IT-Security

Werkzeug für das Sicherheitsmanagement

Oliver Häußler arbeitet als freier Journalist und Moderator in der IT- und Telekommunikationsbranche. Seine journalistischen, wirtschaftlichen und technischen Erfahrungen sammelte der Kommunikationswissenschaftler während seiner über 20 Jahre langen Tätigkeit als Chefredakteur von renommierten Fachzeitschriften wie der Funkschau, FunkschauHandel, NetworkWorld und als Moderator von Kongressen, Webcasts und zahlreichen Podiumsdiskussionen.

Standards helfen bei Planung, Umsetzung und Betrieb

Das PDCA-Modell
Das PDCA-Modell

Um dieser Vielfalt gerecht zu werden und sicher zu gehen, dass gesetzliche Anforderungen erfüllt und individuelle Sicherheitsrichtlinien bedarfsgerecht definiert werden, raten Experten dazu, Standards zu Hilfe zu nehmen, die sich mit Risiken, Kontrollen, Sicherheitsprozessen, Sicherheitskonzepten und -maßnahmen befassen. Einer davon heißt ISO27001. Er spezifiziert die "Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informations-Sicherheits-Management-Systems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation" (Definition nach Wikipedia).

ISO27001 beschreibt keine technischen Details, vielmehr geht es um den Aufbau und Betrieb eines sogenannten Informations-Sicherheits-Management-Systems, kurz ISMS. Zentraler Kern dabei ist es, die IT-Sicherheit als fortlaufenden Prozess darzustellen und sie stets aktuell zu halten. Um dies zu gewährleisten, verwendet ISMS das sogenannte Plan-Do-Check-Act-Modell.

Das PDCA-Modell umfasst vier Zyklen:

  1. Plan: Einrichten eines ISMS

  2. Do: Implementieren und Betreiben eines ISMS

  3. Check: Überwachen des ISMS

  4. Act: Warten und verbessern des Systems

Anhand des Modells lässt sich auch eine Investitionsgrundlage erarbeiten: Nachdem die Risiken ermittelt und klassifiziert wurden, werden Kontrollziele und Kontrollen definiert. Diese Kontrollen haben die Aufgabe, Risiken zu minimieren. Die Definition der Kontrollen (PLAN) und die Umsetzung (DO) ergeben den Bedarf für die Investitionen in die IT-Sicherheit. Die Bezifferung der Investitionsvolumina und die genaue Beschreibung des Risikos sind die Entscheidungsgrundlage, die der IT-Verantwortliche dem Management vorlegen kann. Das Management wiederum kann diese akzeptieren oder abwägen, mit welcher Investition das Risiko graduell minimiert werden soll.

Das Ziel dieses Modells ist damit, sowohl Investitionen als auch Restrisiken für alle Beteiligten transparent zu machen.