IT-Security verlangt nach Strategie

Auf anerkannte Standards setzen

Wichtig ist, dass auch die "kleinen Lösungen" einer nachvollziehbaren Methodik folgen, denn nur so lassen sie sich später unter dem Dach unternehmensweiter Sicherheitsrichtlinien zusammenfügen. Führende Gremien stellen dafür eine Reihe von Standards bereit, darunter ISO/IEC 1/SC 26/WG1, ISO/IEC TR 13335, das IT-Grundschutzhandbuch und das IT-Sicherheitshandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI), BS7799 des British Standards Institut sowie ITIL des Office of Governmental Commerce.

All diese Werke folgen anerkannten Methoden, allerdings nach unterschiedlichen Prinzipien und mit verschiedenen Schwerpunkten und Detailtiefen.

Das IT-Grundschutzhandbuch und das IT-Sicherheitshandbuch vom BSI beispielweise liefern eine umfassende Beschreibung von Standard-Sicherheitsmaßnahmen. Die Kataloge sind im Baukastenprinzip aufgebaut und ermöglichen ein Vorgehen Komponente für Komponente. Für einzelne IT-Systeme ist genau beschrieben, wie sie sich sicher konfigurieren lassen und auf welche Schwachstellen zu achten ist. Auch die Prozesse, die erforderlich sind, um ein angemessenes Sicherheitsniveau zu erreichen, sind ausführlich dargestellt. Ermitteln lässt sich das Gefährdungspotenzial dabei durch einfache Soll-Ist-Vergleiche.

Das BSI-Werk ist auch bei der Überprüfung bestehender Sicherheitslösungen gut zu benutzen. Allerdings kann diese Methode in heterogenen Umgebungen mit vielen Komponenten zu einem enormen Aufwand führen. Bei Unternehmen mit hohem Schutzbedarf sind außerdem weitere Schritte erforderlich, die über den Grundschutz hinausgehen. Das BS7799/ ISO17799-Modell befasst sich im Gegensatz zu den BSI-Vorlagen primär mit dem Aufbau eines IT-Sicherheitsmanagements und seiner Verankerung in der Organisation. Es finden sich in diesem Fall keine detaillierten Umsetzungshinweise, sondern Beschreibungen der übergreifenden Anforderungen. Von Vorteil ist hier der Best-Practice-Ansatz, der im Gegensatz zum IT-Grundschutzhandbuch nicht von einer angenommenen Gefährdungslage ausgeht, sondern für jedes Sicherheitsniveau einsetzbar ist. Allerdings erfordert ein hoher Schutzbedarf auch hier Ergänzungen. BS7799 eignet sich besonders für international tätige Unternehmen, welche eine Zertifizierung anstreben. Darüber hinaus steigt der Aufwand unterproportional mit der Firmengröße.