IT-Sicherheit

Mehr als eine Passwortabfrage

Trotz des Wissen um immer häufigere Attacken aktualisieren Unternehmen ihre Schutzvorrichtungen erst, wenn es bereits zu spät ist. Warum?
Selten spielte die IT eine wichtigere Rolle als heute. Was allerdings das Verständnis für IT-Konzepte und deren Umsetzung anbelangt, liegt Europa im Vergleich zu den USA noch weit hinten.

Und wer als Unternehmen dem Wettbewerb stand halten will, sollte nicht nur umsichtig in IT investieren, sondern auch ein neues Verständnis für den Einsatz im Unternehmen entwickeln: denn es kann eine Innovationskultur geschaffen werden.

Vorraussetzung dafür ist allerdings, dass Unternehmen CEOs bzw. Führungskräfte / IT-Fachleute haben, die nicht nur in technischen Fragen "fit" sind, sondern die Prozess und Qualitätskontrollen im Auge haben, die Kundensicht bzw. die Businesswelt einbeziehen und so eine Ausrichtung auch der IT-Ansätze am Unternehmensgeschäft gewährleisten.

Und spricht man von IT-Ansätzen, so spricht man auch von IT-Sicherheit. Denn "zwei von drei deutschen Unternehmen registrieren mehr oder wesentlich mehr Verstöße gegen ihre IT-Sicherheit. 

IT-Sicherheit wird fälschlicherweise oft nur mit "Passwortabfrage" und "Firewall" übersetzt. Es gibt eine Reihe von Untersuchungen, DIN-Normen und Kriterien des BSI (Bundesamt für Sicherheit in der Informationstechnik), die IT-Sicherheit definieren, jedoch auch nicht immer eingängig genug.

Und nicht nur die Definition bzw. das Verständnis des Begriffes IT-Sicherheit ist unzureichend. Oft auch das Bewusstsein der Mitarbeiter für dieses Problem.
Wer kennt schon die IT-Policy des eigenen Unternehmens? Und ist diese überhaupt ausreichend dokumentiert und zugänglich?

Und natürlich: es muss gespart werden und wenn dann bei der IT-Sicherheit. Eine im folgenden beschriebene semantische Definition gibt Hinweise, wo und wie "IT-Sicherheit" zum Tragen kommt und welche Maßnahmen einzuleiten wären, wenn IT-Systeme daraufhin analysiert werden, und das es strategischer Entscheidungen bedarf, um IT-Sicherheit einzuführen.

Wesentlich ist die Betrachtung der IT-Sicherheit aus zwei Sichten (auch "duale Sicherheit" genannt):

  • Die Sicherheit der Systeme, und die
  • Sicherheit der Betroffenen.

Auf die Systeme bezogen wird von Verlässlichkeit gesprochenen, die Sicherheit vor dem System wird Beherrschbarkeit genannt. Beide Sichten ergänzen einander, sind also komplementär.

Verlässlichkeit eines Systems

Die Verlässlichkeit kann definiert werden als:

  • "Die Sicherheit der Systeme in technischer Sicht beschreibt eine Sachlage, bei die Systeme, die mit ihnen verarbeiteten Daten noch die Form der Verarbeitung in ihrem Bestand, ihrer Nutzung oder in der Verfügbarkeit unzulässig beeinträchtigt werden.""

Damit ein System als in diesem Sinne verlässlich angesehen werden kann, muss betrachtet werden was den die Verlässlichkeit beeinträchtigen kann, dem gegenüber stehen dann notwendige Eigenschaften die ein System aufweisen muss:

Folien Download, PDF 21 kB »

Die Vertraulichkeit, Integrität und Verfügbarkeit des Systems und all seiner Komponenten, d.h. der Geräte, Daten, Programme und Personen, sind also notwendige Eigenschaften, die es gilt zu schaffen und zu erhalten.
Ein verlässliches IT-System muss also alle geforderten Aktionen ausführen, alle nicht geforderten Aktionen zurückweisen und das alles in den geforderten zeitlichen Rahmenbedingungen.

Viel Aufmerksamkeit gilt der Vertraulichkeit, Integrität und Verfügbarkeit der an einem IT-System beteiligten Personen, viel Geld wird für die zugehörigen Geräte ausgegeben. Wesentlich ist aber Ausdehnung dieser Eigenschaften auf alle Komponenten eines Systems, d.h. auch auf die Programme: Bekannt ist das Problem, dass ein fehlerhaftes Programm die Verfügbarkeit beeinträchtigen kann, bleibt der Fehler aber unerkannt führt dies zu einer ungewollten veränderter Funktionalität und somit zu ungewollten Ergebnissen, mithin wird neben der Verfügbarkeit auch die Integrität beeinträchtigt.

Der Schaden, der durch fehlerhafte Programme entsteht, kann sehr schnell sehr groß werden, in der Öffentlichkeit werden immer wieder besonders spektakuläre Fälle bekannt (Ausfall eines Stellwerks in Hamburg, Anfängliche Unschärfe des Hubble-Teleskops, fehlerhafte Renten-Abrechnungen).
Höchste Aufmerksamkeit auf die Programme zu lenken ist also ein wesentlicher Bestandteil bei der Betrachtung der IT-Sicherheit, mithin eine oft vernachlässigte Aufgabe, sowohl bei den Anwendern wie bei den Herstellern.

