Kennzahlen helfen bei der Risikobewertung
Eine wichtige Frage ist, wie sich die IT-Abhängigkeit transparent darstellen und ein angemessenes Risiko-Management einführen lässt. Die Lösung liefert das Informationssicherheits-Management-System (ISMS, siehe Textkasten). Die internationale Norm ISO/IEC 27001 formuliert Anforderungen an Einführung, Betrieb, Wartung und Verwaltung eines ISMS. Die Norm schlägt zudem Arbeitsschritte vor, die etwa die verwendeten IT-Anwendungen den Geschäftsprozessen zuordnen und die sensiblen und wertvollen Daten des Unternehmens identifizieren.
- Dr.Web online virus check
Dateien mit Verdacht auf Infizierung können Sie bei Doktor Web untersuchen lassen. Praktisch: Mit dem zugehörigen <a href="https://addons.mozilla.org/de/firefox/addon/938">Firefox-Addon</a> können Sie Dateien direkt beim Herunterladen auf Viren testen. - Kaspersky Online-Scanner
Die Antivirus-Experten von Kaspersky bieten sowohl einen kostenlosen Antivirus-Check für einzelne Dateien als auch einen Online-Virenscanner für das ganze System an. Nachteile: Beim File-Scanner ist die Dateigröße auf 1 MB begrenzt. Der Virenscanner findet Schädlingssoftware nur - zum Entfernen benötigen Sie die Kaufversion von Kaspersky. - Bitdefender
Der Online-Virenscanner von Bitdefender wird über eine ActiveX-Komponente und funktioniert deshalb nur mit dem Internet Explorer. Achtung: In den Standardeinstellungen werden infizierte Dateien automatisch entfernt. - Trend Micro HouseCall
Trend Micro bietet mit HouseCall einen Online-Virenscanner an, der mit Firefox und Internet Explorer gestartet werden kann. Neben der Überprüfung auf Schädlinge kann HouseCall auch auf Sicherheitslücken in installierten Programmen hinweisen. - Virustotal.com
Der vielleicht bekannteste Antivirus-Dienst zum Überprüfen einzelner Dateien ist das Angebot von Virustotal.com. Dort können Sie Dateien bis zu einer Größe von 10 MB - per Mail bis zu 20 MB - kostenlos auf Schädlinge scannen. Dabei kommen mehr als 30 aktuelle Antiviren-Programme zum Einsatz. - Jottis Malwarescan
Jottis Malwarescan überprüft kostenlos hochgeladene Dateien mit 21 aktuellen Antivirus-Engines. Die Dateigröße für den File-Scanner ist begrenzt auf 10 MB. - Panda ActiveScan
Vom spanischen AntiViren-Spezialisten Panda ist der Onlinedienst ActiveScan. Mit ihm können Sie Ihr System kostenlos auf Viren überprüfen lassen. Vorteil: Pandas ActiveScan kann im Gegenteil zu den meisten Konkurrenprodukten auch in Firefox gestartet werden und ist nicht zwingend auf den Internet Explorer angewiesen. - Windows Live Onecare Safety Scanner
Auch Microsoft bietet einen eigenen Onlinescanner zum Auffinden von Viren, Spyware und Sicherheitslücken an. Natürlich wird dafür zwingend der Internet Explorer benötigt. - VirSCAN
Einen weiteren File-Scanner bietet der Onlinedienst VirSCAN. Hier können Sie Dateien bis zu 10 MB hochladen. Auch Zip- und Rar-Archive mit bis zu zehn Dateien werden unterstützt. Zur Überprüfung der Dateien greift der Onlinescanner auf über 30 Antivirus-Engines zurück. - HijackThis.de Security
HijackThis.de bietet keinen Online-Virenscanner, sondern eine Möglichkeit Logfiles des gleichnamigen Programms automatisch auswerten zu lassen. <a href="http://www.pcwelt.de/downloads/browser_netz/internet-tools/38229/hijackthis/">HijackThis</a> listet alle im System versteckten Prozesse und Autostarteinträge auf - bewertet aber deren Gefahr nicht. HijackThis.de hilft hier weiter: Kopieren Sie einfach die von HijackThis erstellte Logfile in die dortige Textbox und klicken Sie auf "Auswerten". - Dr.Web online virus check
Dateien mit Verdacht auf Infizierung können Sie bei Doktor Web untersuchen lassen. Praktisch: Mit dem zugehörigen <a href="https://addons.mozilla.org/de/firefox/addon/938">Firefox-Addon</a> können Sie Dateien direkt beim Herunterladen auf Viren testen. - Kaspersky Online-Scanner
Die Antivirus-Experten von Kaspersky bieten sowohl einen kostenlosen Antivirus-Check für einzelne Dateien als auch einen Online-Virenscanner für das ganze System an. Nachteile: Beim File-Scanner ist die Dateigröße auf 1 MB begrenzt. Der Virenscanner findet Schädlingssoftware nur - zum Entfernen benötigen Sie die Kaufversion von Kaspersky. - Bitdefender
Der Online-Virenscanner von Bitdefender wird über eine ActiveX-Komponente und funktioniert deshalb nur mit dem Internet Explorer. Achtung: In den Standardeinstellungen werden infizierte Dateien automatisch entfernt. - Trend Micro HouseCall
