Wer heute als IT-Verantwortlicher oder IT-Administrator moderne Netzwerke betreut, muss sich zwingendermaßen auch mit der IT-Sicherheit auseinandersetzen. Heute deutlich mehr als noch vor einigen Jahren. Denn mit der ständig steigenden Integration von Internetdiensten und der kompletten Anbindung der Netzwerke an die Cloud steht nicht nur dem jeweiligen Unternehmen Tür und Tor zur ganzen Welt offen.
Da mittlerweile von Mitarbeitern nicht mehr nur Webseiten aufgerufen oder einfache E-Mails empfangen werden müssen, haben sich auch die Anforderungen an die IT-Sicherheit in den letzten Jahren grundlegend geändert.
Gesetzliche Vorgaben als IT-Sicherheitsrichtlinie
Auf der einen Seite gibt es Gesetze, die eingehalten werden müssen. Bestes Beispiel hierfür ist die DSGVO. Seit dem Jahr 2016 sind Unternehmen verpflichtet, Maßnahmen zum Schutz von personenbezogenen Daten und deren Verarbeitung zu ergreifen. Die genauen Details der DSGVO sollten aber mittlerweile in jedem Unternehmen bestens bekannt sein und selbstverständlich auch strikt eingehalten werden.
Im Grunde genommen gibt es jedoch keine Kontrolle, ob und wie ein Unternehmen die Vorgaben der DSGVO umsetzt. Jedes Unternehmen entscheidet selbst, welche geeigneten Maßnahmen zur Anwendung kommen. Und welche eben nicht. Ob diese Maßnahmen effektiv sind oder überhaupt unternehmensweit eingesetzt werden, wird nicht bewertet. Ebenso gibt es keine gesetzliche Kontrolle ob derer Umsetzung. Es wird einfach vorausgesetzt.
Bei Gesetzen dieser Art gibt es einen großen Haken. Funktionieren die ergriffenen Maßnahmen nicht oder werden nur lückenhaft angewendet, fällt dies im Alltagsgeschäft kaum jemandem auf. Bis eines Tages urplötzlich und völlig unerwartet der IT-Supergau eintritt und massenhaft Daten im Internet landen. So geschehen im Jahre 2018, als Cyberkriminelle eine britische Airline quasi digital plünderten. Durch einen Cyberangriff wurden über 400.000 Kundendaten, Nutzernamen und Passwörter von Mitarbeitern und Administratoren, Kreditkarteninformationen und noch viele andere prekäre Daten erbeutet.
Bei den Ermittlungen zu diesem Fall wurde unter anderem festgestellt, dass das Unternehmen interne Sicherheitslücken nicht entdeckt und rechtzeitig geschlossen hat. Eine Begrenzung von Zugriffsrechten oder eine MFA (Multi-Factor-Authentification) waren nicht vorgesehen. Ebenso gab es keine Tests der IT-Sicherheit auf Seiten des Unternehmens. Der oben beschriebene Fall ist kein Einzelfall in der Geschichte der „DSGVO-Missgeschicke“. Größere Fälle gab es auch bei Google oder H&M. Die Details zu den DSGVO-Verletzungen lassen sich leicht im Internet finden. Ohne hier und jetzt auf das Thema DSGVO zu intensiv einzugehen, zeigt sich sehr schnell, dass Vorgaben, die nicht kontrolliert werden, nicht immer gut genug umgesetzt werden. In extremen Fällen drohen zwar saftige Geldstrafen in Millionenhöhe, aber die eigentlichen Fehler bei der Informationssicherheit werden damit nicht korrigiert.
Wie sicher sind wir?
Für den versierten IT-Verantwortlichen oder IT-Administrator stellt sich damit unwillkürlich die Frage, wie sicher das firmeneigene IT-Netzwerk in Bezug auf Informationssicherheit ist. Nach bestem Wissen und Gewissen reicht leider nicht aus, wenn es am Ende um die Frage geht, wer den Kopf auf dem silbernen Tablet darbietet, wenn Cyberangriffe oder Unachtsamkeit sensible Daten für andere zugänglich machen.
Ja, nicht nur kriminelle Energien aus dem Internet sind eine tägliche Bedrohung. Auch Unachtsamkeit und Sorglosigkeit beim Umgang mit Daten und Informationen sind keine Seltenheit. Da werden nichtsahnend auch schon mal Exceldateien mit persönlichen Kunden- oder Patientendaten unverschlüsselt via E-Mail versendet. Wie bereits erwähnt, obliegt die Umsetzung der gesetzlichen Richtlinien den Unternehmen.
Allein aufgrund der eigenen Erfahrungen können wir in der heutigen, sich immer schneller drehenden IT-Welt selten alle Gefahrenquellen ausmachen und absichern. Auch auf die Hersteller von Soft- und Hardware, die sämtliche Sicherheitsversprechen auf letztendlich doch wertlosem Papier niederkritzeln, sollte man sich nicht ausschließlich verlassen.
