computerwoche.de

Archiv

Organisatorische Aspekte werden vernachlässigt

BSI beklagt mangelnde Sicherheit

14.03.2003
MÜNCHEN (ave) - Deutsche Unternehmen müssen mehr für die Sicherheit ihrer IT tun - zu diesem Schluss kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ein gemeinsam mit Mummert Consulting entwickeltes Tool soll dabei helfen, zumindest den vom BSI empfohlenen IT-Grundschutz umzusetzen.

Durch "Slammer" und andere Würmer verursachte Schäden zeigen, dass trotz des gestiegenen Sicherheitsbewusstseins viele Anwender zu spät auf drohende Gefahren reagieren. Michael Hange, Vizepräsident des BSI, mahnt: "Unternehmen dürfen nicht erst handeln, wenn etwas passiert ist." Deutlicher urteilt Thomas Eßer, Berater bei Mummert Consulting, der deutschen Firmen ein "Versagen bei der Vorsorge" vorwirft. Den Grund hierfür glaubt der Experte darin zu erkennen, dass Sicherheit viel zu oft als rein technisches Problem gesehen, der organisatorische Aspekt hingegen vernachlässigt wird. Klar definierte Sicherheitsrichtlinien existierten nur selten.

Einen Weg aus diesem Dilemma glaubt Hartmut Isselhorst, Abteilungsleiter beim BSI, zu kennen. Das von der Behörde erarbeitete und ständig erweiterte IT-Grundschutzhandbuch (GSHB) stelle ein "effektives Mittel" dar, um technische wie auch organisatorische Sicherheitskonzepte im Unternehmen umzusetzen. Hundertprozentige Sicherheit sei jedoch auch damit nicht zu erreichen, schränkt er ein. Nach Ansicht von Hange lässt sich jedoch "die Bedrohung auf ein akzeptables Risiko senken."

Hilfreich wäre aus Sicht des BSI, wenn Firmen den Status ihrer Sicherheit gegenüber Partnern und Kunden dokumentieren würden. Dabei soll eine Zertifizierung helfen, die die Behörde erarbeitet hat. Anhand eines Kriterienwerks beurteilen vom BSI geschulte Auditoren und unabhängige Institutionen den Sicherheitsgrad der IT in einem Unternehmen. Genügt sie den Anforderungen des GSHB, erteilen diese das "IT-Grundschutz-Zertifikat".

Nach Aussagen von Isselhorst erfreut sich das seit etwa einem Jahr laufende Programm inzwischen einer "starken Nachfrage". Damit Unternehmen künftig besser einschätzen können, ob sie die Anforderungen für die Erteilung des Gütesiegels erfüllen, hat das BSI gemeinsam mit Mummert "GSTOOL 3.0" entwickelt. Die Software unterstützt Anwender bei der Umsetzung des GSHB und zeigt ihnen, wo in Bezug auf Sicherheit noch Nachholbedarf besteht. Darüber hinaus informiert sie, ob die implementierten Schutzmechanismen für das Zertifikat ausreichen oder nicht.

Allerdings müssen die Unternehmen sämtliche hierfür benötigten Daten in Bezug auf die vorhandene IT- und Sicherheitsinfrastruktur von Hand eingeben, eine automatische Erfassung der Systemlandschaft erlaubt das Tool derzeit noch nicht. Es besteht zwar die Möglichkeit, Daten zum Beispiel aus einer vorhandenen System-Management-Lösung zu importieren. Die dazu erforderlichen Schnittstellen müssen sich Anwender jedoch von Mummert individuell erstellen lassen. Nach Angaben des BSI setzen derzeit 1500 Unternehmen die rund 800 Euro teure Software ein. Das Interesse sei rege.