2006-07-07 11:11:59

Zertifizierte IT-Sicherheit

ISO 17799:

Zurzeit haben nicht einmal ein Prozent der Unternehmen in Deutschland ihren Security-Bereich nach dem weltweit anerkannten IT-Sicherheitsstandard ISO 17799 zertifiziert.

Mathias Hein

Druckversion

Es vergeht kein Tag, an dem nicht eine neue Meldung über eine weitere Bedrohung der Sicherheit von IT-Netzen in Form von Viren, Trojanern oder Hackerangriffen zu lesen ist. Auch sollte die Dunkelziffer an Vorfällen wie Datenklau, Sabotage oder einfach nur Fehlbedienung erwähnt werden. Bei Betrachtung dieser Entwicklung gehören das Thema „IT-Sicherheit“ und das dafür benötigte Know-how ganz oben auf die Prioritätenliste von Unternehmen jeder Größenordnung, die täglich mit sensiblen Daten arbeiten. Die Statistik ergibt jedoch ein anderes Bild: Nicht einmal ein Prozent der Unternehmen in Deutschland haben ihren Security-Bereich nach dem Sicherheitsstandard ISO 17799 zertifiziert.

Gerade der nicht aufzuhaltende Trend zur Einführung von eBusiness-Infrastrukturen zwischen Unternehmen und die damit verbundene Anbindung der Endkunden lässt das Sicherheitsrisiko weiter zunehmen. Mit den dadurch auftretenden Haftungsrisiken sollte die Sicherheit der IT-Infrastruktur grundsätzlich auch „Chefsache“ sein, da im Ernstfall rechtliche Konsequenzen mit erheblichem Kostenaufwand drohen. Ist es einmal soweit gekommen, dass beispielsweise Datenschutzrichtlinien verletzt wurden oder Folgeschäden auf Grund eines Angriffs des eigenen Netzwerkes vorliegen, dann schützt auch ein Argument wie Unwissenheit oder fehlende Absicht nicht. Im nächsten Schritt gilt es, alle Beteiligten im Unternehmen für diese Thematik zu sensibilisieren und sie mit einzubeziehen. Eine wichtige Voraussetzung für eine erfolgreiche Sicherheitspolitik ist eine funktionierende abteilungsübergreifende Kommunikation.

Auf dem Weg zu einem sicheren Netzwerk

Oft ist gar nicht bekannt, dass die weltweit anerkannte Zertifizierung nach ISO 17799 existiert und kurzfristig zu realisieren ist. Dabei wäre damit ein erster wichtiger Grundstein für eine funktionierende Security-Policy schnell und unkompliziert gelegt. Die Verfahrensrichtlinien der dabei zu Grunde gelegten ISO 17799 stellen mit ihren Empfehlungen für IT-Sicherheitsverfahren und -methoden einen optimalen Wegweiser dar. So können umfassende Security-Konzepte für eine wirksame Absicherung aller Bereiche, Anwendungen und Daten im Netzwerk erarbeitet werden. Dabei sollte der Aufbau von tiefgreifendem Know-how für eine detaillierte Umsetzung der Security-Konzepte im Vordergrund stehen. Für den Know-how-Aufbau und die Umsetzung in eine übergreifende Sicherheitspolitik sollten Unternehmen professionelle Unter­stützung von einem erfahrenen Partner einholen, der über entsprechende Expertisen verfügt und Referenzen vorweisen kann. Für bereits 20.000 Euro ist eine komplette Zertifizierung nach ISO 17799 möglich. In der Vorstufe erfolgt ein umfassender Sicherheitscheck unter Beachtung der Vorgaben für die Einhaltung dieses Standards. In diesem Rahmen werden an dem Netzwerk und den Softwaresystemen manuelle Sicherheitstests (Penetrationtest) und eine Schwachstellenanalyse (Vulnerability Assessment) aus Sicht eines Hackers durchgeführt. Im Anschluss kann auf Basis dieser Auswertung ein wirksamer Schutz und damit die entsprechende Informationssicherheit erarbeitet werden. Sicherheitsexperten sind sich einig und warnen vor dem Schritt, im Rahmen der allgemeinen Sparwelle Budgetkürzungen auch auf den Schutz der IT-Infrastrukturen auszuweiten.

“Vor dem Hintergrund der zunehmenden sowohl externen als auch internen Bedrohungen von Netzwerken ist Einsparung bzw. Verdrängung der Problematik keine Lösung, wenn die Existenz des Unternehmens auf dem Spiel steht. Betroffen sind hier alle Unternehmensgrößen. Immer noch werden die Risiken und möglichen Folgen weit unterschätzt und es wird häufig erst gehandelt, wenn der akute IT-Ernstfall schon eingetreten ist. Soweit muss es nicht kommen. Nach einem umfassenden Sicherheitscheck unter Beachtung der Vorgaben für die Einhaltung des ISO-Standards kann ein wirksamer Schutz und damit die entsprechende Informationssicherheit abgeleitet werden“, erklärt Torsten Poels, Senior Vice President & General Manager Europe von Fast Lane.

ISO 17799 als wichtiger Leitfaden für IT-Sicherheit

Die ISO 17799 ist ursprünglich aus dem Britisch Standard BS 7799 des Britisch Standard Institutes hervorgegangen. Der formulierte Standard ist heute ein wichtiger Leitfaden für die darauf aufbauende Zertifizierung. Er bietet eine Zusammenstellung von Kontrollmechanismen sowie Empfehlungen und beinhaltet Sicherheitsverfahren und -methoden, die sich in der Praxis bereits vielfach bewährt haben. Dabei sind diese Richtlinien uneingeschränkt auf alle Unternehmensbereiche und -ebenen anwendbar, was für eine übergreifende Sicherheitspolitik unumgänglich ist. So kann der Sicherheitslevel maßgeblich festgelegt werden. Darüber hinaus werden Vorgaben für die Aufteilung von Zuständigkeiten im Rahmen des Security-Konzeptes geliefert. Zudem bietet diese Verfahrenssammlung u.a. Anleitungen für die Regelung von Zugriffsrechten, die Einhaltung von physikalischer Sicherheit, die Bewertung von kritischen Daten sowie deren Schutz beim Einsatz von EDV und die Organisation von Mitarbeitersicherheit.

ISO 17799 als sicherer Schritt in die Wettbewerbsfähigkeit

Der Security-Standard ISO 17799 ist eine hilfreiche Richtlinie und Grundlage für die Erarbeitung eines funktionierenden IT-Sicherheitsprogramms. Ziel sollte es sein, die IT-Security-Strategien im Unternehmen auf den Prüfstand zu stellen und ein Konzept zu entwickeln, das die Informationssicherheit nach ISO 17799 gewährleistet. Mit dem Erreichen des Zertifikates erhalten Unternehmen einen Wettbewerbsvorteil, da sie so die Einhaltung von höchsten Sicherheitsauflagen belegen können. Nicht zuletzt gewinnt dieser Nachweis auch zunehmend an Bedeutung für die unaufhaltsame elektronische Vernetzung von Unternehmen und Organisationen durch Kooperationen und Einführung von eCommerce- sowie eBusiness-Infrastrukturen.