IT-Security

Wie viel Sicherheit ist nötig?

12.03.2009
Von Katharina Friedmann und
Sabine Prehl ist freie Journalistin und lebt in München.

Was sind die kritischsten IT-Assets?

Hermann Fehnker, LVM Versicherungen: Standards müssen dem Unternehmen angepasst werden - nicht etwa andersherum.
Hermann Fehnker, LVM Versicherungen: Standards müssen dem Unternehmen angepasst werden - nicht etwa andersherum.

Für Fiducia-Manager Bleyer ist das Wissen um die Asset-Werte Grundvoraussetzung für eine fundierte Entscheidung: "Man muss schon wissen, an welchem für das Unternehmen als wichtig deklarierten Geschäftprozess das jeweilige System beteiligt ist - ansonsten tut man sich schwer zu entscheiden, ob eine Maßnahme zu treffen ist." Die LVM-Versicherungen in Münster verschaffen sich diesen Einblick über ihre als Sicherheitsprogramm konzipierte Notfallplanung: "Die einzelnen Fachabteilungen führen auf, was die für sie jeweils kritischsten Infrastrukturkomponenten und Anwendungen sind - und wie schnell diese zur Verfügung stehen müssen", beschreibt Hermann Fehnker, IT-Sicherheitsbeauftragter bei LVM, wie sein Unternehmen den hauseigenen IT-Assets einen Geschäftswert zuordnet. Die Ergebnisse werden in abteilungsspezifischen Notfallordnern dokumentiert und im Rahmen der jährlichen Risikoinventur aktualisiert.

Greifbar machen lässt sich der monetäre Wert der IT auch mit Hilfe des von der Information Systems Audit and Control Association (Isaca) und dem IT Governance Institute (Itgi) entwickelten Frameworks "Val IT". "Dabei handelt es sich um ein ähnliches Rahmenwerk wie CoBIT (Control Objectives for Information and Related Technologies), mit dem Unternehmen leichter feststellen können, was die einzelnen Maßnahmen wirtschaftlich bedeuten", informiert Rolf von Rössing, Partner von KPMG und Mitglied des Global Security Management Committee der Isaca.

Unterstützung durch Standards

Eine ganze Reihe von IT-Security-Standards können Unternehmen helfen, das richtige Sicherheitsniveau zu finden und einzuführen. Hierzulande hat sich das IT-Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnologie (BSI) bewährt. Laut Gartner ist das außerhalb Deutschlands wenig genutzte Framework in seiner jüngsten Version nun auch mit dem über die Landesgrenzen hinweg bekannteren ISO-Standard 27001:2005 integriert. Ein Vorteil des BSI-Frameworks aus Sicht von LVM-Mann Fehnker, der es benutzt: "Es enthält sehr konkrete und schnell verständliche Vorgaben, unter denen nicht jeder etwas anderes verstehen kann." Wichtig sei allerdings die Bereitschaft, wo nötig auch von dem Framework abzuweichen: "Der Standard muss dem Unternehmen angepasst werden - und nicht etwa andersherum."

Standards aus dem IT-Governance-Bereich wie das Audit- und Management-Tool Cobit, aber auch ISO 17799/27001 sowie das Account-Risk-Management-Framework von COSO (Committee of Sponsoring Organizations of the Treadway Commission) wiederum unterstützen bei der Suche nach Kontrollmechanismen, die dabei helfen, firmenspezifische Geschäftsanforderungen und gesetzliche Vorgaben zu erfüllen. Neben IT-Security-Standards für Prozesse (Beispiel: ISO 27001) bieten laut Gartner-Berater Casper aber auch Zertifizierungen für die Bereiche Security-Skills (CISSP von ISC) und Produkte (Common Criteria for Information Technology Security Evaluation) Orientierungshilfe.

Zur Unterstützung bei der Klassifizierung von Daten empfiehlt Isaca-Spezialist von Rössing Standards wie ISO 27001 und 27002, die Informationen als Assets im finanziellen Sinn behandeln: "Daten müssen nicht nur nach ihrer Vertraulichkeit, sondern auch nach ihrem eigentlichen monetären Wert eingestuft werden."