Netzsicherheit/Die Organisation des Security-Managements in Unternehmen

IT-Schutz erfordert eine klare Strategie

19.09.2003
Wie sicher die IT ist, hängt nicht nur von den richtigen Tools ab. Unternehmen müssen auch Mittel und Wege finden, um dieses Thema organisatorisch in den Griff zu kriegen. Eine wichtige Rolle spielen hierbei die Bildung von Security-Teams sowie die klare Zuordnung von Aufgaben und Verantwortung.Von Gerd Rossa*

Software und insbesondere IT-Security-Komponenten werden zunehmend danach bewertet, welchen Beitrag sie zur Kostensenkung leisten. Diese Tendenz zur Business-Intelligence-Software erfordert auch von der IT- Security einen erweiterten Blick auf Sicherheitsaspekte in den Geschäftsprozessen sowie eine veränderte IT-Sicherheitsdoktrin und damit eine besondere Organisation.

Grundsätzlich lassen sich innerhalb der IT-Sicherheit zwei Typen unterscheiden: Direkte Maßnahmen - zum Beispiel Firewalls - sollen regelwidriges Verhalten und daraus folgende Schäden verhindern; die Prozess-Security - dazu gehört zum Beispiel eine zentrale User- und Berechtigungsverwaltung - zielt auf den Ausbau und die Vertiefung der Organisation sowie der Geschäftsprozesse innerhalb der Organisation und deren Regeln ab.

Diese beiden Aspekte dominieren auch den Nutzen von Sicherheitsmaßnahmen: in direkter Weise durch eine Reduzierung des Gefährdungspotenzials und indirekt durch verbesserte Prozessabläufe, welche die Sicherheit erhöhen und Rationalisierungseffekte bewirken. Außerdem ermöglicht dieser Typ von Security-System betriebsorganisatorische Funktionen, die vorher nicht zu realisieren waren. Dazu gehören etwa ein automatisiertes Vier-Augen-Prinzip, oder die rollenbasierende Berechtigungsvergabe.

Die zunehmende Komplexität der Systemkomponenten und der damit verbundenen Security-Tools erfordert das Zusammenwirken von Fachleuten unterschiedlichen Profils mit Fokus auf Security-Aufgaben. Um der steigenden Zahl an Werkzeugen Herr zu werden, benötigen Unternehmen zusätzliches Personal. Dabei ist zwischen der Einführung und dem Betrieb zu unterscheiden. In der Regel erfordert die Einführung einer Sicherheitslösung tieferes fachliches Systemwissen und einen höheren Arbeitsaufwand.

Die Aufgaben der Security-Teams

Ein Security-Team (ST) muss systemübergreifend arbeiten können und den Systemanforderungen entsprechend zusammengesetzt sein. Nur so ist es in der Lage, die erforderlichen Komponenten unternehmensweit einzuführen und zu warten. Dabei ist in Abhängigkeit von den jeweils vorhandenen Kapazitäten zu prüfen, ob diese Fachkompetenz direkt im ST vorhanden ist oder ob ein virtuelles Team gebildet werden muss.

Ein Security-Teams muss:

- Ziele und verbindliche Security-Dokumente definieren,

- geeignete Security-Tools ermitteln, einsetzen und warten,

- die erforderliche Anwendung aller Security-relevanten Funktionen im System-Management sichern,

- Security-Prüfungen vornehmen,

- das Security-Management betreiben,

- ein System zum IT-Riskmanagement erarbeiten und pflegen,

- sowie die Security-Aktivitäten planen.

Wesentliche Aufgaben und Tools im Security-Bereich wirken plattformübergreifend. Dazu gehören zum Beispiele Single-Sign-On-Systeme, User-Management, Internet-Security-Produkte oder auch Backup-Lösungen. Zwangsläufig muss also auch das ST Aufgaben mit plattformübergreifendem Charakter bearbeiten. Bei der Einführung neuer Produkte sollte die Sicherheitsmannschaft mit einbezogen werden, um rechtzeitig auf eventuell entstehende Probleme hinweisen und einwirken zu können. Empfehlenswert ist ein Formblatt zur Projektinitialisierung, das die Verantwortlichen zwingt, zu Security-Problemen innerhalb des Projektes Stellung zu nehmen.

Zur Organisation gehört auch die klare Zuordnung der vorhandenen Sicherheitslösungen (etwa Tools zur Unterstützung des Risiko-Managements oder Intrusion-Detection) zum ST. Außerdem sollte geklärt werden, wer die Verantwortung über die nicht eindeutig zuzuordnenden Produkte trägt - hierzu gehören etwa das zentrale User- und Berechtigungs-Management und andere Lösungen, die sowohl System-Management- als auch Sicherheitsfunktionen enthalten.

