Die Zukunft der Cyber-Kriminalität
Die Zukunft der Cyber-Kriminalität
Die Zukunft der Cyber-Kriminalität
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
2 gtr | April 2007 gtr | April 2007<br />
Umgang mit<br />
riSiken<br />
Sichern Sie die<br />
position ihrer itabteilung,<br />
indem Sie<br />
geschäftsanfor<strong>der</strong>ungen<br />
bei Sicherheitsentscheidungen<br />
den<br />
vorrang lassen.<br />
von Daniel J. Molina<br />
Weiter oben in dieser Ausgabe wurde erläutert,<br />
wie böswilliges Verhalten Unternehmen und<br />
Privatpersonen schädigen kann. Außerdem<br />
wurde einige Schritte genannt, wie wir<br />
uns davor schützen können. Gerade für<br />
Unternehmen besteht jedoch <strong>der</strong> beste Schutz<br />
vor zukünftigen Sicherheitsbedrohungen<br />
darin, einen umfassenden und integrierten<br />
Verteidigungsplan zu schaffen. Bei McAfee<br />
wird das als Sicherheitsrisikomanagement<br />
bezeichnet. Wenn Sie dieses Ziel anstreben<br />
und einen gut organisierten Schutzplan<br />
implementieren, begeben Sie sich dadurch<br />
in eine starke, sichere Position. Behalten<br />
Sie jedoch Ihre bisherigen Ansätze bei,<br />
sehen Sie sich <strong>der</strong> gigantischen Aufgabe<br />
gegenüber, Ihr Unternehmen vor immer<br />
komplexeren Gefahren zu schützen.<br />
Wenn wir den Begriff „Risikomanagement“<br />
verwenden (genauer:<br />
„Sicherheitsrisikomanagement“), ruft das<br />
unterschiedliche Vorstellungen hervor:<br />
Wenn wir den Begriff<br />
„Risikomanagement“ verwenden (genauer:<br />
„Sicherheitsrisikomanagement“), ruft das<br />
unterschiedliche Vorstellungen hervor:<br />
• Für IT-Experten bedeutet Risikomanagement<br />
die Überwachung von Onlinezeiten und<br />
Konfigurationen, damit die von ihnen<br />
betreuten Geräte mit internen Richtlinien<br />
und Vorschriften konform sind. Nur<br />
so können sie das IT-Netzwerk des<br />
Unternehmens in fehlerfreiem Betrieb halten.<br />
• Für Systemprüfer bedeutet<br />
Risikomanagement die Übereinstimmung<br />
mit bindenden externen Vorschriften<br />
und internen Richtlinien, damit das<br />
Unternehmen beweisen kann, dass es<br />
die vorgeschriebenen Regeln einhält.<br />
• Für Sicherheitsprofis bedeutet<br />
Risikomanagement, die Schwachstellen<br />
und Bedrohungen bei kritischen Geräten<br />
so gering wie möglich zu halten.<br />
• Für Unternehmenseigentümer<br />
bedeutet Risikomanagement, die<br />
geschäftliche Tätigkeit aufrecht zu<br />
erhalten und Geld zu verdienen.<br />
<strong>Die</strong>se Definitionen sind innerhalb ihrer<br />
jeweiligen eingeschränkten Sichtweise richtig.<br />
<strong>Die</strong> Unterschiede zwischen ihnen sorgen jedoch<br />
im Betrieb wie im zwischenmenschlichen<br />
Bereich für Spannungen. Für jedes Team<br />
gelten eigene Prioritäten und Richtlinien<br />
für den Umgang mit Sicherheitsrisiken. Im<br />
besten Fall ist das Ergebnis ihrer Bemühungen<br />
die verstärkte Befolgung von Vorschriften.<br />
Im schlimmsten Fall werden Investitionen<br />
in IT-Überwachung und -Schutz getätigt,<br />
die nicht miteinan<strong>der</strong> vereinbar sind.<br />
Dadurch werden Unternehmenressourcen<br />
und die Richtlinienkonformität gefährdet.<br />
An<strong>der</strong>s ausgedrückt: Bares Geld und<br />
Verdienstmöglichkeiten werden aufs<br />
Spiel gesetzt. <strong>Die</strong>se unterschiedlichen<br />
Sichtweisen legen auch den Grundstein für<br />
ein mögliches Schreckensszenario, bei dem<br />
nach einem katastrophalen Fehler ihres<br />
IT-Risikomanagements alle Beteiligten<br />
versuchen, den an<strong>der</strong>en die Schuld in die<br />
Schuhe zu schieben. Und das Schlimmste an<br />
diesen Katastrophen ist, dass sie fast immer<br />
ganz einfach verhin<strong>der</strong>t werden könnten.<br />
Was ist Risikomanagement?<br />
Obwohl Risikomanagement auf<br />
verschiedene Weise betrachtet werden<br />
kann, eignet sich die Definition des<br />
Committee of Sponsoring Organizations<br />
of the Treadway Commission (COSO) für<br />
„Risikomanagement in Unternehmen“ am<br />
besten für die IT-Sicherheitsbranche:<br />
„Risikomanagement im Unternehmen ist ein<br />
Prozess, <strong>der</strong> vom Vorstand, dem Management<br />
und an<strong>der</strong>em Personal des Unternehmens<br />
durchgeführt und durch Festlegung <strong>der</strong><br />
Strategie im ganzen Unternehmen angewandt<br />
wird. Risikomanagement wird angewendet, um<br />
Ereignisse auszumachen, die sich negativ auf<br />
das Unternehmen auswirken könnten, und um<br />
