Organisation von Informationssicherheit in kleineren und mittleren Unternehmen (KMU)

Aus Winfwiki

Wechseln zu: Navigation, Suche

Hochschule und Studienort: FOM Fachhochschule für Ökonomie & Management Berlin

Studiengang: Berufsbegleitender Studiengang zum Bachelor of Science (B.Sc.) im Studienfach Wirtschaftsinformatik

Thema der Fallstudie: Organisation von Informationssicherheit in kleinen und mittleren Unternehmen (KMU)

Betreuer: Prof. Dr. Ralf Hötling

Autoren: Henrik Rutzky (Matrikel Nummer: 213657), Marco Wegner (Matrikel Nummer: 211165)

Abgabe: 28.02.2011

Inhaltsverzeichnis


1 Abkürzungsverzeichnis

AbkürzungBedeutung
BSI Bundesamt für Sicherheit in der Informationstechnik
bzgl. bezüglich
bzw. beziehungsweise
DoS Denial of Service
EDV Elektronische Daten Verarbeitung
EU Europäische Union
IEC International Electrotechnical Commission
ISMS Information Security Management System
ISO International Organization for Standardization
IT Information Technology
ITIL Information Technology Infrastructure Library
KMU kleine und mittlere Unternehmen
OGC Office of Gouvernement Commerce
PDCA plan–do–check–act
RAID Redundant Array of Independent Disks
RFID radio-frequency identification
SOX Sarbanes-Oxley Act
TK Telekommunikation
US United States
USA United States of America
USB Universal Serial Bus
z.B. zum Beispiel

2 Abbildungsverzeichnis

Abb.-Nr.Abbildung
1 Aufbau der IT-Grundschutzkataloge
2 Zusammenhänge der Themenfelder bei der IT- Infrastructure Library (ITIL)
3 PDCA Vorgehensmodell am praktischen Beispiel
4 Vorgehen nach dem IT-Grundschutz des BSI
5 Schwellenwertvorgaben Europäische Union für KMUs

3 Abstract

Am Beispiel dieser Fallstudie soll gezeigt werden wie die Organisation von Informationssicherheit in kleinen und mittleren Unternehmen (KMU) realisiert werden kann. Dabei werden vorab die Grundlagen zu den relevanten Begrifflichkeiten der Informationssicherheit und die definierten Rahmenbedingungen erläutert. Nach der Erläuterung der Grundlagen werden diese an einem praktischen, fiktiven Unternehmensszenario angewendet, um Unternehmen mögliche Vorgehensweisen aufzuzeigen.

4 Einleitung

Für Unternehmen ist der Einsatz von Informations-Technologien (IT) von wachsender Bedeutung.[1] Um den sicheren Einsatz dieser Technologien zu gewährleisten, müssen bestimmte Maßnahmen ergriffen werden, damit der Verlust von Daten, die Manipulation von Daten und der unberechtigte Zugriff auf Daten verhindert werden kann.[2] Die Umsetzung dieser Maßnahmen ist die Aufgabe des IT- Management, da es für die Bereitstellung von betrieblichen Informationssystemen verantwortlich ist.[3] Nicht selten kommt es bei Unternehmen mit kleiner und mittlerer Größe vor, dass aufgrund der personellen Ressourcen die Informationssicherheit vernachlässigt wird.[4]


Das Hauptziel dieser Fallstudie besteht im Aufzeigen von Möglichkeiten zur Organisation der Informationssicherheit in Unternehmen mit kleiner und mittleren Größe. Dabei sollen verschiedene Aspekte berücksichtigt werden die zur erfolgreichen Umsetzung hilfreich sind.


Zu Beginn dieser Arbeit soll auf den Begriff Informationssicherheit und dessen Bedeutung eingegangen werden. In diesem Zusammenhang werden die verschiedenen Bedrohungen bzw. Gefahrenarten für Unternehmen erklärt. Des Weiteren werden hier die Risiko- und Schwachstellenanalyse thematisiert, die die Grundlage für die anzuwendenden Schutzmaßnahmen bilden. Der letzten Punkt im ersten Abschnitt betrachtet die verschiedenen Möglichkeiten der Standardisierung der Informationssicherheit. Der zweite Abschnitt gibt einen Überblick wie KMUs definiert sind, welche wirtschaftliche Bedeutung sie haben und welche Besonderheiten im Zusammenhang mit der Informationssicherheit existieren.Im letzten Abschnitt werden die bisher erörterten Punkte aufgegriffen und für den Einsatz in einem beispielhaften Unternehmen diskutiert. Anschließend erfolgt eine Schlussbetrachtung.