Beherrschbarkeit eines Systems

Womit der Bogen zu den Anwendern geschlagen wäre: Die Beherrschbarkeit beschreibt aus der Sicht der Betroffenen die Sicherheit vor dem System.
Durch die Verlässlichkeit eines Systems ist noch nicht gewährleistet, dass das Funktionieren im Sinne des Betroffenen ist, seine Belange berücksichtigt und für ihn nachvollziehbar sind. Da dem Anwender oder Betroffenen die Möglichkeit zur unmittelbaren Wahrnehmung dessen fehlt, was in einem IT-System passiert, müssen weitere Eigenschaften definiert werden, um ein IT-System aus Sicht des Betroffenen sicher zu machen:

Folien Download, PDF 21 kB »

Damit Daten, Prozesse oder Ereignisse in einem IT-System nachprüfbar und rechtsverbindlich sind, müssen alle Vorgänge und Ergebnisse, d.h. alle Aktionen und Daten, zu definierbaren Auslösern zugeordnet werden können (Zurechenbarkeit).

Weiterhin muss diese Zuordnung auch gegenüber unbeteiligten Dritten beweisbar sein (Revisionssichereit bzw. Rechtsverbindlichkeit): Mit wachsender Nutzung moderner IT-Systeme auch für wirtschaftliche und administrativer Zwecke genügt es nicht mehr nur die Zurechenbarkeit festzustellen, vielmehr müssen solche Abläufe und Daten aktuell und vollständig so dokumentiert sein, dass die Dritten gegenüber beweiskräftig sind.

Zurechenbarkeit und Revisionsfähigkeit im IT-System

Bei der Betrachtung dieser Eigenschaften wird der Blick eher auf die einzelnen Programmfunktionen eines Systems gelenkt: Kann z.B. wirklich jedes Abrechnungssystem beweisen, wie Abrechnungsdaten zustande kommen?

Wer z.B. schon einmal versucht hat seine Telefonrechnung nachzurechnen, könnte leise Zweifel entwickeln, die Prozesse gegen Telekommunikationsunternehmen zeigen hier oftmals die Grenzen dieser Sicht: So argumentieren die Unternehmen u.a., nicht sie müssten die Korrektheit ihrer Systeme beweisen, sondern der Betroffene die Unkorrektheit, was ihm mangels Kenntnis der IT-Systeme und mangelnder Möglichkeit zur unmittelbaren Wahrnehmung nicht gelingt.
Diese beiden Eigenschaften sind also nicht notwendigerweise in einem System vorhanden, sondern müssen explizit implementiert werden.

Ein sicheres IT-System in dieser Betrachtung entsteht also erst, wenn das System verlässlich aus technischer Sicht und beherrschbar aus Anwendersicht ist:

Folien Download, PDF 21 kB »

Erweiterungen der semantischen Definition
Die bislang aufgeführten Eigenschaften eines System

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Zurechenbarkeit
  • Revisionsfähigkeit

sind als grundlegend zu betrachten, wenn vernünftige Sicherheitskonzepte für IT-Systeme behandelt werden. Hilfreich ist jedoch auch die Erweiterung oder Verfeinerung dieser Eigenschaften, sie gibt Hinweise auf mögliche Lücken im Sicherheitskonzept.
So können z.B: Eigenschaften wie
Wartbarkeit

  • Flexibilität
  • Stabilität
  • Robustheit

aufzeigen, wie Verlässlich ein System sein kann:

  • Fehlende Stabilität führt natürlich schnell zu fehlender Verfügbarkeit und ggf. zu fehlerhaften Daten.
  • Fehlende Wartbarkeit und Flexibilität kann dazu führen, dass veränderte Anforderungen nicht oder nicht nachvollziehbar umgesetzt werden, hier wären die Eigenschaften Zurechenbarkeit oder gar Revisionsfähigkeit gefährdet.

"Fehlerhaft arbeitende Komponenten"
Als zusätzliche Komplikation muss ein IT-Sicherheitskonzept natürlich auch die Mitwirkung fehlerhaft arbeitender Komponenten berücksichtigen. Hier führen Eigenschaften wie Robustheit oder Fehlertoleranz dazu, dass ein System im Fehlerfalle nicht in einen undefinierten Zustand gerät, sondern sich kontrolliert verhält, wiederaufsetzbar bleibt oder gar selbstheilend agiert.

Nicht nur dass es keine 100% fehlerfreien Programme gibt zeigt die Notwendigkeit zur Beachtung dieser Eigenschaften, in der Regel arbeiten ja Menschen mit einem IT-System und müssen auch als "fehlerhaft arbeitende Komponente" berücksichtigt werden. So muss ein Programm also auch Fehler in der Bedienung erkennen können und "schlimmstes" verhindern können (siehe die oft genannte Ursache "menschliches Versagen" beim Umgang mit Maschinen jedweder Art).

