"In der Cloud beklaut" oder "erfolgreich in der Cloud"?
(Kommentare: 0)
Angriffe im Bereich Cyber-Sicherheit wurden in den letzten Jahren zunehmend professioneller und zielgerichteter. Das hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt und die IT-Grundschutz Methodik nach kritischer Auseinandersetzung einer grundlegenden Revision unterzogen. Ergebnis ist der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz“. Ziel dieses Leitfadens ist es vor allem mittelständische Unternehmen dazu zu befähigen, effizientes Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Das ist umso wichtiger, als immer mehr Unternehmen nicht zuletzt aus Kostengründen in die Cloud gehen und aus diesem Grund Cloud-Sicherheit eine absolute Top-Priorität einnehmen sollte. "Erfolgreich in der Cloud" setzt voraus, dass man die Augen vor potentiellen Gefahren nicht verschliesst und entsprechende Sicherheitsvorkehrungen trifft.
Aber wie genau soll die Cloud Security verbessert werden? Grundlage ist sicherlich die Bereitstellung entsprechender Analysetools, mittels derer IT-Sicherheitsverantwortliche fundierte Aussagen über das Niveau der Informationssicherheit in ihrem Unternehmen treffen können. Sind eventuelle Schwachstellen einmal sondiert, können geeignete Maßnahmen zur Verbesserung der Gesamtsicherheit eingeleitet werden. Der Leitfaden definiert für deren Durchführung im Groben drei Schritte: die Initiierung des Sicherheitsprozesses, die Organisation des Sicherheitsprozesses und die Durchführung des Sicherheitsprozesses.
Der Datenschutzbeauftragte
In vielen Fällen ist es leider noch oft so, dass der Datenschutz eher nachrangig behandelt wird, da mit ihm eher die Behinderung effektiver Informationsverarbeitung verbunden ist. Diese Herangehensweise ist allerdings gefährlich, da die Verletzung des informationellen Selbstbestimmungsrechts in Deutschland mit empfindlichen Geldbußen und sogar Freiheitsstrafen geahndet werden kann. § 4 des Bundesdatenschutzgesetzes (BDSG) legt zum Thema "Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung" in Absatz 1 eindeutig fest: "Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat."
Unternehmen tun daher gut daran, die Rolle eines Datenschutzbeauftragten zu definieren, um Haftungsrisiken zu minimieren die ihnen dadurch drohen könnten, dass sie ihre Mitarbeiter nicht ausreichend schützen. Der mit dem Datenschutz beauftragte Mitarbeiter dient fortan als qualifizierter und kompetenter Ansprechpartner bei allen Fragen rund um die Datensicherheit. Zudem begleitet er die Umsetzung der gesetzlichen Datenschutzanforderungen innerhalb des Unternehmens oder der Institution und stellt eine angemessene Umsetzung und anschließende Kontrolle aller Maßnahmen sicher.
Grundlage: der BSI-Standard 200-2
Der Standard BSI-Standard 200-2 definiert allgemein die Anforderungen an ein ISMS und speziell die Anforderungen an die IT-Grundschutz-Methodik. Wichtige Bauteile sind darin die Aufgaben des Informationssicherheitsmanagements und der Aufbau einer Organisationsstruktur für Informationssicherheit. Dabei geht es nicht nur um die Implementierung eines praxistauglichen Sicherheitskonzeptes, sondern auch um die Frage, wie die Informationssicherheit im laufenden Betrieb aufrechterhalten und optimiert werden kann. Der auf dem BSI-Standard 200-2 basierende IT-Grundschutz präzisiert daher die eher allgemein gehaltenen ISO-Standards 27001 und 27002 und unterstützt Anwender mit konkreten Vorschlägen für die Umsetzung.
In drei Schritten zur mehr Informationssicherheit
- In einem ersten Schritt müssen Unternehmen zunächst ihre Sicherheitsziele definieren. Denn nur wenn man weiß, welches Sicherheitsniveau man erreichen möchte, können konkrete Maßnahmen geplant werden. Zu denen gehört dann beispielsweise auch, dass detailliert Verantwortlichkeiten festgelegt werden.
- In einem zweiten Schritt werden Prozessabläufe definiert, welche insbesondere die Kommunikationskanäle betreffen. Welcher Ansprechpartner kümmert sich um welche Fachaufgabe? Wer ist zu kontaktieren wenn ein bestimmter Fall eintritt? Welche Prozesse der Zusammenarbeit gelten für ein bestimmtes IT-System?
- Im dritten Schritt wird die eigentliche Sicherheitskonzeption für das Unternehmen erstellt. Die Inhalte des IT-Grundschutz-Kompendiums können in diesem Zusammenhang als Grundlage für die weitere Konzeption verwendet werden. Im Rahmen dieses Schrittes werden nicht nur die notwendigen Maßnahmen für die Implementierung des Grundschutzes erarbeitet, sondern auch ermittelt welche Kosten anfallen und welche Ressourcen voraussichtlich Verwendung finden werden.
Wettrüsten im Cyberspace
Der IT-Grundschutz des BSI gilt seit seiner Einführung 1994 als Referenzwerk für Informationssicherheit in Deutschland. Zusammen mit dem IT-Grundschutz-Kompendium ermöglicht es Behörden und Unternehmen, praxistaugliche Sicherheitskonzepte zu erarbeiten und einzusetzen. Der nun vorgestellte Leitfaden stellt den jüngsten Entwicklungsschritt in einer permanent anhaltenden Modernisierungsphase dar, die sich der Herausforderung gegenüber sieht, mit den immer ausgefeilteren Cyber-Angriffen Schritt halten zu müssen.
Heruntergeladen werden kann der Leitfaden hier: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-Grundschutz-Modernisierung/Leitfaden_zur_Basis-Absicherung.html
Und so geht es weiter:
Ihre Marke, Ihre Produkte im Schneidforum