IT-Security/Rechtzeitige Analysen reduzieren Gefahren

IT-Sicherheit hängt an Geschäftsprozessen

23.04.2004
Beim Thema IT-Security denken viele Anwender an externe Gefahren durch Hacker, Viren oder Würmer. Doch auch ein Versagen der Server-Hardware kann den ganzen Betrieb in Gefahr bringen, weil dadurch die Geschäftsabläufe ins Stocken geraten. Damit es dazu nicht kommt, sollten Unternehmen ihre IT rechtzeitig auf den Prüfstand stellen und Schutzmaßnahmen entwickeln.Von Goswin Eisen*

Hinterher ist leider oft zu spät. Trotzdem ist von einer vorsorglichen IT-Security-Politik in Unternehmen oft nur wenig zu sehen. Die Gründe dafür liegen auf der Hand: Sicherheit kostet Geld - rund fünf bis zehn Prozent des IT-Budgets. Zudem ist unklar, wer im Unternehmen die Vorgaben macht, wie sichere IT-Lösungen zu gestalten sind, und wer schließlich die finanziellen Mittel für entsprechende Maßnahmen zur Verfügung stellt.

Bislang oblag das Thema Security der IT-Abteilung. Sicherheit geht jedoch alle etwas an, denn sie betrifft das ganze Unternehmen, die IT, die Geschäftsprozesse und die Organisation. Und sich nicht darum zu kümmern kommt im Schadensfall viel teurer, als rechtzeitig Vorsorge zu betreiben.

Welche Rolle das Thema IT-Sicherheit inzwischen spielt, hat die diesjährige CeBIT in Hannover gezeigt: Das Angebot an diesbezüglichen Vorträgen und Produkten war wohl noch nie so groß. Untersuchungen der Meta Group bestätigen diesen Trend. Den Auguren zufolge ist der Markt für Security weltweit im vergangenen Jahr um rund sieben Prozent gewachsen - Tendenz heuer steigend. Allerdings hatten Unternehmen dabei in erster Linie technische Aspekte, also das Brot-und-Butter-Geschäft, im Visier. Dazu gehören standardisierte Vorkehrungen wie Antiviren-programme, Spam-Filter, Firewalls, allgemeine Netzsicherheit sowie bauliche Maßnahmen an Gebäuden und IT-Räumen.

Ein weiteres großes Potenzial sehen die Analysten in der organisatorischen Unterstützung: Im Unternehmen allgemein, aber auch im Management muss ein Verständnis für Sicherheit geschaffen werden. Das beginnt bereits damit, dass nur tatsächlich Berechtigte Zugang zu den Systemen und Daten erhalten oder indem konsequent dafür gesorgt wird, dass die kleinen gelben Passwortmerkzettel an den Arbeitsplätzen verschwinden. Darüber hinaus gehört es zu den Hauptaufgaben der IT-Security, Bedrohungsszenarien und deren Folgen für das Unternehmen und die Geschäftsprozesse aufzuzeigen. Leider ist in dieser Hinsicht das Sicherheitsbewusstsein bei vielen nur schwach ausgeprägt.

Gefahren rechtzeitig analysieren

Wie viel es kostet, einen Server oder eine Netzverbindung zu reparieren, ist in den Unternehmen mittlerweile hinlänglich bekannt. Welche Verluste der Firma allerdings entstehen, wenn ein simples Stück Hardware oder auch eine Anwendung streikt, wissen die meisten nicht. Dabei müssten sie unter anderem folgende Überlegungen anstellen: Wie wichtig ist eine Applikation überhaupt? Wie sieht es mit der Vernetzung und Abhängigkeit einzelner Programme untereinander aus? Mit welchen Schäden ist zu rechnen, wenn ein System ausfällt?

Eine eingehende Beschäftigung mit diesen Fragen kann unter Unständen ergeben, dass ein einfaches Excel-Sheet unternehmenskritisch ist, etwa wenn darin das Produktionsprogramm oder der Input für eine Jahresplanung festgelegt ist. Verschwindet diese simple Liste, läuft nichts mehr im Betrieb! Neben Produktionsstillstand und Lieferverzögerungen gehören Imageverluste, unter Umständen einhergehend mit einem Einbrechen des Aktienkurses, zu den größten Schadenspotenzialen. Doch die drängenden Fragen können nur die wenigsten beantworten - schon gar nicht die IT-Abteilung allein, denn sie ist in den seltensten Fällen in der Lage, die Folgen von Ausfällen abzuschätzen.

Hier können so genannte Security Health Checks oder "Business-Impact-Analysen" helfen: Damit lässt sich einerseits die Transparenz erhöhen und andererseits bei Unternehmenslenkern und Mitarbeitern mehr Sensibilität erzeugen. Beratungshäuser offerieren solche Standortbestimmungen, die mittlerweile auch Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder Initiativen wie "Security for Business" (S4B) empfehlen. Die Ziele dieser Prophylaxe lassen sich wie folgt zusammenfassen: Kontinuität und Ordnungsmäßigkeit von Geschäfts- und Produktionsprozessen sicherstellen und Schaden abwenden, der durch den Eintritt unerwünschter Ereignisse für Firmen, Kunden, Mitarbeiter und Geschäftspartner entstehen kann.