5 Informationssicherheit

5.1 Begriffsklärung

Die Informationssicherheit dient dem Schutz von Informationen vor Bedrohungen und soll im Unternehmensbereich die Aufrechterhaltung des Geschäftsbetriebes gewährleisten. Durch sie sollen die Geschäftsrisiken minimiert und die Geschäftschancen maximiert werden. Der normgerechte Begriff Informationssicherheit erfüllt die Anforderungen einer ganzheitlichen Betrachtungsweise, da auch informationsverarbeitende Endgeräte, wie zum Beispiel Mobiltelefone, betrachtet werden. Im Wesentlichen beschreibt die Informationssicherheit den Umgang mit folgenden Eigenschaften.[5]

Verfügbarkeit:

Beschreibt die Eigenschaft Informationen in einer angemessenen Zeit abzurufen.

Integrität:

Beschreibt das Schutzziel der vollständigen und unveränderten Datenspeicherung über einen bestimmten Zeitraum. Integrität umfasst demzufolge die Datensicherheit (Vermeidung von Datenverlust) und die Fälschungssicherheit (Schutz vor vorsätzlicher Änderung von Daten).

Vertraulichkeit:

Beschreibt die Eigenschaft Informationen vor unbefugten Zugriffen zu schützen und diese nur einem befugten Personenkreis verfügbar zu machen.

Weitere zusätzliche Aspekte, die bei der Informationssicherheit Beachtung finden, sind:[6]

Zurechenbarkeit:

Änderungen an den Informationen können dem Urheber zugerechnet werden.

Authentizität:

Die Authentizität beschreibt den Umstand, dass sowohl Benutzer als auch das System tatsächlich der/das ist, für den er/es sich ausgibt.

5.2 Bedrohungen

Bedrohungen sind Absichten, Interessen, Motive und Ziele von Organisation, Gruppen oder Personen, deren Handeln in der Verletzung der Unversehrtheit bzw. der Störung der Funktionsfähigkeit von IT- gestützten Systemen gerichtet ist.[7] Diese Bedrohungen können in die drei folgenden Kategorien unterteilt werden.[8]

5.2.1 natürliche Bedrohungen

Natürliche Bedrohungen sind Gefahren, die bedingt durch Umwelteinflüsse auftreten können.[9] Aufgrund der Intensität dieser Bedrohungen, kann es vorkommen, dass das IT-System technisch vollständig zerstört wird. Eine weitere Verwendung der IT-Systeme ist in so einem Fall ausgeschlossen.

  • Blitzschlag
  • Feuer
  • Überschwemmung

5.2.2 unbeabsichtigte Bedrohungen

Unbeabsichtigte Bedrohungen sind oft die Folge von unzureichend ausgebildeten Mitarbeitern, die kein fundiertes Wissen im Bereich der Informationstechnologie besitzen bzw. sich der möglichen Gefahren nicht bewusst sind. Ebenfalls treten unbeabsichtigte Bedrohungen auf, wenn die Mitarbeiter im Unternehmen unkonzentriert bei der Ausführung ihrer Arbeit sind. Dies kann die Folge von schlechten Arbeitsbedingungen sein, z.B. hohe Lärmbelastung am Arbeitsplatz. Eine weitere Bedrohung kann ein Ausfall eines Systems darstellen. So ein Ausfall kann durch einen technischen Defekt, der zum Beispiel durch fehlerhafte Hardware verursacht wird, auftreten.[10] Bei unbeabsichtigten Bedrohungen wird davon ausgegangen, dass die Fehler nicht vorsätzlich zum Datenverlust oder Systemausfall geführt haben.