Mit dieser einfachen und doch umfassenden Definition der "IT-Sicherheit" lässt sich das Spektrum der zu betrachtenden Komponenten schnell erweitern und in eine IT-Sicherheits-Strategie in jedem IT-Umfeld integrieren.
Es wird sich zeigen, dass IT-Sicherheit nicht nur eine Aufgabe des Netzwerkadministrator ist, der eine Firewall zu konfigurieren hat, sondern auch schon bei der Planung und Implementierung von Anwendungsprogrammen zum tragen kommt und somit auch eine wesentliche Entscheidung des IT-Managements voraussetzt.

Links und Literatur

Dieses Thema wurde in Zusammenarbeit mit Dirk Ortmann, Geschäftsführer der Softways GmbH (www.softways.de) erstellt.

  • Unternehmer und ihre Führungskräfte sollten IT-Ansatz stärker überdenken: Wer als CEO auch künftig vor der Konkurrenz bestehen will, sollte nicht nur in Informationstechnik investieren, sondern auch die Art ihres Einsatzes im Unternehmen neu überdenken. Diese Meinung vertreten die Experten des MVPatWork Team der Online GmbH.
  • Out of the box? Bequem und praktisch, so die einhellige Meinung zum Thema E-Mail. Doch was des einen Freud, ist des anderen Leid: Die IT-Abteilungen in den Unternehmen stellt die Verwaltung der elektronischen Post vor wachsende Herausforderungen. Wie können anfallenden Aufgaben weitestgehend automatisch erledigt, Administratoren der Alltag erleichtert und gleichzeitig die Betriebskosten gesenkt werden? Dies im Artikel Mailserver- und Speicher-Konsolidierung mit easyXchange.
  • Gegen Feuer, Wasser und Einbruch. Gebäude-Sicherheitstechnik als Bestandteil einer effektiven Security-Strategie "IT-Security zählt nach wie vor zu den fünf wichtigsten Themen für CIOs", so eine aktuelle Studie des Marktforschungsunternehmens Meta Group. Grundlage für eine sichere IT-Landschaft ist erst einmal der physikalische Schutz der Systeme – vor allem in den Rechenzentren: Die Unternehmen tun gut daran, die Gefahren durch äußere Einflussfaktoren wie Raumklima, Stromausfall oder Feuer nicht zu unterschätzen.

Verwandte Themen
Tagcloud

Kommunikation Unternehmenskommunikation Leistung Kennzahlen Krise Veränderung Methode Motivation Führung Literatur Vertrieb Kunden Zukunft social network Loyalitätsmarketing Ablauf Kundenbindung Modell Management Internet Instrument Produktion Vertrieb Vision Prozess Social Media E- Personal Team CSR ILTIS Planung Hörbuch Produkt Innovation Knigge Organisation Organisationsentwicklung Markt Strategie Beratung Grundsätze Kommunalberatung Mitarbeiter Verkäufer Marke Change-Management HRM Lernen Wettbewerb IT Community Akzeptanz Erfolg Finanzierung Konflikt Wissensmanagement Service Recruiting Unternehmen Qualitätsmanagement Potenzial Entscheidung Management by Emotion Kundenloyalität Intuition Mitarbeitergespräch Unternehmenskultur Kultur Projekt Börse IT-Trend Führungskraft Orientierung Kompetenz Kündigung Projektmanagement Verhalten Konkurrenz Karriere Marketing Ziele Resilienz Information Mensch Coaching Widerstand Macht Medien Erfahrungswissen Assessment Event Kundenzufriedenheit Gehirntraining Werte Führungstipps Psychologie Netzwerksicherheit Touchpoint Outsourcing Empfehlungsmarketing Prioritäten Netzwerk Potenzialentwicklung Messung Umwelt Manager Commitment Checkliste Wachstum Kreativität Controlling Mentoring Corporate Wandel Regeln Kommunikationsmodell Intelligenz Zielgruppe Qualität Veränderungsprozess Bewerberauswahl Demographie Mitarbeiterzufriedenheit Präsentation Strategieverwirklichung Risiko Navigationsinstrument Ideen CMS Verwaltung Trend Value Literatur Change Management CRM Zielvereinbarung Mitarbeiterbefragung Markterfolg Kulturkompetenz Diversity Souveränität Profit IT-Infrastruktur Leadership Mitarbeitermotivation Kundenrückgewinnung System Navigation Altersstruktur Kommune Weiterbildung Science of Happiness at Work Image Mobile Erreichbarkeit E-Mail Ethik Projekt Office Anforderungsprofil High Potentials Bürgermeister intrnational Mediation Anwenderbetreuung Mobile Marketing Burn-Out Energie Mitarbeiterbindung Nachhaltigkeit Verhandlung Datenschutz Moderation Authentizität Führungsstil Akquise Verbraucher Business-Ettikette Charisma Telefonie Dynamic Experience Research Verwaltung Training Visualisieren

Neues bei ILTIS

Lean Services

Wie Sie den Change vom Kostenfaktor hin zum Qualitätsdienstleister meistern

Das erfahren Sie bei uns