IT-Security

Wettlauf von Cyber-Igel und Cyber-Hase

| Autor / Redakteur: Jörg Prings & Marcus Hock / Susanne Ehneß

Marcus Hock, Consultant, Profi AG
Marcus Hock, Consultant, Profi AG (Profi AG)

Wichtigstes Hindernis in der täglichen Arbeit ist, dass – ähnlich wie in der Industrie – auch die ­Behörden den Angreifern meist zeitlich hinterherlaufen. Außerdem sind die Ressourcen, welche Behörden aufbringen können, im ­Vergleich zu den Möglichkeiten der Angreifer, unverhältnismäßig klein.

Dementsprechend bedarf es einer weiteren schnellen Bereitstellung von personellen, technischen und finanziellen Mitteln im Öffentlichen Dienst, um dieser Unverhältnismäßigkeit Herr zu werden. Die Mittelzuführung gestaltet sich in der Praxis durch die langen Haushaltszeiträume und die festen Strukturen teilweise schwierig.

Maßnahmen

Was also kann man generell tun, um in diesem immerwährenden Wettrüsten mithalten zu können? Natürlich müssen alle Maßnahmen, seien sie technisch oder organisatorischer Natur, immer auch in Relation zum konkreten Risiko stehen. Doch genau an dieser ­Stelle tun sich oft die ersten Defizite auf: Was sind denn die tatsächlichen Risiken, denen die betreffende IT ausgesetzt ist? Was sind denn die kritischen Daten, auf welchen Systemen befinden sie sich und welche Auswirkungen hätte ein Verlust an Vertraulichkeit, Integrität oder Verfügbarkeit?

All dies sind klassische Fragen, die am Anfang eines Prozesses zur ­Bewertung, Verbesserung und fortlaufenden Pflege der eigenen IT-Sicherheit stehen. Zusammen mit diversen anderen Themen, Prozessen und Regelungen entsteht auf diese Weise ein Informationssicherheits-Management-System (ISMS). Ob dieses nun bis zur Zertifizierung auf Basis BSI-Grundschutz oder ISO 27001 fortgeführt wird, muss im jeweiligen Einzelfall betrachtet werden.

Zuallererst muss aber erkannt ­werden, dass IT-Sicherheit keine Ansammlung von Werkzeugen in Verbindung mit oft entweder ­unzeitgemäßen oder rein situativ-reaktiven Regularien mehr sein darf. Das ISMS soll in erster Linie dazu dienen, als Rahmenwerk für die IT-Sicherheit das zu ermöglichen, was IT-Sicherheit heute sein muss: Ein permanenter Prozess, der dem Zyklus „Plan-Do-Check-Act“ folgt. Natürlich ist die Voraus­setzung für einen echten Mehrwert dabei immer, dass es sich nicht um ein reines Papierwerk handelt, ­welches den Bezug zur alltäglichen Realität in der Behörde verloren hat. Vielmehr muss es als Framework einen Rahmen bieten, der es den Beteiligten ermöglicht, die technischen und organisatorischen Änderungen schneller, effektiver und vor allem immer am realen Schutzbedarf orientiert einzusetzen.

Auf diese Weise entwickelt sich IT-Sicherheit von einer Sammlung aus Werkzeugen und Regelungen zu einem lebendigen Prozess, der den rasanten Entwicklungen auf der Gegenseite etwas entgegen­zusetzen hat. Ob sich an die Umsetzung eine formale Zertifizierung anschließt oder die bestehenden Leitfäden nur als inhaltliche Hilfestellung verwendet werden, steht auf einem ganz anderen Blatt.

Die Frage jedoch, ob Informationssicherheit eines stetig fortgeführten, individuellen Management-Prozesses bedarf, wird von jedem Sicherheitsvorfall aufs Neue eindeutig beantwortet. Und trotzdem werden wir uns auch weiter erfolgreichen Angriffen und Störfällen ausgesetzt sehen, dem Cyber-Hasen­ und dem Cyber-Igel.

Hacker-Angriffe auf Behörden und Ministerien

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43613815 / System & Services)