Sicherheit ist ein ständiges Sorgenkind der Informationstechnologie. Datendiebstahl, Hackerangriffe, Malware und eine Vielzahl anderer Bedrohungen halten IT-Experten sogar nachts auf Trab. Dieser Artikel beleuchtet die Grundprinzipien und Best Practices näher, mit denen IT-Experten die Sicherheit ihrer Systeme gewährleisten.
Die Ziele der Informationssicherheit
Die Informationssicherheit folgt drei übergeordneten Grundsätzen:
• Vertraulichkeit: Dateien dürfen nur von Personen gesehen oder genutzt werden, die für den Zugriff berechtigt sind.
• Integrität: Änderungen an den Informationen durch einen nicht autorisierten Benutzer müssen entweder unmöglich sein oder zumindest erkannt werden. Änderungen durch autorisierte Benutzer sollen nachverfolgt werden können.
• Verfügbarkeit: Sobald autorisierte Benutzer Informationen benötigen, müssen sie auch auf die Daten zugreifen können.
Ausgerüstet mit diesen übergeordneten Prinzipien haben IT-Sicherheitsspezialisten Best Practices für Unternehmen entwickelt. Diese bewährten Methoden sollen verschiedenste Firmen dabei unterstützen, die Sicherheit ihrer Informationen zu gewährleisten.
Best Practices für die IT-Sicherheit
Es gibt zahlreiche Best Practices innerhalb der IT-Sicherheit, die auf bestimmte Branchen oder Unternehmen zugeschnitten sind, einige gelten jedoch allgemein.
1. Ausgewogener Schutz
Computer in einem Büro könnten vollständig geschützt werden, wenn alle Modems herausgerissen und aus dem Raum geworfen würden – aber dann wären sie für niemanden mehr von Nutzen. Eine der größten Herausforderungen bei der IT-Sicherheit besteht darin, ein Gleichgewicht zwischen Ressourcenverfügbarkeit und der Vertraulichkeit sowie der Integrität der Ressourcen zu finden.
Anstatt zu versuchen, sich vor allen Arten von Bedrohungen zu schützen, konzentrieren sich die meisten IT-Abteilungen darauf, zuerst die wichtigsten Systeme zu isolieren. Im nächsten Schritt werden dann akzeptable Wege gefunden, um den Rest zu schützen, ohne die Hardware unbrauchbar zu machen. Systeme mit niedrigerer Priorität können beispielsweise Kandidaten für eine automatisierte Analyse sein, sodass die wichtigsten Systeme weiterhin im Mittelpunkt stehen.
2. Benutzer und Ressourcen aufteilen
Damit ein Informationssicherheitssystem funktioniert, muss es wissen, wer bestimmte Dinge sehen und tun darf. Jemand in der Buchhaltung muss beispielsweise nicht alle Namen in einer Kundendatenbank sehen, aber er braucht möglicherweise die Zahlen aus dem Verkauf. Dies bedeutet, dass ein Systemadministrator den Zugriff nach Jobtyp einer Person zuweisen und diese Grenzwerte entsprechend der organisatorischen Trennung weiter verfeinern muss. Dies stellt sicher, dass der Chief Financial Officer im Idealfall auf mehr Daten und Ressourcen zugreifen kann als ein Junior Accountant. Der Rang garantiert jedoch nicht den vollständigen Zugriff. Der CEO eines Unternehmens braucht eventuell mehr Daten als seine Kollegen, muss jedoch nicht automatisch uneingeschränkt auf das System zugreifen können. Dies bringt uns zum nächsten Punkt.
3. Mindestberechtigungen zuweisen
Jedem Mitarbeiter sollten die Mindestrechte zugewiesen werden, die er zur Wahrnehmung seiner Aufgaben benötigt. Wenn sich die Verantwortlichkeiten einer Person ändern, verschieben sich auch die Berechtigungen. Das Zuweisen von Mindestberechtigungen verringert die Wahrscheinlichkeit, dass Joe vom Design mit allen Marketingdaten aus der Tür geht.
4. Unabhängige Abwehr
Dies ist sowohl ein bekanntes militärisches als auch ein IT-Prinzip. Die Verwendung einer wirklich guten Verteidigung wie Authentifizierungsprotokollen ist nur dann sinnvoll, wenn jemand dagegen verstößt. Wenn mehrere unabhängige Verteidigungen eingesetzt werden, muss ein Angreifer verschiedene Strategien anwenden, um diese zu überwinden. Die Einführung dieser Art von Komplexität bietet keinen hundertprozentigen Schutz vor Hackern, verringert jedoch die Wahrscheinlichkeit eines erfolgreichen Angriffs.
5. Ausfälle einplanen
Wenn Unternehmen Ausfälle einplanen, können sie die tatsächlichen Konsequenzen für den Fall minimieren. Durch die Einrichtung von Backup-Systemen im Vorfeld kann die IT-Abteilung die Sicherheitsmaßnahmen ständig überwachen und schnell auf Sicherheitslücken reagieren. Ist der Verstoß nicht schwerwiegend, kann das Unternehmen die Sicherung fortsetzen, während das Problem behoben wird. Bei der IT-Sicherheit geht es also nicht nur darum, den Schaden durch Sicherheitsverletzungen zu begrenzen, sondern ihn auch zu verhindern.
6. Protokollieren
Im Idealfall wird ein Sicherheitssystem niemals verletzt. Wenn jedoch ein Sicherheitsverstoß auftritt, sollte das Ereignis aufgezeichnet werden. Tatsächlich zeichnen IT-Mitarbeiter in der Regel sehr viel auf, auch wenn kein Verstoß vorliegt. Manchmal sind die Ursachen von Verstößen nachträglich nicht erkennbar. Daher ist es wichtig, Daten zu haben, die rückwärts verfolgt werden können. Informationen von Sicherheitsverletzungen können dazu beitragen, das System zu verbessern und zukünftige Angriffe zu verhindern.
7. Häufige Tests
Hacker verbessern ständig ihr Handwerk, was bedeutet, dass die Informationssicherheit Schritt halten muss. IT-Experten kümmern sich dabei nicht nur um Tests, sondern führen auch Risikobewertungen durch, lesen den Disaster Recovery-Plan erneut, überprüfen den Business Continuity-Plan im Falle eines Angriffs und wiederholen diesen.
Fazit
IT-Sicherheit ist eine herausfordernde Aufgabe, bei der gleichzeitig die Aufmerksamkeit für Details und ein neues Level der Wahrnehmung gefragt sind. Wie viele auf den ersten Blick komplexe Aufgaben kann auch die IT-Sicherheit in grundlegende Schritte unterteilt werden, die den Prozess wesentlich vereinfachen können.