  • Systemausfall durch technischen Defekt
  • Fehlbedienung durch unwissendes Personal
  • Fehlbedienung durch unaufmerksames Personal

5.2.3 beabsichtigte Bedrohungen

Bei beabsichtigten Bedrohungen werden vorsätzlich verwundbare Stellen in der Sicherheit von Ressourcen ausgenutzt, wodurch Angreifer bestimmte Ziele, z.B. finanzielle Erträge, erreichen können. Diese Ziele können von Angreifern mit Hilfe von Werkzeugen, Techniken und Methoden erreicht werden.[11] Die Angriffe auf die IT-Systeme können aus unternehmensinternen sowie unternehmensexternen Bereichen durchgeführt werden. Als beabsichtigte Bedrohungen können folgende Beispiele genannt werden.

  • Einführung von Schadsoftware (Viren, Trojaner oder Würmer)
  • Sabotage von Systemen oder Daten
  • Spionage von Unternehmensinformationen
  • Vortäuschung falscher Identität (Spoofing, Phising oder Pharming)
  • Angriff auf die IT- Infrastruktur (Denial of Service)
  • Abhören des Datenverkehrs zwischen Netzwerkteilnehmern mit anschließender Übernahme der vollständigen Systemkontrolle (Man in the middle)
  • Ausspähen von persönlichen Daten des Opfers durch Vortäuschung falscher Identität (Social Engineering)[12]

5.3 Risiko- und Schwachstellenanalyse

Als Risiko kann die Wahrscheinlichkeit des Ausnutzens einer Schwachstelle und das daraus entstehende Verlustpotenzial verstanden werden.

Die Schwachstelleanalyse kann aufbauend auf den Ergebnissen der IST-Aufnahme im Unternehmen durchgeführt werden und hilft bei der Identifizierung der im Unternehmen befindlichen Schwachstellen. Durch die Identifizierung dieser Schwachstellen können zum einen potenzielle oder real vorhandene Schwachstellen ermittelt werden. Bei einer potenziellen Schwachstelle kann von situationsunabhängigen, allgemeinen Sicherheitslücken gesprochen werden. Ein Beispiel für eine potenzielle Sicherheitslücke ist die Speicherung von sensiblen Daten ohne einen Zugriffsschutz. Von real vorhandenen Schwachstellen spricht man, wenn diese Sicherheitslücken real existieren. Eine real vorhandene Schwachstelle ist zum Beispiel der fehlende Zugriffsschutz der Personaldaten auf die alle Mitarbeiter gleichermaßen zugreifen können. Durch die Identifizierung und die frühzeitige Beseitigung von Schwachstellen in einem Unternehmen, kann die Wahrscheinlichkeit des Ausnutzens dieser Schwachstellen verringert werden und zur Minimierung des Risikos für das Unternehmen beitragen.[13]

5.3.1 Technische Risikofaktoren

Technischen Risikofaktoren können Schwachstellen in der verwendeten Technologie, der produkttechnischen Umsetzung oder der fehlerhaften Funktionsweise voneinander abhängigen IT-Komponenten sein. Als technische Risikofaktoren können folgende Beispiele genannt werden.

  • Verwendung von nicht redundanten Systemen (keine Festplattenarrays – RAID, kein Server Cluster)
  • Unzureichend gesicherte Systeme (keine Firewall, keine Verschlüsselung der Kommunikation, kein Schutz vor Viren, Trojaner oder Würmer)
  • keine Sicherung (Backup) der Systeme (keine Sicherung der kritischen Unternehmensdaten)
  • keine Restriktion bei der Vergabe von Benutzerrechten (Administrationsberechtigungen)
  • keine Aktualisierung der Systeme (keine Software- Updates/Hardware länger im Einsatz als Herstellervorgabe)
  • keine Überwachung der IT-Infrastruktur (Monitoring von Servern, Routern, Switchen)

5.3.2 Bauliche Risikofaktoren

Bauliche Risikofaktoren können durch Vernachlässigung der Maßnahmen zur Absicherung des IT- Betriebes entstehen. Sie werden oft zu spät oder gar nicht ergriffen, um beispielsweise Investitionen hinauszuzögern oder einzusparen. Beim Eintreten einer Störung durch baulich bedingte Schwachstellen kann der IT Betrieb erheblich eingeschränkt bzw. unterbrochen werden. Durch einen Ausfall des IT-Betriebes und damit verbundener unternehmenskritischer Komponenten können dem Unternehmen hohe Kosten entstehen. Folgende Beispiele können als bauliche Risikofaktoren genannt werden.[14]

