IT-Sicherheit durch stetige Veränderung

Always change a running system

01.08.2016
Von Sven Malte Sopha und Jan Graßhoff

Mehr Sicherheit durch stetige Veränderung

Die fortschreitende Verbreitung von IT-Systemen und deren Vernetzung haben die Herausforderungen für (IT-)Organisationen in den vergangenen Jahren deutlich gesteigert. Organisationen müssen Herausforderungen gesamtheitlich betrachten und neben technischen Fragestellungen auch ihre Prozesse aufeinander abstimmen. In diesem Kontext hat sich die Etablierung von standardisierten Prozessen bewährt. Dabei gilt das Prinzip: Nach der Absicherung ist vor der Absicherung. Es ist erforderlich, Sicherheitsmaßnahmen kontinuierlich zu überwachen und in Frage zu stellen. Dies müssen Organisationen als betriebliche Aufgabe verstehen - und entsprechend einplanen und umsetzen. Denn bekannte Sicherheitslücken, die noch nicht geschlossen sind, stellen vermeidbare Einladungen für alle Arten von Angreifern dar, von technischen Laien bis zu Geheimdiensten.

Technische Systeme zu warten, ist kein neues Konzept. Technische Anlagen in der Industrie werden ebenso regelmäßig überprüft und bei Bedarf repariert wie PKWs in Privathaushalten - es ist unerlässlich, IT-Systeme mit derselben Sorgfalt zu warten. Nur so lässt sich ein zuverlässiger Betrieb sicherstellen. Auch das BSI hat die neuen Herausforderung erkannt und mit der Modernisierung des IT-Grundschutzes reagiert. Dadurch soll die Absicherung von Komponenten und Prozessen zielgerichteter und schneller erfolgen können. Dieses neue Werkzeug wird dem BSI zufolge ab 2017 zur Verfügung stehen.

Der alte Grundsatz "Never change a running system" bietet eine unnötig große Angriffsfläche. Produktive Systeme müssen immer angefasst und angepasst werden. Eine Organisation, in der der Wille zur stetigen Weiterentwicklung mit ausreichenden Ressourcen untermauert wird, schafft die Voraussetzung für einen sicheren und zukunftsfähigen Betrieb. IT-Sicherheit muss als Prozess verstanden werden und bedarf der kontinuierlichen Verbesserung. Der neue Grundsatz sollte also lauten: Always change a running system. (fm)