IT-Sicherheitskonzept ganzheitlich erstellen

IT-Sicherheitskonzept für Office-IT, Cloud-Infrastruktur, OT-Umgebung

Grundsätzlich hat jedes Unternehmen ein hohes Interesse am Schutz der IT und der dort gespeicherten Daten. Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Dienste stehen hier im Vordergrund.

Ein gängiges Mittel diese Parameter sicherzustellen, ist die Erstellung eines IT-Sicherheitskonzepts. Dabei liefert das IT-Sicherheitskonzept beispielsweise Antworten auf die wichtige W-Fragen, wenn es um die Daten geht.

Welche Daten gibt es? Wer ist zuständig für die Daten und Systeme?

Die Erstellung eines IT-Sicherheitskonzepts kann dabei schnell aufwändig werden und zwar dann, wenn der Überblick über die IT-Assets fehlt bzw. unvollständig ist. Die Dokumentation der IT-Systeme ist aufwändig und hat im Arbeitsalltag häufig eine untergeordnete Priorität zu Gunsten der aktuell dringenderen Anforderungen und Aufgaben. Das führt allerdings dazu, dass die Konzeptionierung aufwändig wird.

IT-Sicherheitskonzept: Aufwände bündeln

Ein gängiger Ansatz um die Aufwände abzufedern ist der Versuch, diese mit anderen Aufgaben zu bündeln. Hilfreich kann auch die Verknüpfung bzw. Nutzung anderer Systeminformationen sein. So liefert das Patch-Management beispielsweise wertvolle Informationen über die Systeme, die sich in ein Asset-Management überführen lassen.

Im Zuge der Sicherheitskonzepterstellung kann aber auch noch ein weiterer Aspekt interessant sein, nämlich die Überprüfung der Infrastruktur auf Ihr Risiko. Erklärtes Ziel der Konzeptionierung ist es, die IT und deren Daten zu schützen. Was liegt da näher als das aktuelle Sicherheits-Niveau zu bestimmen und aus dieser Information Rückschlüsse für das Konzept abzuleiten.

Der Vorteil dieser Herangehensweise liegt nicht nur darin, dass das Risiko eine wertvolle Information zur langfristigen Planung der IT darstellt und damit sinnvoll im Sicherheitskonzept aufgegriffen werden kann. Der Mehrwert entsteht auch durch die Evaluierung des IT-Risikos. Denn dafür ist es ebenfalls notwendig die IT-Assets zu kennen, zu beschreiben und das Risiko einzustufen.

Ein möglicher Bewertungs-Ansatz für IT-Risiko

Um das IT-Risiko abzuleiten gibt es verschiedenste Ansätze. Im Zuge einer ISMS-Implementierung (Informations-Sicherheits-Management-System) können unter anderem die IT-Assets beschrieben und Schadensklassen für mögliche Risiken beschrieben werden. Ein anderer Ansatz ist das Risiko auf Basis des Patch-Managements abzuleiten, in dem geprüft wird, welche Patche grundsätzlich verfügbar aber nicht in der Infrastruktur verteil sind.

Ideal ist ein Ansatz dann, wenn er die notwendige Detail-Tiefe für die Betrachtung bietet, aber eine strukturierte Herangehensweise ermöglicht.

Gerade im Anfangsstadium der Risikobetrachtung ist es hilfreich, vom Groben ins Feine zu arbeiten. Damit zu beginnen, Überblick zu gewinnen, Fakten zu schaffen und diese über die Dauer der Bewertung immer weiter zu konkretisieren. Das schafft Flexibilität in der Umsetzung und behindert wichtige Arbeitsabläufe nicht.

Ein möglicher Ansatz für die Beschreibung der IT-Assets ist der Modell-Ansatz in dem die Infrastruktur als logische Blaupause betrachtet wird. Dabei ist es möglich mit den groben Zügen der Infrastruktur zu beginnen und das Modell immer weiter zu detaillieren. Das jeweilige IT-System wird dabei nicht auf IP-Adresse und Name reduziert, sondern in seiner Funktion beschrieben. Somit lassen sich auch Prozess-Bemühungen wie Patch-Management- oder die Systemverbesserung aller Härtungs-Qualitäten mit in die Dokumentation bringen. Die so entstandene Modellierung liefert eine ideale Grundlage für die Ableitung des technischen System-Risikos.

Abseits der Office-IT

Oftmals besteht die IT nicht mehr nur aus der sichtbaren Office-IT, sondern wurde über Cloud-Dienstleistungen erweitert oder es gibt eine Anbindung an Produktions- oder andere Technik-Netzwerke.

Erste Hürde in Cloud-Infrastrukturen ist bereits die Transparenz des Aufbaus. Wo liegen meine Daten? Wie werden diese geschützt? Welche Systeme sind in die Löschung von Daten involviert?

Dabei fällt oftmals der erste Schritt, nämlich auf den Cloud-Dienstleister zuzugehen und Auskünfte einzuholen, schwer. Der Aufbau der Cloud-Services auf Prozess- und Technik-Ebene wird in mehreren Calls iterativ geklärt. Immer wieder kommen neue Informationen dazu, mit dem Risiko, dass die Informationen nie auf einen gemeinsamen Nenner treffen.

Dasselbe gilt für Unternehmensbereiche, die auf OT-Basis betrieben werden, beispielsweise Industrieanlagen. Es gibt Dokumentation zu den Netzen, zu den Systemen und ggfs. sogar für die Zusammenhänge.

Oftmals ist die Dokumentation von klassischer Office-IT, Cloud-Infrastruktur und OT-Systemen in einem sehr unterschiedlichen Detail-Niveau, sodass die gemeinsame Darstellung und Aufbereitung sehr schwerfallen.

Ein möglicher Ansatz, Übersicht zu schaffen, ist die Modellierung solcher Infrastrukturen. Dabei sorgt der Asset-Ansatz dafür, dass vom Grobe ins Feine modelliert wird, der gemeinsame Nenner aber immer vergleichbar ist. Endresultat ist ein Modell, welches die gesamte Infrastruktur inkl. der Zusammenhänge beschreibt.

Die unterschiedlichen Infrastrukturen gemeinsam zu betrachten, bietet deshalb eine Herausforderung, weil ggfs. verschiedene Sicherheits-Mechanismen technisch wie organisatorisch umgesetzt werden können.

Sie haben Fragen zu diesem Artikel?

Sprechen Sie uns an!

Kontakt

Menü