Keramische Rundschau 3-24
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
SCHWERPUNKTE & REPORTAGEN<br />
CYBERSECURITY<br />
Wo beginnen und wo aufhören? Teil 1<br />
Das Thema Informationssicherheit ist<br />
inzwischen allgegenwärtig, nahezu keine<br />
Woche vergeht ohne Horrormeldungen<br />
über Cyber-Angriffe, Datendiebstähle,<br />
Erpressungen, Online-Betrugsfälle und<br />
ähnliche Vorfälle. Dies wirft bei vielen<br />
Entscheidungsträgern die Frage auf, ob<br />
die eigene IT-Umgebung ausreichend<br />
sicher ist und ob alles Erforderliche zum<br />
Schutz der Systeme bzw. Daten getan<br />
wird.<br />
Es liegt in der Verantwortung der<br />
obersten Führungsebene, die Systeme<br />
und Informationen des eigenen<br />
Unternehmens sowie von dessen Kunden<br />
und Geschäftspartnern zu schützen. Aufgrund<br />
der Komplexität und des Umfangs<br />
der Thematik besteht die Aufgabe der Geschäftsführung<br />
bzw. des Top-Managements<br />
primär in der Initiierung des Sicherheitsprozesses<br />
und dessen Kontrolle, sowie der<br />
Priorisierung der Thematik – des Weiteren<br />
natürlich in der entsprechenden Bereitstellung<br />
von Ressourcen in monetärer und personeller<br />
Hinsicht. Auch wenn die operative<br />
Umsetzung delegiert wird, ist die letztendliche<br />
Übernahme der Verantwortung durch<br />
die Führungsebene für den Aufbau und laufenden<br />
Betrieb einer Umgebung mit angemessener<br />
Sicherheit unverzichtbar.<br />
Letztendlich führen Versäumnisse in<br />
diesem Bereich immer zum Risiko von<br />
Betriebsunterbrechungen, Datenverlusten,<br />
schädlichen Handlungen etc., sowie zu damit<br />
einhergehenden Folgen wie materiellen<br />
und Image-Schäden bis hin zu u.U. strafrechtlichen<br />
Konsequenzen und betrieblicher<br />
Existenzgefährdung.<br />
WO LAUERN DIE GEFAHREN?<br />
Um sich gegen Bedrohungen schützen<br />
zu können, ist vorweg die Frage zu klären,<br />
welche Risiken hier überhaupt existieren.<br />
In der Praxis existiert eine Vielzahl von Gefahren,<br />
wie zB:<br />
o Elementare Bedrohungen durch Feuer,<br />
Wasser, Katastrophen etc.<br />
o Ausfälle von Versorgungssystemen und<br />
Kommunikationsnetzen wie Strom, Internet,<br />
Telefonie usw.<br />
o Ausfälle bzw. Fehlfunktionen von Geräten,<br />
Komponenten, Software<br />
o Verlust bzw. Diebstahl von Geräten, Datenträgern,<br />
Daten<br />
o Ausspähen von Informationen<br />
o Unbefugter Zutritt zu bzw. Zugriff auf<br />
Systeme(n)<br />
o Missbrauch von Systemen<br />
o Sabotage<br />
o …<br />
Die Kernaufgabe auf dem Weg zu einem<br />
dauerhaften Schutz vor diesen Bedrohungen<br />
besteht darin, nicht nur aufgrund<br />
der jeweils gerade aktuellen Bedrohungslage<br />
in Form von kurzfristigem Aktionismus<br />
einzelne technische oder organisatorische<br />
Maßnahmen zu setzen, sondern ein längerfristig<br />
funktionierendes Konzept zu erstellen,<br />
das bei kontinuierlicher Evaluierung<br />
und Anpassung an neue Gegebenheiten<br />
und Weiterentwicklung einen umfassenden<br />
Ansatz zur Gewährleistung eines angemessenen<br />
Schutzniveaus bietet.<br />
WO BEGINNEN UND WO AUFHÖREN?<br />
Bei der Planung und Umsetzung von Sicherheitsmaßnahmen<br />
tauchen in der Praxis<br />
immer wieder folgende Fragen auf:<br />
- Was ist ein „angemessenes Schutzniveau“?<br />
- Reichen die bereits ergriffenen Maßnahmen<br />
aus?<br />
- Wo soll man hier beginnen und wo aufhören,<br />
wenn hundertprozentige Sicherheit<br />
ohnehin nicht erreichbar ist?<br />
AUTOR<br />
Mag. Ing. Gottfried Schlttenkopf<br />
Geschäftsführer I-SYSTEMS<br />
IT-Service GmbH<br />
Betreut und beratet seit 25 Jahren<br />
Unternehmen beim Aufbau, dem<br />
Betrieb und der Absicherung von<br />
IT-Umgebungen.<br />
I-SYSTEMS IT-Service GmbH<br />
Sellrainer Straße 3<br />
6175 Kematen in Tirol<br />
Tel. +43 (0) 512 566961 20<br />
eMail office@iits.at<br />
www https://www.i-systems.at<br />
Da es Sicherheit nicht zum Nulltarif<br />
gibt, und 100 % nicht erreichbar sind, stellt<br />
sich oft die Frage, wo das angemessene Verhältnis<br />
zwischen Kosten und Nutzen liegt,<br />
um Maßnahmen noch wirtschaftlich rechtfertigen<br />
zu können und im hoffentlich nie<br />
eintretenden Anlassfall sich nicht dem Vorwurf<br />
der Vernachlässigung von Pflichten<br />
auszusetzen.<br />
Eine Institution, die sich diesen Fragen<br />
sehr intensiv widmet, ist das deutsche<br />
Bundesamt für Sicherheit in der Informationstechnik<br />
(BSI). Es pflegt u.a. die BSI-<br />
Standards 200-1 bis 200-4 sowie das „IT<br />
Grundschutz Kompendium“, welche sich<br />
gemeinsam als „IT-Grundschutz“ zum<br />
Standardleitfaden für Informationssicherheit<br />
etabliert haben. Selbstauferlegtes Ziel<br />
ist es, „einen angemessenen Schutz für alle<br />
Informationen einer Institution zu erreichen“.<br />
Der ganzheitliche Ansatz deckt dabei<br />
die „organisatorischen, personellen,<br />
infrastrukturellen und technischen Sicherheitsanforderungen“<br />
ab, mit dem Zweck,<br />
ein Sicherheitsniveau zu erreichen, „das für<br />
<strong>24</strong><br />
3 l 20<strong>24</strong>