Die Zukunft der Cyber-Kriminalität
18.09.2012 Aufrufe
Teilen Einbetten Melden

Die Zukunft der Cyber-Kriminalität

Die Zukunft der Cyber-Kriminalität

Die Zukunft der Cyber-Kriminalität

MEHR ANZEIGEN
WENIGER ANZEIGEN
ePAPER LESEN
ePAPER HERUNTERLADEN
bwdigitronik

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

JETZT STARTEN

2 gtr | April 2007 gtr | April 2007<br />

Umgang mit<br />

riSiken<br />

Sichern Sie die<br />

position ihrer itabteilung,<br />

indem Sie<br />

geschäftsanfor<strong>der</strong>ungen<br />

bei Sicherheitsentscheidungen<br />

den<br />

vorrang lassen.<br />

von Daniel J. Molina<br />

Weiter oben in dieser Ausgabe wurde erläutert,<br />

wie böswilliges Verhalten Unternehmen und<br />

Privatpersonen schädigen kann. Außerdem<br />

wurde einige Schritte genannt, wie wir<br />

uns davor schützen können. Gerade für<br />

Unternehmen besteht jedoch <strong>der</strong> beste Schutz<br />

vor zukünftigen Sicherheitsbedrohungen<br />

darin, einen umfassenden und integrierten<br />

Verteidigungsplan zu schaffen. Bei McAfee<br />

wird das als Sicherheitsrisikomanagement<br />

bezeichnet. Wenn Sie dieses Ziel anstreben<br />

und einen gut organisierten Schutzplan<br />

implementieren, begeben Sie sich dadurch<br />

in eine starke, sichere Position. Behalten<br />

Sie jedoch Ihre bisherigen Ansätze bei,<br />

sehen Sie sich <strong>der</strong> gigantischen Aufgabe<br />

gegenüber, Ihr Unternehmen vor immer<br />

komplexeren Gefahren zu schützen.<br />

Wenn wir den Begriff „Risikomanagement“<br />

verwenden (genauer:<br />

„Sicherheitsrisikomanagement“), ruft das<br />

unterschiedliche Vorstellungen hervor:<br />

Wenn wir den Begriff<br />

„Risikomanagement“ verwenden (genauer:<br />

„Sicherheitsrisikomanagement“), ruft das<br />

unterschiedliche Vorstellungen hervor:<br />

• Für IT-Experten bedeutet Risikomanagement<br />

die Überwachung von Onlinezeiten und<br />

Konfigurationen, damit die von ihnen<br />

betreuten Geräte mit internen Richtlinien<br />

und Vorschriften konform sind. Nur<br />

so können sie das IT-Netzwerk des<br />

Unternehmens in fehlerfreiem Betrieb halten.<br />

• Für Systemprüfer bedeutet<br />

Risikomanagement die Übereinstimmung<br />

mit bindenden externen Vorschriften<br />

und internen Richtlinien, damit das<br />

Unternehmen beweisen kann, dass es<br />

die vorgeschriebenen Regeln einhält.<br />

• Für Sicherheitsprofis bedeutet<br />

Risikomanagement, die Schwachstellen<br />

und Bedrohungen bei kritischen Geräten<br />

so gering wie möglich zu halten.<br />

• Für Unternehmenseigentümer<br />

bedeutet Risikomanagement, die<br />

geschäftliche Tätigkeit aufrecht zu<br />

erhalten und Geld zu verdienen.<br />

<strong>Die</strong>se Definitionen sind innerhalb ihrer<br />

jeweiligen eingeschränkten Sichtweise richtig.<br />

<strong>Die</strong> Unterschiede zwischen ihnen sorgen jedoch<br />

im Betrieb wie im zwischenmenschlichen<br />

Bereich für Spannungen. Für jedes Team<br />

gelten eigene Prioritäten und Richtlinien<br />

für den Umgang mit Sicherheitsrisiken. Im<br />

besten Fall ist das Ergebnis ihrer Bemühungen<br />

die verstärkte Befolgung von Vorschriften.<br />

Im schlimmsten Fall werden Investitionen<br />

in IT-Überwachung und -Schutz getätigt,<br />

die nicht miteinan<strong>der</strong> vereinbar sind.<br />

Dadurch werden Unternehmenressourcen<br />

und die Richtlinienkonformität gefährdet.<br />

An<strong>der</strong>s ausgedrückt: Bares Geld und<br />

Verdienstmöglichkeiten werden aufs<br />

Spiel gesetzt. <strong>Die</strong>se unterschiedlichen<br />

Sichtweisen legen auch den Grundstein für<br />

ein mögliches Schreckensszenario, bei dem<br />

nach einem katastrophalen Fehler ihres<br />

IT-Risikomanagements alle Beteiligten<br />

versuchen, den an<strong>der</strong>en die Schuld in die<br />

Schuhe zu schieben. Und das Schlimmste an<br />

diesen Katastrophen ist, dass sie fast immer<br />

ganz einfach verhin<strong>der</strong>t werden könnten.<br />

Was ist Risikomanagement?<br />

Obwohl Risikomanagement auf<br />

verschiedene Weise betrachtet werden<br />

kann, eignet sich die Definition des<br />

Committee of Sponsoring Organizations<br />

of the Treadway Commission (COSO) für<br />

„Risikomanagement in Unternehmen“ am<br />

besten für die IT-Sicherheitsbranche:<br />

„Risikomanagement im Unternehmen ist ein<br />

Prozess, <strong>der</strong> vom Vorstand, dem Management<br />

und an<strong>der</strong>em Personal des Unternehmens<br />

durchgeführt und durch Festlegung <strong>der</strong><br />

Strategie im ganzen Unternehmen angewandt<br />

wird. Risikomanagement wird angewendet, um<br />

Ereignisse auszumachen, die sich negativ auf<br />