  • falsche Auswahl von Räumlichkeiten (Kellerraum als Serverraum ungeeignet, da die Gefahr einer Überflutung besteht)
  • fehlende Installation von notwendigen Sicherungsanlagen (Brandmeldeanlage, Einbruchmeldeanlage, Klimameldeanlage)
  • falsche Installation von Infrastruktur im den Räumlichkeiten (Abwasserkanäle über den Serverschränken)
  • fehlende Zutritts/Zugriffszentrale (Zutritt mit RFID Karte und Zugangscodes)
  • falsch dimensionierte Infrastruktur für den Rechenzentrumbetrieb (Elektroverkabelung kann zum Brand führen, falsche Klimaanlagen können zur Überhitzung führen)

5.3.3 Personelle Risikofaktoren

Personelle Risikofaktoren sind Handlungen, die von den eigenen Mitarbeitern eines Unternehmens vollzogen werden, um dem Unternehmen bewusst oder unbewusst Schaden hinzuzufügen. Personelle Risikofaktoren können demzufolge als Schwäche der Mitarbeiter eines Unternehmens betrachtet werden.[15] Als Beispiele für personelle Risikofaktoren können folgende angeführt werden.

  • unzureichend qualifiziertes Personal (Mitarbeiter löscht aus Unwissenheit unternehmenskritische Daten aus einer Datenbank, Mitarbeiter infiziert Rechner mit einem Virus von einer nicht vertrauenswürdigen Webseite)
  • illoyale Mitarbeiter (Mitarbeiter geben vertrauliche Informationen oder Daten unerlaubt an Dritte bzw. Wettbewerber)
  • sabotierende Mitarbeiter (Mitarbeiter löschen wissentlich wichtige Daten eines aktuellen Projektes vom Server)

5.4 Schutzmaßnahmen

Der Schutz für informationsverarbeitende Ressourcen im Unternehmen kann mit Hilfe von bestimmten Maßnahmen geplant und umgesetzt werden. Diese Maßnahmen können auf verschiedenen hierarchischen Ebenen des Unternehmens angewendet werden. Zum einen gibt es die strategische Ebene, mit deren Hilfe Maßnahmen wie z.B. die Durchsetzung einer IT Sicherheitsrichtlinie umgesetzt werden kann. Auf dieser Ebene werden langfristige Entscheidungen zum Schutz der Informationen getroffen, wobei das Ergebnis dieser Entscheidungen unter Umständen erst nach einem längeren Zeitraum sichtbar wird. Wichtig ist dabei ist die konsequente Durchsetzung aller getroffenen Entscheidungen, damit die Ergebnisse nachhaltig zur Verbesserung des Informationsschutzes beitragen. Zum anderen gibt es die operative Ebene auf der Entscheidungen mit kurzfristigem Charakter getroffen werden. Auf dieser Ebene werden Maßnahmen zur konkreten Umsetzung des Schutzes von informationsverarbeitenden Ressourcen beschlossen und durchgeführt. Ein Beispiel für eine Schutzmaßnahme auf dieser Ebene könnte die Verwendung einer Personal- Firewall sein. Weitere praktische Beispiele für die zwei Ebenen könnten folgende sein.

Strategische Schutzmaßnahmen:

  • Entwicklung und Implementierung eines Sicherheitskonzeptes
  • Aufbau einer Sicherungsinfrastruktur
  • Anwendung eines Risikomanagements

Operative Schutzmaßnahmen:

  • Aktualisierung der verwendeten Software
  • Verschlüsselung vertraulicher Informationen
  • Verwendung einer Antiviren- Software
  • Erstellung von Sicherungskopien
  • Verwendung sicherer Entwicklungssysteme und Laufzeitumgebungen
  • Aufzeichnung von Zugriffen auf Daten (Protokollierung)
  • Überprüfung der eigenen Systeme bzw. deren Sicherheitsstandards
  • Einschränkung von Benutzerrechten
  • Sensibilisierung von Mitarbeitern

5.5 Standardisierung von Informationssicherheit

Durch die Etablierung verschiedener nationaler und internationaler Standards in der Informationstechnologie können unterschiedliche Zielgruppen bedient werden. Diese Zielgruppen sind z.B. IT-Sicherheitsbeauftragte, IT-Fachkräfte, Administratoren oder das Topmanagement eines Unternehmens. Durch den Einsatz solcher Standrads wird das Sicherheitsniveau in Unternehmen erhöht, wobei zusätzlich eine Konsolidierung und Anpassung zwischen den betroffenen Entscheidern stattfindet, die über die Form und Umsetzung von Sicherheitsmaßnahmen entscheiden.[16] Nachfolgend sind einige der wichtigsten nationalen und internationalen Standards in der Informationssicherheit aufgeführt.

