Suchen

Sicherheits- und Notfallmanagement aufbauen und optimieren Annähernd lückenlose Sicherheit

| Autor / Redakteur: IT-BUSINESS / Das Interview führte Katrin Hofmann / Katrin Hofmann

Der im November dieses Jahres startende zweitägige „BSI-Campus 2013“ der Vogel IT-Akademie vermittelt die Vorgehensweise, Sicherheit konform zu den BSI-Grundschutzkatalogen und den BSI-Standards BSI 100-1 bis 100-4 umzusetzen. IT-BUSINESS sprach im Vorfeld mit dem Referenten und IT-Sicherheitsexperten Dr. Markus a Campo unter anderem darüber, warum diese für Organisationen wesentlich sind, welche Konsequenzen ein unausgereiftes Sicherheitsmanagement haben kann und wo es am häufigsten Defizite gibt.

Firmen zum Thema

Dr. Markus a Campo, Trainer und von der IHK vereidigter Sachverständiger für IT-Sicherheitsthemen
Dr. Markus a Campo, Trainer und von der IHK vereidigter Sachverständiger für IT-Sicherheitsthemen
(Dr. Markus a Campo)

ITB: Sie referieren am ersten Seminartag des BSI Campus 2013 über die BSI-Grundschutzkataloge und die Standards BSI 100-1 bis -3. Warum ist eine Ausrichtung an diesen wesentlich?

Campo: Mittlerweile gibt es für Firmen und Behörden zahlreiche Gesetze und Richtlinien, die sich unter dem Stichwort „Compliance“ zusammenfassen lassen. Darunter fallen nicht nur Anforderungen an den Datenschutz, sondern auch die Verpflichtung des Managements zum Risikomanagement- und -controlling. Die Erfüllung dieser Vorgaben erfordert eine intensive Beschäftigung mit dem Thema „Informationssicherheit“. Es ist sinnvoll und spart Zeit als auch Geld, wenn man sich hier an etablierten Standards vom BSI orientiert.

ITB: Wie helfen die Standards konkret, die Informationssicherheit herzustellen?

Campo: Die BSI-Standards behandeln alle Aspekte der Informationssicherheit, angefangen von einer Organisationsstruktur für Informationssicherheit über Risikoanalysen bis hin zum Einsatz der BSI-Grundschutzkataloge. In den Grundschutzkatalogen werden ganz konkrete Vorgaben gemacht, wie beispielsweise ein Windows-Server abzusichern ist oder eine Strategie zum Virenschutz entwickelt und umgesetzt wird.

ITB: Was sind die Folgen, wenn das Sicherheitsmanagement von Organisationen unausgereift ist?

Campo: Ein schlechtes Sicherheitsmanagement hat immer zur Folge, dass Sicherheitslücken aufreißen. Diese eröffnen Möglichkeiten, die Informationssicherheit zu beschädigen, indem etwa Daten ausgespäht oder Trojaner in das Netzwerk eingeschleust werden. Ein gutes Sicherheitsmanagement begreift die Informationssicherheit als einen Prozess der ständigen Überprüfung und Verbesserung. Wie die Praxis zeigt, entstehen ohne diese dynamische Vorgehensweise früher oder später immer Sicherheitslücken mit oft fatalen Folgen.

ITB: Aus Ihrer Erfahrung als vereidigter IT-Sicherheits-Sachverständiger: Wo gibt es am häufigsten Defizite?

Campo: Häufige Probleme entstehen beim Patch-Management. Besonders schwierig wird es bei Java, PDF-Readern oder Flash-Playern, deren Updates sich nicht so leicht automatisch verteilen lassen. Deshalb entsteht hier das größte Angriffspotenzial, etwa durch Client-Site-Attacks über manipulierte PDF-Dateien. Eine andere Baustelle ist in vielen Firmen und Behörden die Frage nach der Verantwortung des Benutzers. Nur mit Technik und organisatorischen Vorgaben lässt sich heutzutage keine wirkliche Sicherheit mehr erzielen. Eine ganzheitliche Betrachtung ist nötig, zu der die BSI-Standards wertvolle Anregungen liefern.

ITB: Wie ist mit Restrisiken umzugehen?

Campo: Restrisiken kann man ignorieren, sich dagegen versichern oder aber mit geeigneten Maßnahmen weiter verkleinern. Welche dieser Möglichkeiten genutzt werden soll, ist im Einzelfall oft schwierig zu entscheiden. Werden zu große Risiken getragen, entsteht im Ernstfall vielleicht ein Organisationsverschulden. Versucht man aber, alle denkbaren Risiken zu verhindern, explodieren die Kosten für die Informationssicherheit. Mit Hilfe der BSI-Standards kann hier ein praktikabler Mittelweg gefunden werden.

(ID:42353551)