Notfälle sind planbar, sagen Fachleute, denn viele Ereignisse werden durch Vorsorge beherrschbar. Wie man mit Gefahren für die IT-Sicherheit umgeht, macht im Ernstfall den entscheidenden Unterschied.
In der deutschen Wirtschaft beschränkte sich die Notfallvorsorge lange auf Feuer- und Unwetterschäden. Das hat sich durch das IT-Sicherheitsgesetz verändert, die neue Gesetzeslage brachte viele Unternehmen zum Umdenken. Mit dem Gesetz setzte sich die Erkenntnis durch, dass durch die zunehmende IT-Vernetzung Störungen, Unterbrechungen und Ausfälle vielfältige Ursachen haben können: "Neben Naturkatastrophen, Stromausfall oder dem Ausfall des Internet, stellen natürlich auch Angriffe auf die IT eine Gefahr dar" erläutert Felix Freiling. Er besitzt eine Professur für Informatik an der Friedrich-Alexander-Universität mit dem Schwerpunkt IT-Security und ist Mitinitiator eines berufsbegleitenden Bachelor-Studienganges zu IT-Sicherheit. In der Regel ginge es Kriminellen darum, IT-Ressourcen missbräuchlich zu nutzen oder Informationen zu stehlen, ergänzt er.
Bei Angriffen auf die Unternehmens-IT muss zwischen Außen- und Innentätern unterschieden werden. Letzteres können enttäuschte Angestellte oder auch zur Wirtschaftsspionage eingeschleuste Praktikanten sowie Mitarbeiter sein. Für die Prävention ergibt sich daraus ein großer Unterschied: "Innentäter können durchaus gefährlicher sein, denn sie sind bereits im System", betont der Informatikprofessor. Damit haben sie schon die ersten Hürden überwunden und besitzen eventuell sogar Zugriffsrechte auf sensible Informationen. Schlagen sie zu, ist der Notfall da.
Risiko als Formel
Unternehmen sind also gut beraten, Vorsorgemaßnahmen zu treffen. Dennoch: "Die Hauptschwierigkeit besteht oft darin, die Notwendigkeit zur Vorsorge zu erkennen", berichtet Freiling und merkt an:
"Es ist wie mit Backups, die braucht man immer nur, wenn ein Schadensereignis eingetreten ist."
Daher müsse das Thema Notfallmanagement optimalerweise bis zum Vorstand gehen. Viele Manager wissen jedoch nicht, wie sie relevante Risiken erkennen und sich auf die für ihr Unternehmen spezifischen Notfälle vorbereiten können.
Abstrakt lässt sich das Risiko zwar ganz einfach berechnen: "Durch die Formel Eintrittswahrscheinlichkeit mal Schadenshöhe erhält man das Risiko", doch in der Praxis sei das etwas schwieriger, erklärt Freiling. Dann sei eine Risikoanalyse hilfreich, bei der zum Beispiel vom eigenen Produkt oder der eigenen Dienstleistung ausgegangen werde, um das schützenswerte Know-how oder die wesentlichen Produktionsabläufe zu identifizieren. Danach wisse man, was geschützt werden muss, das könnten beispielsweise Konstruktionspläne oder selbst entwickelte Software sein. Ergänzend liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einem Online-Kurs zum hauseigenen Standard 100-4 Unterstützung für das Notfallmanagement.
Der Mensch ist entscheidend
Freiling weiß aus der Praxis: Viele Firmen gehen anschließend davon aus, es genüge, Geräte oder Software zu installieren und schon sei die Sicherheit hinreichend gewährleistet. "Aber das reicht nicht", warnt er, "Sicherheit wird vorrangig über Menschen gewährleistet". Deshalb betreiben größere Unternehmen häufig ein Security Operations Center (SOC) oder halten ein Computer Emergency Response Team (CERT) vor. Darin kümmern sich Security-Spezialisten um das Vorfall- oder Incident-Management, damit aus einer Störung kein Notfall wird. Das erfordere allerdings einigen Aufwand, weil zumeist ein Incident-Management-System oder Security Information and Event Management (SIEM) betrieben wird.
"So etwas muss man sich leisten können, wie auch die nur für IT-Sicherheit abgestellten Mitarbeiter", gibt Freiling zu bedenken. Besonders kleinere Unternehmen sind dazu häufig nicht in der Lage. Alternativ können diese am Markt aber auch entsprechende Dienstleistungen einkaufen. Unter der Bezeichnung Security-as-a-Service (SaaS) finden sich zahlreiche Angebote. Dadurch könne man auf Profis zurückgreifen, die mit professionellen Tools arbeiten, die sie auch beherrschen. "Aber man gewährt tiefen Zugang in die eigenen Systeme, das erfordert viel Vertrauen", sagt der Security-Experte.
Um diese Hürden zu überwinden, sind Zertifizierungen der Anbieter hilfreich.
"Zusätzlich sollte man nach Referenzkunden fragen", empfiehlt Freiling und merkt an: "Trotzdem braucht es eigene Expertise, um den Dienstleister auszuwählen und zu kontrollieren". Die preislichen Unterschiede sind recht groß, denn viele Anbieter haben fein skalierbare Leistungen im Portfolio. Einige bieten voll automatisierte Dienste an, die zwar qualitativ etwas eingeschränkt, dafür aber relativ günstig erhältlich sind.
Gefahr durch Vergesslichkeit
Informationen und Unternehmensdaten können jedoch auch abhandenkommen, wenn Laptops und andere mobile Geräte verloren gehen oder gestohlen werden. Davor könne man sich aber relativ gut schützen, beruhigt Freiling. Etwa durch die Möglichkeiten, die die häufig eingesetzten Mobile-Device-Management-Systeme (MDM) bieten: "Für zentral gemanagte Geräte existiert beispielsweise die Variante, sie aus der Ferne zu löschen". Ergänzende Zugangskontrollen oder verschlüsselte Festplatten sind weitere Schutzmaßnahmen. "Dazu reichen oftmals schon die Bordmittel der Betriebssysteme aus", empfiehlt er und schränkt ein: "Bei Microsoft-Windows sind dazu aber zumeist Professional-Lizenzen notwendig". Alternativ bieten einige Festplattenmodelle schon von sich aus Verschlüsselung an.
it-sa - Die IT-Security Messe und Kongress
Messezentrum Nürnberg
90471 Nürnberg