Mit der Produktverantwortung verbunden ist die Budgetfrage. Die Ausweitung des Einsatzes von Security-Tools auf die Mandanten (Kunden) ist angesichts der steigenden Bedeutung des IT-Risk-Management ein wesentlicher Service, der an einer Stelle für den ganzen Konzern erbracht wird und intern verrechenbar ist. Durch den einmaligen und konzentrierten Aufwand ergibt sich ein nachweisbarer Nutzen gegenüber unkoordinierten Alleingängen.

Das ST ist in der Regel nicht in der Lage, alle relevanten Bereiche komplett abzudecken. Deshalb haben sich in der Praxis virtuelle Security-Teams - bestehend aus dem Kernteam und Experten anderer Bereiche - bewährt. Das ST leitet diese Einheiten und organisiert so eine vertikale und horizontale Durchdringung aller IT-Bereiche. Die Schlüsselplattformen des Unternehmens sollten jedoch dem ST zugeordnet sein. Diese Aufgabe nehmen die System-Security-Manager (SSM) wahr.

Neben der Pflege der vorhandenen Tools übernimmt der SSM administrative Aufgaben im Access-Management. Dazu gehören die Definition erforderlicher Rechte für bestimmte fachliche Rollen und deren Verwaltung, Audit-Aufgaben im Bereich der Systemplattform, die Bearbeitung der Alerts sowie die Zuarbeit zum IT-Risk-Management. Für ein virtuelles Security-Team sind prinzipiell zwei Organisationsformen (inklusive Mischformen) möglich.

Security-Team plus Fachteams

Bei der ersten Variante nimmt das ST nur eine anleitende und prüfende Funktion wahr. Der eigentliche Einsatz und die fachliche Betreuung der Security-Tools erfolgen in den jeweiligen Fachteams (Host, AIX, NT, Netzwerke, Internet). Von Vorteil ist hierbei, dass keine wesentliche zusätzliche Belastung des ST entsteht, weil die Zusatzkapazitäten in den Fachteams aufzubringen sind. Nachteilig kann sich jedoch die fachliche Trennung des ST von den Security-Tools auswirken.

Ausweitung des Security-Teams

Bei der zweiten Variante wird das ST um Fachkompetenz beispielsweise für die Bereiche Host, AIX, NT, Netze oder Internet ausgeweitet, da dies zwangsläufig nicht in einer Person vereinbar ist. Hier ist keine wesentliche zusätzliche Belastung der anderen Fachteams nötig. Zudem ist es möglich, die Kapazitäten und Verantwortlichkeiten sauber zu trennen. Die Verantwortung für die Spezial-Tools liegt nun im Security-Bereich. Dadurch kann die Dienstleistung IT-Sicherheit effektiver angeboten werden. Allerdings ist der möglichen fachlichen Abkopplung des ST von den Systemplattformen durch entsprechende Maßnahmen entgegenzuwirken.

Die Security-Richtlinien sollten in der Verantwortung des Security-Teams liegen. Sie werden zwar von der internen Revision gefordert und auch geprüft, nützen in der Regel aber nicht viel, wenn sie nicht an bestimmte Abläufe gebunden sind. Die Richtlinien sind in das Antragsverfahren möglichst so zu integrieren, dass mit der Vergabe von Berechtigungen die nachweisliche Kenntnisnahme von Richtlinien verbunden ist. Dies lässt sich jedoch nur auf elektronischem Wege realisieren und absichern.

Als Bestandteil des IT-Risk-Management sowie der Vorgaben des Gesetzes für Kontrolle und Transparenz in Unternehmen (KonTraG) ist die Sicherheit der IT im Rahmen des unternehmensweiten Risiko-Managements zentral zu überwachen. Dazu muss die Abteilung IT-Security einmal im Jahr eine Risikoanalyse vornehmen, die anhand von quantifizierten Aussagen belegt, dass die notwendigen Sicherheitsniveaus eingehalten werden. Insbesondere die interne Revision verlangt derzeit mit Nachdruck Metriken für das IT-Risk-Management. Vom Institut für System-Management (ISM) steht hierzu unter anderem das Tool "Riscon" zur Verfügung, das beispielsweise die Risiken, Ursachen und Maßnahmen entsprechend bewertet und eine resultierende Risiko-Prioritäts-Zahl bereitstellt. (ave)

*Prof. Dr. Gerd Rossa ist Geschäftsführer des Instituts für System-Management in Rostock.

Angeklickt

Das Management der IT-Sicherheit ist eine komplizierte Aufgabe. Unternehmen können ihr mit der Bildung von Sicherheits-Teams begegnen. Diese sollten unter anderem

- systemübergreifend arbeiten,

- mit allen betroffenen Fachabteilungen kooperieren,

- die relevanten Tools betreuen,

- Sicherheitsrichtlinien erstellen sowie

- die Security-Aktivitäten planen und koordinieren.