IT-Sicherheit 04.11.2020

Information Security Policy – Richtlinien etablieren, Informationssicherheit stärken.

Seit wir uns im Zeitalter des digitalen Wandels bewegen, verursachen die fast täglichen Meldungen zu Sicherheitsvorfällen bei den IT-Verantwortlichen Bauchschmerzen. So kursieren Schreckensmeldungen von Datendiebstahl und Erpressungsangriffen seit einigen Jahren durch die Presse und man wird das Gefühl von Unbehagen und Hilflosigkeit nicht ganz los. Doch warum ist das so und wie kann man dem Übel entgegenwirken? Genau dieser Frage stellen wir uns im heutigen Blogbeitrag.

Artikel teilen

Hans-Jürgen Martini
Teamleitung Network & Security Engineers – CC-BISS

Die Ursachen.

Was macht IT-Manager unglücklich und was beschert ihnen Unbehagen? Was ist es, dass bei jedem IT-Manager ein unbestimmtes und unangenehmes Gefühl erzeugt? Ein Unbehagen wird oft als ein Warnsignal des Unterbewusstseins interpretiert, das sagt: „Irgendetwas stimmt da nicht, überlege nochmal“. Ein Unbehagen kann aber auch das letzte Rückzugsgefecht des IT-Geistes sein, der weiß, dass es bei einer nicht getroffenen Entscheidung ungemütlich wird. Manchmal muss man ja auch zwischen zwei Übeln das kleinere wählen. Dann empfindet man Unbehagen, egal wie man sich entscheidet. Emotionen sind Handlungsempfehlungen des Unterbewusstseins.

In unserem Fall des IT-Managers sind es oft fehlende IT-Sicherheitsstrategien, die angelehnt an die Unternehmensstrategie dafür sorgen können, dass Schlaflosigkeit und Unbehagen nicht an der Tagesordnung stehen. In vielen Unternehmen fehlt es schlicht an sicherheitstechnischen Inhalten, die in einer Information Security Policy die eigenen Ansprüche an die Informationssicherheit beschreiben. Daraus resultieren zum einen Unsicherheit und zum anderen die tägliche und anstrengende Auseinandersetzung mit dem weitreichenden Thema IT-Security und dem scheinbar endlosen Kampf gegen die Cyberkriminalität.

Informationssicherheit auf den Punkt gebracht.

Informationssicherheit beschreibt die Eigenschaften von Informationsverarbeitungs- und Speichersystemen (technischer oder nicht-technischer Art), die die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten sollen. Informationssicherheit dient dazu, vor Gefahren oder Bedrohungen zu schützen, wirtschaftliche Schäden zu vermeiden und Risiken zu minimieren.

Im Wesentlichen geht es um:

  • Vertraulichkeit – Sicherstellen, dass die Informationen nur denjenigen zur Verfügung stehen, die ein echtes Interesse am Zugriff haben.
  • Integrität – Sicherstellen, dass die Informationen vor unbefugter und aktiver Veränderung und/oder Löschung geschützt sind.
  • Verfügbarkeit – Sicherstellen, dass die Informationen den Personen, die sie benötigen, zum Zeitpunkt ihres tatsächlichen Bedarfs zur Verfügung stehen.

Was muss geschützt werden?

Unternehmensinformationen und relevante Vermögenswerte müssen vor internen und externen Bedrohungen geschützt werden. Es müssen Sicherheitsanforderungen definiert werden, um einen angemessenen Schutz der Informationen jederzeit zu gewährleisten.

Diese Anforderungen können erreicht werden durch:

  • Risikobewertungen.
  • Rechtliche, regulatorische, gesetzliche und vertragliche Anforderungen.
  • Grundsätze und Ziele, die sich aus den geschäftlichen Anforderungen an die Informationsverarbeitung ergeben.

Klare Richtlinien fehlen.

