IT-Sicherheit benötigt Kontinuität

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Klaus Kremmair

Geschäftsführer VACE Systemtechnik GmbH

E-Mail schreiben

Und jetzt ist sie da - die nächste Sicherheitslücke und gleich mit Alarmstufe rot. Alle Medien berichten, Nachrichtensprecher verlautbaren, dass es sich dabei um eine schwere Bedrohung in der IT handelt und wechseln im gleichen Atemzug zum nächsten Thema.

 

Alarmierung ist erfolgt, Thema ist damit abgehandelt, oder? 

Hoffentlich nicht – hoffentlich nimmt sich in Ihrem Unternehmen eine Person der Bedrohungslage an und setzt die notwendigen Maßnahmen zur Beseitigung des Problems. 

In Zeiten der Digitalisierung und der absoluten Abhängigkeit von der IT sollte man nicht hoffen müssen, sondern die Gewissheit haben können, dass sich ein Security Team bereits mit der Sicherheitslücke beschäftigt, bevor die klassischen Medien das Thema aufgreifen.

Es muss also Personen geben, die sich laufend aus Fachquellen informieren und Systeme betreiben, die die IT-Landschaft permanent auf veröffentlichte Schwachstellen untersucht. Die Sicherheitslücke selbst können in den meisten Fällen nur die Hersteller schließen. Nur wenn die Patches oder Updates da sind, sollten diese umgehend einspielt werden. Aber bitte vorher Backups und Snapshots erstellen, damit man im Nachhinein nicht erst recht hoffen muss, dass alles wieder funktioniert.

IT-Sicherheit benötigt Kontinuität und diese wiederum Organisation.

Eine Sicherheitslücke und die notwendigen Maßnahmen sind nicht vorhersehbar, jedoch die grundsätzliche Vorgehensweise muss definiert sein. IT-Sicherheit braucht zumindest eine Person in der Rolle des IT-Sicherheitsbeauftragten und geeignete Prozesse, an die sich das Unternehmen vom Zeitpunkt der Alarmierung bis zur Problemlösung halten kann. Größere Unternehmen implementieren Managementsysteme nach ISO-27001, orientieren sich am BSI-Grundschutz und führen ITIL als “Best Practice” für den Betrieb ihrer IT ein. Sie verfügen über eine eigene IT- und eine eigene Security-Mannschaft mit klarer Verteilung der geforderten IT- und Sicherheitsrollen.

Was macht man aber in kleineren und mittleren Unternehmen? 

Im Grunde macht man das Gleiche, nur etwas kleiner, hemdsärmeliger und kompakter. D.h. man orientiert sich bei der IT-Sicherheit an der ISO-27001 und bringt deren Anforderungen in den Kontext des Unternehmens (Unternehmenszweck, Wirtschaftlichkeit, Risiko). Man führt die verschiedensten Rollen sinnvoll auf einzelne Personen zusammen. So stellt man sicher, dass bei einem Security-Vorfall die notwendigen Prozesse vorhanden sind und strukturiert abgearbeitet werden können.

Organisation und Kontinuität schaffen Gewissheit und Klarheit.

Verantwortliche, unabhängig von der Betriebsgröße, hoffen nicht, sondern wissen, dass bei Auftreten eines Vorfalles bereits daran gearbeitet wird und die Kommunikation nach innen und außen nach definierten Regeln passiert. Und all das verhindert oder reduziert den Schaden für das Unternehmen.

VACE betreibt nicht nur IT-Infrastrukturen. Unser Team berät und begleitet auch kleinere und mittlere Unternehmen bei der Einführung von IT-Sicherheitsmanagementsystemen nach ISO-27001 und stellt zusätzlich IT- und Security-Services zur Erreichung der Sicherheitsziele zur Verfügung.

Kommen Sie auf uns zu! Machen wir vor dem nächsten Alarm gemeinsame Sache!