Schwerpunkte

IT-Administration

Werkzeugkasten der IT-Sicherheit

05. November 2019, 14:24 Uhr   |  Autor: Pierre Gronau / Redaktion: Diana Künstler

Werkzeugkasten der IT-Sicherheit
© ostill/123rf

Von einem Werkzeugkasten der IT-Sicherheit profitieren IT-Administratoren, Entwickler, IT-Compliance-Verantwortliche und Datenschützer nach DSGVO. Er erhebt den Anspruch, Sicherheitslücken in IT-Systemen aufzudecken, Hackerangriffe zu erkennen und Datenschutzkonformität sicherzustellen. Die Ausgangsbasis ist ein IT-Sicherheitslevel, bei dem sich das Unternehmen schon um die notwenige Basis gekümmert hat – also Patchmanagement, Netzsegmentierung sowie Identitätsmanagement (IdM).

Was wäre, wenn Unternehmen über einen modular zusammenstellbaren Werkzeugkasten für IT-Sicherheit verfügen würden, der für klassische Anwendungsfälle passende Instrumente bereitstellt? Eine Handlungsempfehlung.

Vom Bankinstitut zur Hotelkette, von der Airline bis zum Immobililiendienstleister – das erste Halbjahr 2019 war gespickt mit Datenskandalen und anderen IT-Sicherheitsvorfällen, die die Sicherheitsdebatte befeuert haben. Ob Enterprise-Unternehmen oder Mittelstand, diese Datenschutzdebakel sowie großflächige IT-Ausfälle beschäftigen die deutsche Wirtschaft zunehmend. Zu diesen Sorgen gesellen sich europäische Datenschutzbehörden, die nach der Einführung der DSGVO spürbar die Daumenschrauben anziehen. IT-Sicherheit steht im Blickpunkt der Unternehmen und laut Allianz Risk Barometer 2019 rangieren Cybervorfälle gemeinsam mit Betriebsunterbrechungen erstmalig auf Platz 1 der größten Geschäftsrisiken. Oftmals bedingt zudem das eine das andere.

Die Lage der IT-Sicherheit in Deutschland 2018
© BSI

In seinem jährlichen Lagebericht gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Überblick über die IT-Sicherheit in Deutschland für das Jahr 2018.

Parallel boomt der Markt für Sicherheitssoftware. So zeigen die Wirtschaftsinformationsexperten von Databyte auf, dass die Anzahl der Neuanmeldungen mit dem Geschäftsgegenstand IT-Sicherheit seit drei Jahren kontinuierlich steigt: Von 169 Handelsregistereintragungen im Jahr 2016 über 204 neue Unternehmen in 2017 auf 244 Anmeldungen bis einschließlich November 2018 – dieser Aufschwung der Branche spiegelt eine explizite Wertsteigerung des Themas für Unternehmen wider. Damit geht auch steigender Bedarf an IT-Fachkräften einher, die das Sicherheitsthema professionell spielen können. Die große Nachfrage hinterlässt laut Branchenverband Bitkom eine Lücke von mehr als 80.000 freien Stellen, Stand Dezember 2018. Diese Zahlen summieren sich zu einer unglücklichen Situation, in der sich eines herauskristallisiert: IT-Teams sind auf Sicherheitssoftwares angewiesen, die Prozesse unterstützen, Zeit einsparen und Fehlerquellen ausmerzen. Automatisierung lautet das Schlagwort. Doch wo anfangen, wenn sich doch die Gefahrenherde von der eigenen IT-Struktur über Webanwendungen bis hin zur Auslagerung in Rechenzentrum und Cloud als vielschichtig präsentieren?            

Konfigurieren: sinnvoller Eingriff in die DNA
Ist die genannte Grundmauer aus Patchen, Segmentieren und Management von Berechtigungen gesetzt, wirken Konfigurationsmanagement und Härten am effektivsten auf IT-Sicherheit. Für Linux-Strukturen hält der Markt flexible und skalierbare Open-Source-Lösungen bereit, die sich aufgrund ihrer ausgiebig getesteten Entwicklungsmuster aufwandarm implementieren lassen. In Phase eins überprüft der beauftragte IT-Sicherheitsberater die vom Hersteller gelieferten Referenzarchitekturen aller im Unternehmen verwendeten Systeme und Softwares und erstellt eine Machbarkeitsstudie. Anhand von Anwendungsfällen definiert er mit dem Unternehmen Akzeptanzkriterien und modifiziert die bestehenden Infrastrukturen, um das Sicherheitslevel zu erhöhen. Alle Modifizierungen werden dokumentiert. Auf Grundlage der gewonnenen Erkenntnisse rollt der Berater die neue Struktur im Unternehmen aus, die IT-Mitarbeiter erhalten hierzu gezielt Schulungen. Nach diesem elementaren Eingriff in die IT-DNA läuft das Konfigurationsmanagement automatisiert über eine Plattform, externe Unterstützung ist erst wieder bei einer großen Erweiterung oder Neustrukturierung notwendig. Für diesen wesentlichen Schritt zu IT-Sicherheit und Compliance muss ein mittelständischer Betrieb ungefähr einen Monat für die Machbarkeitsstudie und nochmal einen Monat für die Inbetriebnahme rechnen. Neben der erhöhten Sicherheit hat Konfigurationsmanagement den angenehmen Nebeneffekt, dass IT-Mitarbeiter die einzelnen Systeme und Anwendungen durch die intensive Überprüfung und die anschließenden Schulungen besser einschätzen können.

Gronau Grafik Fleißige Biene Härten
© Gronau IT Cloud Computing

Härten: Weniger ist mehr
Erfolgt das Konfigurationsmanagement der IT-Landschaft im Ganzen automatisiert, können sich IT-Mitarbeiter dem Härten widmen. Hier trennen sich die einheitlichen Wege, denn jeder Betrieb sollte einschätzen, mit welcher Härtungsmethode er die größte Wirkung erzielt. Vergibt ein IT-Administrator straffe Richtlinien zum Umgang mit Systemen, so ist dies genauso als Härtungsmethode zu sehen wie das prompte Löschen von ungenutzten Benutzerkonten oder die Entfernung nicht zwingend notwendiger Anwendungen. Auch die sorgfältige Auswahl von geeigneter Software, die keine bekannten Sicherheitslücken aufweist, gilt als Härten. 

Seite 1 von 2

1. Werkzeugkasten der IT-Sicherheit
2. Log-Management: Wie findet man Feinde?

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Eine europäische Cloud-Lösung
Das Ende des Burgdenkens
Einfallstore für Malware und Datendiebe schließen
Mehr EU-weite Kooperation und Zentralisierung?

Verwandte Artikel

funkschau