tools - Bites, Bytes and my 5 cents

Weitere Magazine

Empfehlungen

Info

ABWEHRKammerkonzert im GroßenSaal – IT Sicherheit für KMUDr. Danilo KardelAuch kleine und mittlere Unternehmen (KMU) brauchenIT-Sicherheit. Aber die gängigen Managementmodelle sindfür größere Unternehmen konzipiert. Solche komplexenPartituren sind in kleineren Besetzungen oft nichtaufführbar.IN DIESEM ARTIKEL ERFAHREN SIE...• wie IT-Risikomanagement und IT-Sicherheitsmanagementauch von kleineren Unternehmen praktiziert werden kann.• wie man gängige IT-Managementmodelle vereinfachen undfür KMU nutzbar machen kann.WAS SIE VORHER WISSEN/KÖNNEN SOLLTEN...• Grundlegendes Verständnis der IT und der IT-Sicherheit inUnternehmen.• Denkweise in Unternehmensprozessen.Dieser Artikel zeigt, wie man aus vorhandenenFrameworks das Beste kombinieren und mit angemessenemAufwand System in die KMU-ITbringt.Auch in kleineren Unternehmen besteht der Bedarf ankompetentem Risikomanagement und IT-Sicherheitsmanagement.Diese Notwendigkeit ergibt sich sowohlaus konkreten Bedrohungen als auch aus gesetzlichenVorgaben. So sind Unternehmen z.B. zur Datensicherungund zu einem sorgsamen Umgang mit Informationenverpflichtet. Auch die Datenschutzbestimmungengelten für jedes Unternehmen, egal wie groß und in welcherBranche.Nun gibt es zwar eine ganze Reihe von Managementmodellenmit dem Zweck einer fundiertenAnalyse von Risiken und Bedrohungen in der Informationstechnik,auch mit Möglichkeiten, geeigneteStrategien und Maßnahmen zu entwickeln.Bloß sind diese Frameworks in aller Regel für größereUnternehmen konzipiert und darum sehr umfangreich.Kleinere Unternehmen haben oft keineChance, die notwendigen personellen und finanziellenRessourcen bereitzustellen. Um die großenUnterschiede in der Wirtschaftskraft von Unternehmenstatistisch zu veranschaulichen: Nach Zahlendes Instituts für Mittelstandsforschung (IfM) inBonn sind in Deutschland 65,8% aller sozialversicherungspflichtigenBeschäftigten in KMU tätig, erwirtschaftetwerden dort aber nur rund 37,5% allerUmsätze. Unternehmensleitungen von kleinerenUnternehmen müssen also oft sparsam haushalten,und es gibt wenig Spielraum für Maßnahmen zurEntwicklung eines strategischen IT-Managements.Gerade in kleinen Unternehmen mit 50 Mitarbeiternoder weniger wird darum oft darauf vertraut,mit dem Einsatz der gängigen Techniken das Nötigegetan zu haben. Das klingt dann ungefähr so:"Wir haben doch eine Firewall, auch Virenscanner!Und der Server hat ein RAID und ist auch noch garnicht so alt."Zum AuftaktKein Wunder, dass bei den Geschäftsleitungen kleinererFirmen oft ein gewisses Unbehagen herrscht.Ohne jedem Vertriebler von IT-Security Lösungenjede Horrorgeschichte zu glauben: IT-Sicherheit istvon verschiedenen Seiten gefährdet, nur ist oft nichtanalysiert und klar definiert worden, was wo und wodurchbedroht ist. Dabei hängen fast alle Unternehmenmehr oder weniger direkt von der Sicherheit ihrerIT ab, von den berühmten drei Grundwerten derIT-Sicherheit: Vertraulichkeit, Verfügbarkeit und Integritätder Daten. Einfach nur zu hoffen, es werdeschon nichts passieren, ist als Position auf Daueretwas schwach. Gesetzliche Anforderungen unterschiedlicherArt kommen gerüchteweise dazu.Es ist gut, ganz nüchtern folgende Fragen konkret zubeantworten:2011/2010
