IT-Sicherheit als Prozess

Die für die beschriebenen Aufgaben erforderlichen Werkzeuge finden sich im Bereich IT-Sicherheits-Management, wo der gesamte Prozess - von der Planung, Umsetzung und Kontrolle bis hin zur Optimierung der IT-Sicherheit (PDCA-Modell) - geschaffen wird. Er besteht aus folgenden Schritten:

1. Zunächst gilt es, eine für die Größe des Unternehmens geeignete Organisationsstruktur zu etablieren. Eines der Hauptziele ist hier, klare Verantwortlichkeiten für die IT-Sicherheit (etwa Steuerung, Umsetzung, Prüfung) zu definieren.

2. Die dokumentarische Grundlage des Prozesses schafft die so genannte Strukturanalyse. Neben einem möglichst übersichtlichen Netzplan erfordert sie, alle IT-Anwendungen und -Systeme sowie Netzkomponenten inklusive deren Zusammenspiel zu erfassen. Umfang und Ausprägung der IT-Umgebung genau zu kennen ist Voraussetzung dafür, Sicherheitsschwachstellen zu ermitteln. Wie die Praxis zeigt, liegen diese Informationen - bedingt durch die Schnelllebigkeit der IT-Welt - oft nicht zentral und geordnet vor.

3. Je nach Priorität der unterstützten Geschäftsprozesse gilt es anschließend, den Schutzbedarf der IT-Anwendungen und -Systeme zu eruieren. Dies erfolgt, wie beschrieben, anhand der drei IT-Grundwerte "Vertraulichkeit, Integrität und Verfügbarkeit".

4. Unter Berücksichtigung der konzeptionellen und technischen IT-Sicherheitsanforderungen muss die IT-Umgebung dann einem umfassenden Audit unterzogen werden. Da Letzteres Fachwissen und Erfahrung voraussetzt und zudem eine neutrale Sichtweise gewährleistet sein muss, empfiehlt sich spätestens an dieser Stelle die Zusammenarbeit mit externen Spezialisten.

5. Sind die im Audit identifizierten und priorisierten Optimierungsmaßnahmen abgearbeitet, beginnt der beschriebene Prozess in einem regelmäßigen Abstand nach ein bis zwei Jahren von vorn. In den folgenden Prozesszyklen müssen bestehende Grundlagen wie die IT-Sicherheitsleitlinie oder die Organisationsstruktur dann an die sich ständig verändernden Anforderungen angepasst werden.

Es gibt zahlreiche Standards, Rahmenwerke und technische Hilfsmittel, um den Prozess des IT-Sicherheits-Managements zu etablieren. Zu erwähnen sind allen voran die IT-Grundschutz-Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI), die detaillierte, wenn auch teilweise etwas theoretische Beschreibungen des Prozesses sowie konkreter IT-Sicherheitsmaßnahmen liefern. Für die praktische Umsetzung empfiehlt sich das Open-Source-Tool "Verinice", das auf den Vorgaben der IT-Grundschutz-Standards aufsetzt. Darüber hinaus ist inzwischen auch der De-facto-Standard der Sparkassen-Finanzgruppe "Sicherer IT-Betrieb" in einer Industrie- und Mittelstandsvariante erhältlich. Das Framework ist ebenfalls standardkonform und beschreibt eine auf Geschäftsprozessen basierende Vorgehensweise.