Geschäftsführer und IT-Sicherheitsverantwortliche sind in der Regel diejenigen, die für die IT-Sicherheit ihren Kopf hinhalten müssen. Daher ist es verständlich, dass sich die Führungsriege eines Unternehmens, die gelebte und strikt einzuhaltende IT-Sicherheit auch regelmäßig bestätigen lassen möchte. In einigen Unternehmen müssen sich die Vorgesetzten auf die Berichte und Zusagen der IT-Verantwortlichen des Unternehmens einfach blind verlassen.
Der Sinn von Normen und Zertifizierungen
Die Industrie kennt viele Normen und Standards, die vor allem eines ermöglichen. Sich auf etwas branchenübergreifend verlassen zu können. Nehmen wir zum Beispiel ein einfaches Blatt Papier. Bei uns in Mitteleuropa hat sich für die normale Korrespondenz das Format DIN A4 etabliert. Wenn sie nun ein Hersteller von Papier sind, profitieren Sie von dem einheitlichen Format, das überall mit den richtigen Maßen verwendet wird. Selbstverständlich könnten Sie auch ein beliebiges anderes Format produzieren. Da sich aber die meisten an der Norm DIN A4 orientieren (z. B. Druckerhersteller, Couvert-Herstellung etc.), wird Ihre Sonderanfertigung wohl wenig Freunde finden.
Genormte IT-Sicherheit
Ähnliches gilt auch für die IT eines Unternehmens. Eine fähige IT-Abteilung ist tatsächlich in der Lage, eine den gesetzlichen Anforderungen entsprechende IT-Sicherheit-Lösung inklusive eines ISMS (Informations-Sicherheits-Management-System) zu etablieren. Allerdings wissen eben nur die damit betrauten Personen, wie diese Systeme und Vorgaben funktionieren und ineinandergreifen. Je nach Kenntnis- und Ausbildungsstand der IT-Mitarbeiter kann die Qualität erheblich schwanken. Denn welche Wege bei der Umsetzung beschritten werden, sind tatsächlich von Unternehmen zu Unternehmen unterschiedlich.
Wer bei der Informationssicherheit einen standardisierten und zertifizierbaren Weg gehen möchte, kann sich dabei an eine Reihe von etablierten Standards halten. Dazu wurden von der International Organization for Standardisation (ISO) und der International Electronical Commission (IEC) eine Reihe von Standards beschlossen, die unter dem Namen ISO 2700x firmieren und bei IT-Administratoren und IT-Verantwortlichen für einen gewissen Juckreiz unter der Haut sorgen.
Wird zum Beispiel das firmeninterne ISMS (Information Security Management System) nach den Vorgaben der ISO-Reihe aufgebaut, kann sich das Unternehmen dieses ISMS nach ISO 2700x zertifizieren lassen. Dies geschieht durch externe Prüfungsdienstleister, die aufgrund des ISO 2700x Katalogs die einzelnen Vorgaben prüfen. Der Katalog enthält aktuell 114 Kontrollpunkte, die zu erfüllen sind. Werden alle Prüfungspunkte erfolgreich und ohne Beanstandung absolviert, darf sich das Unternehmen mit dem schmucken Wortlaut „Zertifizierung nach ISO 2700x“ schmücken.
Bei einer derart umfassenden Zertifizierungsprüfung geht es aber nicht allein und die IT eines Unternehmens. Vielmehr müssen verschiedene Bereiche wie ein Zahnrad ineinandergreifen. Dazu gehören neben der Datenverarbeitung auch die physische Sicherheit, das Personalmanagement und organisatorische Belange.
Zertifizierte Sicherheit für andere sichtbar machen
Um mit anderen Unternehmen in Geschäftskontakt zu treten, kann es unter Umständen nötig sein, dass eine Zertifizierung nach bestimmten Normen verlangt wird. Wenn es sich um das oft relevante Thema Informationssicherheit handelt, ist eben die ISO 2700x die erforderliche Qualifikation. Mit einer bestehenden Zertifizierung nach ISO 27001 können Sie auch den anderen Unternehmen ihre Kompetenz bei der Informationssicherheit bestätigen. Andererseits können auch Sie sich darauf verlassen, dass die Normen bei anderen Firmen eingehalten werden.
Wiederkehrende Überprüfung nach 3 Jahren
Bei der IT-Sicherheit gibt es keinen Stillstand. So ist es nötig, dass IT-Abteilungen bestehende Systeme und Abläufe fortwährend prüfen und diese auch neu zu bewerten sind. Eine ISO-Zertifizierung hat eine Gültigkeit von 3 Jahren, einmal jährlich ist zudem ein Überwachsungsaudit erforderlich. Nach diesem Zeitraum muss eine Re-Zertifizierung erfolgen und das Zertifikat erneut ausgestellt werden.