IT meets Business

Jürgen Rülicke, beim Gabelstaplerhersteller Still in Hamburg für die IT-Sicherheit verantwortlich, ist mit dem Thema bestens vertraut: "Sicherheit hatte in unseren Fachabteilungen, speziell bei den produktionsnahen Bereichen, lange nicht den gebührenden Stellenwert." Für viele Mitarbeiter sei das immer noch ein reines IT-Thema, und den fachlich Verantwortlichen sei oft nicht klar, welches Risiko man absichern solle. Sicherheit allein auf die IT zu beschränken ist für den Spezialisten jedoch zu kurz gedacht, schließlich seien von Systemstörungen letztendlich die Fachabteilungen betroffen - und damit die Geschäftsprozesse.

Spätestens wenn dem Vertrieb keine Kundendaten mehr zur Verfügung stehen, die Produktionsplanungs- und Steuerungssysteme keine korrekten Auftragsdaten mehr erhalten, Debitorendaten oder Lagerbestände nicht stimmen oder der Buchhaltung die Zahlen für die Bilanz nicht zeitgerecht vorliegen, zeigten sich die Zusammenhänge. "IT-Sicherheit geht alle an. Sie ist die Basis für integre Daten und reibungslose Geschäftsprozesse", fügt Rülicke hinzu. "Die negativen Folgen für ein Unternehmen können enorm sein."

Prozesse unter der Lupe

Still hat beschlossen, die Sicherheit von Geschäftsprozessen und der dazu notwendigen IT-Landschaft auf den Prüfstand zu stellen. Unterstützt wurde das Unternehmen dabei von CSC Ploenzke, dessen Competence Center "IT-Security" beim BSI akkreditiert ist und das einen IT-Gesundheits-Check für Unternehmen entwickelt hat. Diese Überprüfung dauert in der Regel nur wenige Tage und hat zur Aufgabe, die Werte des Unternehmens zu erkennen, mögliche Schwachstellen zu identifizieren und bei Bedarf vorbeugende Gegenmittel zu etablieren. Neben dem Erfassen der aktuellen Systemlandschaft des Unternehmens geht es dabei um die Empfehlung notwendiger Sicherheitsmaßnahmen, die auf Wunsch des Kunden dann auch umgesetzt werden.

Als Basis für die konkrete Realisierung dienen im Wesentlichen zwei Analysen: Neben der Feststellung des Schutzbedarfs (Business Impact) ist dies die qualitative Risikoanalyse. Die Schutzbedarfsanalyse ermittelt die geschäftskritischen Daten eines Unternehmens, die "Kronjuwelen", und zeigt auf, welche Anwendungen, Hardware, Netze, Gebäude und Teile der Energieversorgung mit welchen Maßnahmen abgesichert werden müssen. Die qualitative Risikoanalyse bewertet die Ist-Situation auf der Grundlage des ermittelten Schutzbedarfs. Aus langjähriger Praxiserfahrung lassen sich damit konkrete Maßnahmen identifizieren und Kosten abschätzen. Soll-Zustand und Maßnahmenvorschläge orientieren sich dabei an anerkannten Standards wie zum Beispiel dem IT-Grundschutzhandbuch des BSI oder der Norm ISO-17799.

Zusammenarbeit ist wichtig

Die Vergangenheit hat gezeigt, dass sich Anwender und die IT-Abteilung in Sachen Sicherheit gerne die Bälle hin- und herschieben. Die Fachabteilung äußert meist eher unspezifische Anforderungen - nach dem Motto "Wir haben von Sicherheit keine Ahnung", während die IT-Spezialisten von den Usern detaillierte Kriterien hinsichtlich Security verlangen. Anders bei der Business-Impact-Analyse: Sie zwingt beide Bereiche, an einem Strang zu ziehen, denn für die Analyse des Schutzbedarfs und des qualitativen Risikos ist die enge Zusammenarbeit beider Abteilungen entscheidend. Nur die Fachbereiche können im Detail beurteilen, wie groß der Schaden bei Ausfall eines Systems tatsächlich ist, zum Beispiel wenn die Produktion eine Stunde oder einen ganzen Tag nicht läuft. Zudem muss der Fachbereich beurteilen, was ihm ein Mehr an Sicherheit wert ist. Gemeinsam mit der IT müssen die geeigneten Maßnahmen definiert und bewertet werden, die zur Sicherung des Betriebs notwendig sind.