In vielen Unternehmen fehlt es jedoch am Bewusstsein für die Notwendigkeit einer Informationssicherheitsrichtlinie. Der Schritt zur Erarbeitung einer Sicherheitsrichtlinie ist schwer und lässt sich oft nicht mit den eigenen Personalressourcen erarbeiten. Diese Aspekte und die Kosten zur Erstellung einer solchen Richtline hindern viele Unternehmen daran, dieses Vorhaben anzugehen.

Was sind die Vorteile einer Information Security Policy?

Richtlinien zur Informationssicherheit sind in der Regel das Ergebnis von Risikoanalysen, in denen kritische Punkte identifiziert und Sicherheitsverfahren eingeführt werden. Jede Richtlinie befasst sich mit einem spezifischen Risiko und definiert die erforderlichen Maßnahmen zur Minimierung dieses Risikos. Die Aufrechterhaltung der Informationssicherheit ist unerlässlich, um sicherzustellen, dass Unternehmen ihre Rentabilität, die Einhaltung gesetzlicher Vorschriften, ihren Wettbewerbsvorteil und ihren Ruf wahren können. Diese Informationssicherheitspolitik definiert die Richtung des Managements für Informationssicherheit in Übereinstimmung mit den geschäftlichen Anforderungen und den einschlägigen Gesetzen und Vorschriften.

Diese unternehmensweite Informationssicherheitspolitik gliedert sich in eine Reihe von Richtlinien, die vom Unternehmen herausgegeben werden, um sicherzustellen, dass alle Benutzer von Informationstechnologie in der Domäne oder im Netz des Unternehmens an jedem Punkt im Netz oder innerhalb der Zuständigkeitsgrenzen des Unternehmens die Regeln und Richtlinien für die Sicherheit der Informationstechnologie einhalten.

Ziele und Inhalte einer Information Security Policy.

  • Reduzierung der Informationssicherheitsrisiken auf ein akzeptables Niveau, wie von den Unternehmensinhabern gefordert.
  • Unterstützung der Geschäftsstrategie durch die effiziente Nutzung von Informationen auf sichere und verantwortungsvolle Art und Weise.
  • Bereitstellung eines Rahmens für die Einhaltung anerkannter Informationssicherheitsstandards und gesetzlicher sowie regulatorischer Anforderungen.

Ein Auszug aus einer Information Security Policy:

  • Acceptable Use Policy
  • Asset Management and Disposal Policy
  • Business Continuity Policy
  • Change Management Policy
  • Cryptography Policy
  • External Party Management Policy
  • Information Security Incident Management Policy
  • Information Classification and Handling Policy
  • Information Retention, Backup and Restore Policy
  • Logging and Monitoring Policy
  • Mobile Computing Policy
  • Network Security Policy
  • Physical Security Policy
  • Platform and Application Management Policy
  • User Access Management Policy
  • Vulnerability Management Policy

Die oben genannten Richtlinien werden durch Normen unterstützt, die Einzelheiten zur Umsetzung der genannten Richtlinien enthalten.

Fazit.

Regeln basieren auf gewonnenen Erfahrungen und Erkenntnissen, die aus bestimmten Regelmäßigkeiten abgeleitet und für einen bestimmten Bereich, in Übereinkunft mit der IT-Organisation und der Unternehmensführung, festgelegt werden. Die Sammlung dieser Einzelregeln bilden die Sicherheitsrichtlinie bzw. die Information Security Policy. Regeln ermöglichen Sicherheit im Umgang mit der Informationstechnologie und schärfen das Bewusstsein für ein proaktives und unternehmerisches Handeln. Zudem führen sie in letzter Konsequenz zu einer starken und unternehmerisch wertvollen IT-Organisation, die als Business Enabler dem Unternehmen wirtschaftliche Erfolge und einen entscheidenden Wettbewerbsvorteil sichern kann.

Lassen Sie sich von unseren Sicherheitsexperten des Competence Centers BISS (Bechtle Internet Security und Services) beraten und schließen Sie Ihre Lücken, um die Informationssicherheit zu stärken.