Kammerkonzert im Großen Saal – IT Sicherheit für KMU• Welche betrieblichen assets (Information, Kernkompetenz,oder Kapital) sind überhaupt vorhanden?• Wodurch werden assets bedroht, und wie hoch istihr Schutzbedarf?Das wäre schon in einfacher Form das, was man eineRisikoanalyse nennt. Und man kann gleich weitermachenmit diesen Fragen:• Wie lässt sich ein systematischer Überblick überdie IT-Einrichtungen und Prozesse gewinnen?• Wie kann die Qualität der einzelnen IT-Prozessebewertet werden?• Wie kann die IT im Ganzen beurteilt werden? Wasfehlt, und wie schlimm ist das?Das TrioDieser Artikel zeigt Wege auf, das Management derIT in kleineren Umgebungen auf eine solide Basis zustellen, und zwar mit vertretbarem Aufwand und ohnedafür allzu starre Formalismen zu bemühen. Die notwendigeRisikoanalyse sowie das Schema zur systematischenErfassung aller Elemente einer IT müssenmöglichst wenig abstrahiert sein, die Bewertungskriterienpraxisnah und eine Verbesserung in überschaubareProjekte unterteilbar. Drei frei verfügba-re Methoden in vereinfachter Form lassen sich dazuverknüpfen:• Die Risikoanalysemethode OCTAVE-S kann in kleinerenUnternehmen eingesetzt werden, um assetsund ihren Schutzbedarf zu identifizieren.• Die Systematik der Grundschutzkataloge des BSIist gut geeignet, die Komponenten einer IT-Landschaftzu kategorisieren. Mit wenigen Änderungenund Erweiterungen kann aus den "ÜbergreifendenAspekten" der Grundschutzkataloge eine Listederjenigen Komponenten erstellt werden, die essentielleBedeutung für eine Unternehmens-IT haben.• Das Reifegradmodell CMMI for Services (CMMI-SVC) erlaubt die praxisnahe Bewertung von Prozessen.Es zielt im ersten Reifegrad auf die Definitionspezifischer Prozessziele, im zweiten Reifegradauf die langfristige Stabilität der Prozesse.Risikoanalyse mit OCTAVE-SOCTAVE ist eine Risikomanagementmethode zur Identifizierungbetrieblicher assets (das können Informationen,Kernkompetenzen oder anderes betriebliches"Kapital" sein) und deren Bedrohungen. Die OCTA-VE Methode erlaubt außerdem die Entwicklung einerSchutz- oder Gefahrenminderungsstrategie. Das Risi-Abbildung 1. Die Prozessreifegrade des CMMI.hakin9.org/de 21
Seite 4: 11/2010INHALTSVERZEICHNISFÜR EINST
Seite 7 und 8: Passwort Cracking - Angriff- und Ab
Seite 9 und 10: Tabelle 1. Änliche ZahlenBuchstabe
Seite 11 und 12: Auf der Suche nach Einheitlichkeitm
Seite 13 und 14: Einfachsichersurfen.Abstand schafft
Seite 15 und 16: Der neue Personalausweis (nPA) - R
Seite 17 und 18: Der neue Personalausweis (nPA) - R
Seite 19: Der neue Personalausweis (nPA) - R
Seite 23 und 24: 2010www.sigs-datacom.deKontakt: Anj
Seite 25: Kammerkonzert im Großen Saal - IT
Seite 29 und 30: Potenzial für De-Mail zur rechtsve
Seite 31 und 32: Minibis. Eine automatisierte Malwar
Seite 39 und 40: 12-11-2010Die IT-Security Community
Seite 41 und 42: RSMangler - Einstieg in Wortlisten
Seite 43: RSMangler - Einstieg in Wortlisten
Seite 46 und 47: die Time-to-market, steigern die Fl
Seite 48 und 49: Recommended CompaniesMabuntaDie mab

tools - Bites, Bytes and my 5 cents

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?