Sensibilisierung notwendig

In der Praxis zeigt sich leider immer wieder, dass die vermeintlich hohen Kosten für Sicherheitsmaßnahmen viele Unternehmen davon abschrecken, ihr Gefährdungspotenzial überhaupt erst einmal zu analysieren. Diese Vogel-Strauß-Mentalität ist allerdings der falsche Weg. Die möglichen Schwachstellen sollten auch dann identifiziert werden, wenn im Anschluss daran keine konkreten Schutzmaßnahmen ergriffen werden, denn schon die Untersuchung der Anforderungen sensibilisiert für Risiken und erhöht die Aufmerksamkeit.

Bei der Analyse des Schutzbedarfs sowie der Risiken gilt es, zunächst einmal die kritischen Prozesse und dazugehörigen Anwendungen zu identifizieren, also die Frage nach den Assets zu beantworten, die unbedingt gesichert werden müssen, damit der Geschäftsbetrieb nicht in Gefahr gerät. Grundsätzlich hängen diese essenziellen Prozesse und Anwendungen von der Branche ab. Sie sind aber in jedem Fall innerhalb der zentralen Geschäftsprozesse zu finden. Bei den kritischen Systemen handelt es sich meist um logistische Anwendungen, Systeme für die Fertigung und die Auftragsabwicklung, Bürokommu-nikationssysteme (E-Mail), Workflow- und kundennahe Anwendungen, die Konzernkonsolidierung, Online-Anwendungen und Prozesssteuerungslösungen. Zunehmend gehören auch mobile Systeme zur Klasse der schützenswerten Einrichtungen, insbesondere dann, wenn ein Dieb nicht nur an der Hardware, sondern auch an den Daten auf dem Rechner interessiert ist.

Prioritäten setzen

Da es aus Kosten- und Zeitgründen nicht ratsam ist, gleich alle Unternehmensprozesse auf ihre Sicherheit hin zu überprüfen, empfiehlt es sich, zunächst Schlüsselbereiche zu identifizieren. Still hat sich dabei für Finanzbuchhaltungs- und Controlling-Funktionen entschieden, die auf SAP R/3 abgebildet sind. Die Gründe nennt Sicherheitsfachmann Rülicke: "FI und CO sind das betriebswirtschaftliche Herzstück der Company; ferner werden darüber 60 Standorte des Unternehmens über das Corporate Network mit Informationen versorgt." Während der Analyse wurde dann festgestellt, welche anderen IT-Systeme mit dem FI/CO-Backbone Informationen austauschen, etwa Produktions- und Lagersysteme sowie Vertriebsanwendungen. Denn für diese Systeme gelten die gleichen Sicherheitsanforderungen wie für die FI- und CO-Prozesse, so dass schließlich die komplette Prozesskette analysiert wird.

Heute sorgen bei Still Prozessverantwortliche für die Umsetzung der geplanten Sicherheitsmaßnahmen. Im Rahmen des Risk-Managements entspricht das Unternehmen damit einschlägigen Forderungen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) - Pluspunkte, die von Wirtschaftsprüfern und Aufsichtsgremien ebenso berücksichtigt werden wie bei der Kreditvergabe durch die Banken, etwa im Rahmen von Basel II. (ave)

*Goswin Eisen ist Service Unit Director IT-Sicherheit bei CSC Ploenzke in München.

Hier lesen Sie ...

- dass ein umfassendes Sicherheitskonzept nicht nur externe Gefahren, sondern auch das technische Versagen von Komponenten berücksichtigen sollte,

- wie sich gewährleisten lässt, dass Geschäftsprozesse nicht unterbrochen werden,

- was eine Business-Impact-Analyse dazu beitragen kann, Schadenpotenziale zu identifizieren und mögliche Sicherungsmaßnahmen zu etablieren,

- wie der Hamburger Gabelstaplerhersteller Still auf diese Weise das betriebswirtschaftliche Herzstück seines Unternehmen klar definieren und schützen konnte.

Zehn Thesen zum Schutz unternehmskritischer Infrastrukturen

1. Der Schutz unternehmenskritischer Infrastrukturen ist wegen der weitreichenden Konsequenzen Management-Aufgabe.

2. Herstellung und Verbesserung der Sicherheit erfordern ein systematisches Vorgehen.

3. Zusammenhänge und Abhängigkeiten sind zu erkennen und zu berücksichtigen.

4. Abhängigkeiten sind zu reduzieren; unabhängige, autarke Arbeitsmodule sind anzustreben.

5. Redundanzen für identifizierte kritische Systeme sind einzuplanen.

6. Notfallpläne und Krisenkonzepte sind zu er-arbeiten und zu proben.

7. Der Faktor Mensch ist zu berücksichtigen (Bequemlichkeit, Gewohnheiten, Vorlieben).

8. Der Innentäter ist noch immer der größte Risikofaktor.

9. Sicherheit kann nur durch Kombination aus IT-Sicherheit und materieller Sicherheit erreicht werden.

10. Maßnahmen zum Schutz unternehmenskritischer Infrastrukturen erfordern die Bereitstellung entsprechender Ressourcen (Geld, Personal, Zeit) und damit einhergehend auch die Durchsetzung und Kontrolle durch das Management.

Quelle: BSI (www.bsi.de)