Trend Micro bietet mit HouseCall einen Online-Virenscanner an, der mit Firefox und Internet Explorer gestartet werden kann. Neben der Überprüfung auf Schädlinge kann HouseCall auch auf Sicherheitslücken in installierten Programmen hinweisen. - Virustotal.com
Der vielleicht bekannteste Antivirus-Dienst zum Überprüfen einzelner Dateien ist das Angebot von Virustotal.com. Dort können Sie Dateien bis zu einer Größe von 10 MB - per Mail bis zu 20 MB - kostenlos auf Schädlinge scannen. Dabei kommen mehr als 30 aktuelle Antiviren-Programme zum Einsatz. - Jottis Malwarescan
Jottis Malwarescan überprüft kostenlos hochgeladene Dateien mit 21 aktuellen Antivirus-Engines. Die Dateigröße für den File-Scanner ist begrenzt auf 10 MB. - Panda ActiveScan
Vom spanischen AntiViren-Spezialisten Panda ist der Onlinedienst ActiveScan. Mit ihm können Sie Ihr System kostenlos auf Viren überprüfen lassen. Vorteil: Pandas ActiveScan kann im Gegenteil zu den meisten Konkurrenprodukten auch in Firefox gestartet werden und ist nicht zwingend auf den Internet Explorer angewiesen. - Windows Live Onecare Safety Scanner
Auch Microsoft bietet einen eigenen Onlinescanner zum Auffinden von Viren, Spyware und Sicherheitslücken an. Natürlich wird dafür zwingend der Internet Explorer benötigt. - VirSCAN
Einen weiteren File-Scanner bietet der Onlinedienst VirSCAN. Hier können Sie Dateien bis zu 10 MB hochladen. Auch Zip- und Rar-Archive mit bis zu zehn Dateien werden unterstützt. Zur Überprüfung der Dateien greift der Onlinescanner auf über 30 Antivirus-Engines zurück. - HijackThis.de Security
HijackThis.de bietet keinen Online-Virenscanner, sondern eine Möglichkeit Logfiles des gleichnamigen Programms automatisch auswerten zu lassen. <a href="http://www.pcwelt.de/downloads/browser_netz/internet-tools/38229/hijackthis/">HijackThis</a> listet alle im System versteckten Prozesse und Autostarteinträge auf - bewertet aber deren Gefahr nicht. HijackThis.de hilft hier weiter: Kopieren Sie einfach die von HijackThis erstellte Logfile in die dortige Textbox und klicken Sie auf "Auswerten".
Daraus resultieren simple Kennzahlen wie etwa die Anzahl unentbehrlicher IT-Anwendungen und -Systeme pro kritischen Geschäftsprozess. Mit dieser Erhebung lassen sich Risiko und Auswirkungen fundiert einschätzen. Die gemeinsame Betrachtung der Geschäftsprozesse schafft auch eine gute Kommunikationsbasis zwischen Geschäftsleitung und IT-Leitung. Mit dem Rückhalt des Unternehmens-Managements kann die IT ihre Strategie in der Kommunikation gegenüber den Fachbereichen verbessern.
Statt vor Risiken zu warnen, kann sie künftig Lösungen bieten. Das bedeutet konkret, dass sie IT-Sicherheit nicht mehr auf Basis von Warnungen und Angstszenarien durchsetzen muss. Die transparente Darstellung der unternehmensweiten IT-Abhängigkeit verbessert das Risikobewusststein und das Verständnis, wenn technische und organisatorische Veränderungen erforderlich sind.
Relevante Risiken erkennen
Solange die IT weiter die Unternehmensprozesse durchdringt, werden sich auch die Risiken erhöhen. Komplexe Methoden des Risiko-Managements bleiben wirkungslos, solange nicht alle Verantwortlichen den Ist-Zustand kennen und Einigkeit über Maßnahmen erzielen. Ein prozessbasierendes Informationssicherheits-Management ist das Fundament für eine erfolgreiche Bekämpfung beziehungsweise eine Verringerung von IT-Risiken. Anstatt Security im Gießkannenprinzip einzuführen, lassen sich Risiken genau einordnen und mit angemessenem Aufwand bekämpfen. Nur wer über den Einfluss der IT auf die Geschäftsprozesse Bescheid weiß, kann alle relevanten Risiken erkennen. (jha)
Merkmale eines ISMS
Ein Informationssicherheits-Management-System (ISMS)
ist eine Aufstellung von Verfahren und Regeln, um die Informationssicherheit im Unternehmen zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern;
hat eine Sicherheitsstrategie zum Ziel und schafft Rollen wie etwa den IT-Sicherheitsbeauftragten (auch Informationssicherheits-Beauftragter oder Chief Information Security Officer, CISO, genannt);
betreibt Audits und inventarisiert IT-Anwendungen und -Systeme. Die IT-Installationen werden den relevanten Geschäftsprozessen zugeordnet;
wird in der Norm ISO/IEC 27001 beschrieben. Eine erweiterte Form bieten die IT-Grundschutz-Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI);
bietet eine Basis für Unternehmen und Behörden, um sich nach ISO-Norm und BSI-Standard zertifizieren zu lassen.