das Unternehmen auswirken könnten, und um<br />

Risiken zu behandeln, die das Unternehmen<br />

selbst bewältigen kann. Auf diese Weise wird<br />

eine angemessene Sicherheit beim Erzielen<br />

<strong>der</strong> Unternehmensziele gewährleistet.“ 1<br />

Das größte Hin<strong>der</strong>nis beim<br />

Implementieren eines IT-<br />

Sicherheitsrisikosystems ist die Trägheit.<br />

Eine umfassen<strong>der</strong>e Version für die IT-<br />

Sicherheit erhalten wir aber erst, wenn wir<br />

die Grundlage von COSO um die folgende<br />

Definition von Gartner erweitern:<br />

„Beim Sicherheitsrisikomanagement werden<br />

Sicherheitsprozesse verbessert, einige Aspekte<br />

<strong>der</strong> Konformitätsberichterstellung automatisiert,<br />

IT-Sicherheitsrisiken eingeschätzt und<br />

Maßnahmen zu ihrer Verringerung geför<strong>der</strong>t.“<br />

Wenn wir die IT-Sicherheit diesen<br />

Definitionen annähern und ihre Ziele in die<br />

gesamten Unternehmensziele integrieren,<br />

können wir eine unternehmensweite<br />

Risikostrategie entwickeln. Kurz gesagt<br />

beweist ein IT-Risikomanagementsystem,<br />

dass wir alle Organisationsebenen und<br />

Unternehmensaspekte berücksichtigen müssen.<br />

Nur so kann gewährleistet werden, dass auf<br />

dem Gebiet des IT-Risikomanagements die<br />

richtigen Entscheidungen getroffen werden.<br />

Sicherheitsrisikomanagement kann nie für<br />

sich allein stehen. Sobald wir diese Tatsache<br />

„Enterprise Risk Management—Integrated Framework“ (Risikomanagement im<br />

Unternehmen – Integriertes Framework), http://www.coso.org/Publications/ERM/<br />

COSO_ERM_ExecutiveSummary.pdf<br />

verinnerlicht haben, können wir mit beginnen,<br />

aus dem geschäftlichen Blickwinkel eine Strategie<br />

zum Schutz des Unternehmens zu entwickeln.<br />

Schwierigkeiten bei <strong>der</strong><br />

Implementierung<br />

Von einigen Anbietern wurden zahlreiche<br />

voreilige Erklärungen zu umfassendem IT-<br />

Risikomanagement veröffentlicht, die mehr<br />

irritierten, als wirklich hilfreich zu sein. Vor<br />

einiger Zeit konnte Risikomanagement eher<br />

als Schwachstellenmanagement bezeichnet<br />

werden und war damit das beste Barometer für<br />

die Einstellung eines Unternehmens zu diesem<br />

Thema. Seit die IT-Abläufe jedoch im Laufe <strong>der</strong> Zeit<br />

reiften und nun auch internationale Netzwerke<br />

umfassen (z. B. die Internationale Organisation<br />

für Normung und die IT Infrastructure Library),<br />

lernen wir mit jedem Zyklus mehr und können<br />

dieses Wissen zukünftig anwenden. Einige Zyklen<br />

bringen zusätzliche Schutzebenen, während in<br />

an<strong>der</strong>en die Effizienz verbessert und die Fehler<br />

in vorhandenen Prozessen verringert werden.<br />

Jedes Mal findet „Learning by Doing“ statt, und<br />

mit jedem Mal verbessern wir unsere Sicherheit<br />

und Effizienz. Beim Anpassen unserer Aktionen<br />

an Risikomanagementsysteme stellen wir immer<br />

wie<strong>der</strong> fest, dass die Ideen selbst nicht neu sind.<br />

Sie beruhen auf bewährten Vorgehensweisen<br />

(z. B. ISO 2 001) und sollten mit <strong>der</strong> aktuellen<br />

Situation in einem gesunden Unternehmen<br />

übereinstimmen. Der größte Unterschied<br />

besteht darin, dass die Aktionen in diesem Fall<br />

eine bestimmte Zielrichtung haben und keine<br />

Ruhezone <strong>der</strong> Untätigkeit zugelassen werden<br />

darf. Das Zusammenfassen aller Teams zu einem<br />

gemeinsamen Ganzen bringt kulturellen und<br />

organisatorischen Gewinn.<br />

Das größte Hin<strong>der</strong>nis beim Implementieren<br />

eines IT-Sicherheitsrisikosystems ist<br />

die Trägheit (<strong>der</strong> Wi<strong>der</strong>stand gegen<br />

Verän<strong>der</strong>ungen). Wenn Sie nicht gelegentlich<br />

die Zielsetzung Ihrer IT-Sicherheit korrigieren,<br />

wird sie eine Richtung einschlagen, die Sie<br />

nicht beabsichtigt haben. Tatsächlich werden<br />

Sie sogar feststellen, dass die Situation<br />

vollkommen verfahren ist und Sie umso größere<br />

Anstrengungen unternehmen müssen, um<br />

wie<strong>der</strong> „auf einen grünen Zweig zu kommen“.<br />

Organisationen, die keinen<br />

Risikomanagementplan verwenden und<br />

sich auf reaktives Bedrohungsmanagement<br />

beschränken, werden feststellen müssen, dass<br />

das von ihnen beschützte Unternehmen an<br />

ihnen vorbeizieht und sie im Regen stehen<br />

lässt. Bloßer Schutz um des Schutzes willen<br />

genügt nicht, und solche Aufgaben können<br />

problemlos an Dritte ausgelagert werden, die<br />

einen verwalteten Sicherheitsdienst anbieten.

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!