Von der Pflicht zur Kür: Sicherheit als Prozess aufsetzen

Mit wenig Aufwand viel erreichen

Patentlösungen, wie es sie für andere Bereiche in der IT gibt, existieren für den Bereich IT-Sicherheit nicht. Gängiger Standard, um die demilitarisierte Zone (DMZ) und das Intranet zu sichern, sind Firewalls. Mittlerweile ebenso obligatorisch ist Intrusion-Detection. Auch PKI, also Public Key Infrastructure und VPN, Virtual Private Network, sind häufig Bestandteil einer „sicheren“ IT-Infrastruktur. Diese Liste lässt sich beliebig fortführen.

Geht es um die Sicherheit der IT-Landschaft, so sollte aber nicht nur darauf gesetzt werden, ein möglichst dichtes Bollwerk an Sicherheitsgerätschaften vor dem Firmen-Internet- oder Extranet-Gateway zu platzieren. Denn die bloße Existenz solcher Systeme bietet nicht zwangsläufig einen besseren Schutz. Manchmal stellen sie auch Gefahrenquellen dar, beispielsweise wenn sie die Komplexität unnötig erhöhen und der Überblick dadurch verloren geht.

Oftmals werden Sicherheitslösungen ohne Zusammenhang zwischen dem zu schützenden Objekt und dem tatsächlich bestehenden Risiko installiert. Was fehlt, ist ein lückenloser Prozess, der IT-übergreifend alle Risiken und Eventualitäten berücksichtigt und entsprechende Maßnahmen definiert. Viele Unternehmen unterschätzen dabei immer noch den Wert einer Risikoanalyse und scheuen den administrativen Aufwand, den ein solches Verfahren mit sich bringt.

Dabei ist gerade die Prozessanalyse für die Planung der IT-Sicherheit enorm wichtig. Denn im Rahmen der Risikoanalyse wird für alle relevanten IT-Komponenten eines Unternehmens das jeweils individuelle Risiko bestimmt. Erst danach ist klar definiert, welche Schutzmaßnahmen angemessen und folglich zu realisieren sind. Auf den Punkt gebracht: Ohne eine solche Analyse ist es unmöglich, eine gesicherte Aussage über das Schutzpotential der einzelnen Bereiche der IT-Infrastruktur zu machen.