Risiken zu behandeln, die das Unternehmen<br />
selbst bewältigen kann. Auf diese Weise wird<br />
eine angemessene Sicherheit beim Erzielen<br />
<strong>der</strong> Unternehmensziele gewährleistet.“ 1<br />
Das größte Hin<strong>der</strong>nis beim<br />
Implementieren eines IT-<br />
Sicherheitsrisikosystems ist die Trägheit.<br />
Eine umfassen<strong>der</strong>e Version für die IT-<br />
Sicherheit erhalten wir aber erst, wenn wir<br />
die Grundlage von COSO um die folgende<br />
Definition von Gartner erweitern:<br />
„Beim Sicherheitsrisikomanagement werden<br />
Sicherheitsprozesse verbessert, einige Aspekte<br />
<strong>der</strong> Konformitätsberichterstellung automatisiert,<br />
IT-Sicherheitsrisiken eingeschätzt und<br />
Maßnahmen zu ihrer Verringerung geför<strong>der</strong>t.“<br />
Wenn wir die IT-Sicherheit diesen<br />
Definitionen annähern und ihre Ziele in die<br />
gesamten Unternehmensziele integrieren,<br />
können wir eine unternehmensweite<br />
Risikostrategie entwickeln. Kurz gesagt<br />
beweist ein IT-Risikomanagementsystem,<br />
dass wir alle Organisationsebenen und<br />
Unternehmensaspekte berücksichtigen müssen.<br />
Nur so kann gewährleistet werden, dass auf<br />
dem Gebiet des IT-Risikomanagements die<br />
richtigen Entscheidungen getroffen werden.<br />
Sicherheitsrisikomanagement kann nie für<br />
sich allein stehen. Sobald wir diese Tatsache<br />
„Enterprise Risk Management—Integrated Framework“ (Risikomanagement im<br />
Unternehmen – Integriertes Framework), http://www.coso.org/Publications/ERM/<br />
COSO_ERM_ExecutiveSummary.pdf<br />
verinnerlicht haben, können wir mit beginnen,<br />
aus dem geschäftlichen Blickwinkel eine Strategie<br />
zum Schutz des Unternehmens zu entwickeln.<br />
Schwierigkeiten bei <strong>der</strong><br />
Implementierung<br />
Von einigen Anbietern wurden zahlreiche<br />
voreilige Erklärungen zu umfassendem IT-<br />
Risikomanagement veröffentlicht, die mehr<br />
irritierten, als wirklich hilfreich zu sein. Vor<br />
einiger Zeit konnte Risikomanagement eher<br />
als Schwachstellenmanagement bezeichnet<br />
werden und war damit das beste Barometer für<br />
die Einstellung eines Unternehmens zu diesem<br />
Thema. Seit die IT-Abläufe jedoch im Laufe <strong>der</strong> Zeit<br />
reiften und nun auch internationale Netzwerke<br />
umfassen (z. B. die Internationale Organisation<br />
für Normung und die IT Infrastructure Library),<br />
lernen wir mit jedem Zyklus mehr und können<br />
dieses Wissen zukünftig anwenden. Einige Zyklen<br />
bringen zusätzliche Schutzebenen, während in<br />
an<strong>der</strong>en die Effizienz verbessert und die Fehler<br />
in vorhandenen Prozessen verringert werden.<br />
Jedes Mal findet „Learning by Doing“ statt, und<br />
mit jedem Mal verbessern wir unsere Sicherheit<br />
und Effizienz. Beim Anpassen unserer Aktionen<br />
an Risikomanagementsysteme stellen wir immer<br />
wie<strong>der</strong> fest, dass die Ideen selbst nicht neu sind.<br />
Sie beruhen auf bewährten Vorgehensweisen<br />
(z. B. ISO 2 001) und sollten mit <strong>der</strong> aktuellen<br />
Situation in einem gesunden Unternehmen<br />
übereinstimmen. Der größte Unterschied<br />
besteht darin, dass die Aktionen in diesem Fall<br />
eine bestimmte Zielrichtung haben und keine<br />
Ruhezone <strong>der</strong> Untätigkeit zugelassen werden<br />
darf. Das Zusammenfassen aller Teams zu einem<br />
gemeinsamen Ganzen bringt kulturellen und<br />
organisatorischen Gewinn.<br />
Das größte Hin<strong>der</strong>nis beim Implementieren<br />
eines IT-Sicherheitsrisikosystems ist<br />
die Trägheit (<strong>der</strong> Wi<strong>der</strong>stand gegen<br />
Verän<strong>der</strong>ungen). Wenn Sie nicht gelegentlich<br />
die Zielsetzung Ihrer IT-Sicherheit korrigieren,<br />
wird sie eine Richtung einschlagen, die Sie<br />
nicht beabsichtigt haben. Tatsächlich werden<br />
Sie sogar feststellen, dass die Situation<br />
vollkommen verfahren ist und Sie umso größere<br />
Anstrengungen unternehmen müssen, um<br />
wie<strong>der</strong> „auf einen grünen Zweig zu kommen“.<br />
Organisationen, die keinen<br />
Risikomanagementplan verwenden und<br />
sich auf reaktives Bedrohungsmanagement<br />
beschränken, werden feststellen müssen, dass<br />
das von ihnen beschützte Unternehmen an<br />
ihnen vorbeizieht und sie im Regen stehen<br />
lässt. Bloßer Schutz um des Schutzes willen<br />
genügt nicht, und solche Aufgaben können<br />
problemlos an Dritte ausgelagert werden, die<br />
einen verwalteten Sicherheitsdienst anbieten.