor zu füllen.

Und natürlich bieten weder Tresor noch Schließfach Schutz gegen Einbruchsversuche, da muss auch noch etwas unternommen werden. Aber bevor die ganze Wohnung abgesichert wird wie Fort Knox, ist ein stufenweises Vorgehen wirtschaftlicher: Basisschutz für die komplette Wohnung, dazu einen Tresor und ein Bankschließfach für die wertvollen und die wertvollsten Dinge.

IT-Security – ein Extremfall

Ein Freund, selbständiger Trainer für Persönlichkeit und Kommunikation, fragte mich vor einigen Jahren, was der beste Schutz gegen Angriffe auf seinen PC sei. Ich sagte ihm, dass der einzig sichere Schutz darin besteht, die Kommunikation zu minimieren. D.h. keine Internetverbindung, kein Datenaustausch über elektronische Medien und so wenige zugelassene Benutzer wie möglich.

Dieser PC, mit dem er neue Kommunikationstechniken entwickelt und Trainings konzipiert, steht heute noch stand-alone und Medien werden kaum eingelegt, weil die Nutzung mit einem Minimum an Software auskommt. Sicherheitspatches sind nicht notwendig, weil keine Verbindung zum Internet besteht. Und neue Software wird nicht benötigt, weil das alte Office-Paket ausreicht.

Die Kosten der Lösung sind gering, weil nur ein zusätzlicher Rechner benötigt wird. Und er läuft schon seit etlichen Jahren.

Die Sicherheit gegen Angriffe aus dem Internet ist absolut gegeben. Allgemein würde ich das Konzept mindestens mit dem Bankschließfach gleichsetzen, sofern die Festplatte verschlüsselt ist.

Stufenkonzept zur IT-Security

Sieht so künftig das Sicherheitskonzept aus? Jedem einen zweiten Rechner für wichtige Dinge? Wohl kaum, das geht höchstens in einer Kleinfirma, in einem Unternehmen mit vielen Mitarbeitern natürlich nicht. Und was sind überhaupt die wichtigen Dinge?

Jetzt kommen wir langsam zum Kern des Ganzen: was sind die wichtigen Dinge? Und wie werden sie ermittelt?

Die Lösung finden wir im BSI-Grundschutz: Die Schutzbedarfsanalyse. Nicht so technisch wie dort beschrieben, sondern mehr von der Business-Seite her kommend. Nicht Bottom-Up, sondern Top-Down. Die dort beschriebenen Bewertungen orientieren sich mehr an den rechtlichen Aspekten, während ein Unternehmen sicherlich stärker in unternehmerischen Belangen denkt. Aber am Grundprinzip ändert das nichts: die Schutzbedarfsanalyse gibt Hinweise, welches die Daten und Objekte sind, die den meisten Schutz verdienen.

Die iPod-Idee, Geheimhaltung bis zum Schluss

Stellen Sie sich zum Beispiel vor, es ist Anfang 2001, Sie sind Steve Jobs und haben gerade beschlossen, dass das Konzept aus einem tragbaren MP3-Player mit der damals schier unendlichen Speichergröße einer 5GB Mini-Festplatte kombiniert mit einem Online Musicstore umgesetzt wird. Die Idee für iPod und iTunes Musicstore war geboren. Eine Revolution des Musikmarkts steht bevor. Hätten Sie nicht alles getan, dieses Vorhaben so lange geheim zu halten, bis Sie das Interesse der Öffentlichkeit aus Marketinggründen selbst gezielt wecken wollen? Hätten Sie dazu eine Bottom-Up-Analyse Ihrer Server, Hardware-Komponenten, Systeme etc. benötigt? Nein! Die Existenz und die Details dieses Projekts war die mit Abstand schützenswerteste Information zu diesem Zeitpunkt. Alles musste unternommen werden, um jede Information darüber geheim zu halten, seien es technische oder organisatorische Details, Gerätedesign oder sonstige Informationen. Das ist natürlich mehr als nur IT-Security. Top-Down Vorgehen führt eben oft zu größeren Themen als nur zu solchen, die alleine in IT-Systemen ihren Niederschlag finden. Und ein solches „Bankschließfach“ oder ein „Tresor“ kann mehr umfassen als nur IT.

Porsche kauft VW – und keiner weiß davon

Oder Sie sind Wendelin Wiedeking. Gerade jetzt, im Mai 2008, haben Sie von Ihrem Aufsichtsrat den Auftrag bekommen, die Mehrheit an VW zu übernehmen. Kommt diese Information zu früh an die Öffentlichkeit, dann steigen die Aktienkurse von VW und der Plan ist dahin. Und der Plan, über Aktienoptionen und nicht über Aktien einzusteigen, und so die Meldepflicht zu umgehen, erscheint genial. Wahrscheinlich würden Sie an seiner Stelle nahezu alles, selbst die Entwicklung am revolutionären 918 Spyder, auf Priorität 2 setzen, nur um diese Absicht geheim zu halten. Das umschließt den Zugang zu den entsprechenden IT-Systemen genauso wie organisatorische Maßnahmen, z.B. den Kreis der Informierten so klein wie möglich zu halten oder Besprechungen mit den beteiligten Banken möglichst an sicheren Orten zu führen.

Nicht jedes Unternehmen hat permanent solche extrem schützenswerten Informationen. Aber wenn wir sowohl die Unternehmens-Hierarchie als auch die Objektcluster (Entwicklung, Vertrieb, Marketing, Produktion etc.) Top-Down analysieren, dann finden wir schnell die schützenswerten Objekte. Vielleicht sind es Entwicklungsdaten, deren Verlust einen Wettbewerbsvorteil zunichte machen. Oder sind es die Auftrags- oder Forecast-Informationen Ihrer Kunden? Sind es Opportunities und deren Bewertung? Oder sind es vielleicht börsenrelevante Informationen, deren Besitz es Hackern ermöglichen würde, Insider-Transaktionen durchzuführen? Nicht unbedingt ein finanzieller Schaden aber eventuell ein untragbarer Verlust an Image und Reputation. Und zusammen mit den Objekten werden die betreffenden Manager auch gleich die Begründung nennen, warum diese Informationen schützenswert sind. Da geht es dann um Wettbewerbsvorsprung, um Kundenbindung, um Probleme mit den Aufsichtsbehörden und um finanzielle Schäden und Verluste. Dann haben wir auch schnell unsere Priorisierung.

Schutzbedarf priorisiert – und wo geht’s jetzt lang?

Jetzt wissen wir also, was in unser Bankschließfach und in den Tresor gehört. Somit sind wir in der Lage, unsere Mittel für die IT-Security zu priorisieren. Und wenn die Informationen, die den meisten Schutz verdienen, sich auf unsicheren Systemen befinden, dann können wir entweder die Absicherung gezielt an dieser Stelle verbessern oder die Informationen in ein anderes Segment unserer IT-Infrastruktur verlagern.

So können also stufenweise alle Objekte, die über einem bestimmten Schutzbedarf liegen, auch entsprechend geschützt werden. Zur Erlangung eines gewissen Basisschutzes befolgen Sie die allgemeinen Empfehlungen, zum Beispiel ebenfalls aus dem BSI-Grundschutz. Gehen nun neue Systeme in Betrieb oder werden Änderungen an der Infrastruktur unternommen, so können Sie im Vorfeld prüfen, ob aufgrund des Schutzbedarfs der betroffenen Objekte zusätzliche Maßnahmen erforderlich sind oder nicht.

Mit dieser Vorgehensweise erzeugen Sie also maximalen Schutz, da wo es aus Unternehmenssicht am notwendigsten ist, Sie konzentrieren Ihre Ressourcen auf die relevanten Punkte und vor jeder größeren Änderung oder Entscheidung können Sie die Auswirkungen auf die IT-Security Ihrer Informationen gemessen am Schutzbedarf abschätzen.

Zusammenfassung

  • Die Schutzbedarfsanalyse bietet uns die Möglichkeit, zu erkennen, welches die Informationen oder Objekte sind, die am meisten Absicherung benötigen
  • Auf Basis des Ergebnisses aus der Schutzbedarfsanalyse priorisieren wir die Maßnahmen der IT-Security ganz gezielt
  • Durch einen guten Basisschutz in der Breite geben wir auch den Objekten eine gute Sicherheit, die zu Hause und nicht im Tresor oder Bankschließfach gelandet sind

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*