Abbildung 1: Aufbau der IT-Grundschutzkataloge
Abbildung 1: Aufbau der IT-Grundschutzkataloge[17]

5.5.1 IT- Grundschutzkatalog vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

Der IT-Grundschutzkatalog vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Empfehlungen zu Methoden, Prozessen und Maßnahmen um die Informationssicherheit in Behörden und Unternehmen im nationalen und internationalen Bereich zu erhöhen. Das Bundesamt für Sicherheit in der Informationstechnik bietet mit dem IT-Grundschutz eine pragmatische Methode, mit der die im Unternehmen existierenden Geschäftsprozesse und deren Daten angemessen geschützt werden können.[18] Der IT- Grundschutzkatlog kann in mehrere Kataloge aufgeteilt werde die untereinander in Beziehung zueinander stehen (siehe Abbildung 1).

5.5.2 IT- Infrastructure Library (ITIL)

Abbildung 2: Zusammenhänge der Themenfelder bei der IT-Infrastructure Library (ITIL)
Abbildung 2: Zusammenhänge der Themenfelder bei der IT-Infrastructure Library (ITIL)

ITIL steht für Information Technology Infrastructure Library und wurde für das OGC (Office of Gouvernement Commerce) als Warenzeichen eingetragen. Die IT-Infrastructure Library ist eine Sammlung dokumentierter IT-Best-Practices die seit Ende der achtziger Jahre aktualisiert und erweitert wird. Sie ist heutzutage die am meisten verwendete Dokumentation, wenn es um die Absicherung von informationsverarbeitenden Einrichtungen geht. Das Rahmenwerk der ITIL definiert in Abhängigkeit stehende Prozesse und versucht diese so zu gestalten, dass alle im Unternehmen befindlichen Personal- und Produktressourcen im Prozessablauf mit Hilfe der IT Dienste so effektiv und effizient wie möglich genutzt werden können. In der neusten Version der IT Infrastructure Library (Version 3) wurden sogenannte ITIL-Core definiert. Diese ITIL-Core sind fünf Bücher mit allen Best-Practices die auf alle Organisationen anwendbar sind. Im Detail wurden diese Best-Practices nach folgenden Bereichen unterteilt.

  • Service Strategy
  • Service Design
  • Service Transition
  • Service Operation
  • Continual Service Improvement

Durch das Zusammenwirken der einzelnen Themenbereiche (siehe Abbildung 2) entsteht die IT-Infrastructure Library, die bei Anwendung im Unternehmen den Service-Lebenszyklus und damit den Schutz von Informationen positiv beeinflussen kann.[19]

5.5.3 ISO/IEC 27001

Abbildung 3: PDCA Vorgehensmodell am praktischen Beispiel
Abbildung 3: PDCA Vorgehensmodell am praktischen Beispiel[20]

Der Standard für Informations- Sicherheits- Management- Systeme (ISMS) mit der Bezeichnung ISO/IEC 27001 wurde am 15. Oktober 2006 von der Internationalen Normungsorganisation (ISO) veröffentlicht. Dieser Standard beschreibt, welche Anforderungen an ein ISMS gestellt werden. Er ist ebenfalls ein Managementsystemstandard nach dem sich Unternehmen bzw. Organisationen zertifizieren lassen können. Die Standards der 27000-Serie werden fortlaufend aktualisiert und erweitert. Einige weitere Standards der 27000- Serie sind folgende.[21] Der ISO/IEC 27001 Standard ist zu 100% kompatibel mit dem IT- Grundschutzkatalog vom Bundesamt für Sicherheit in der Informationstechnik und kann als Erweiterung zum IT- Grundschutzkatalog verwendet werden.

  • ISO/IEC 27000: Information security management systems fundamentals and vocabulary
  • ISO/IEC 27001: Information security management systems – Requirements
  • ISO/IEC 27003: Information security management systems implementation guidance
  • ISO/IEC 27004: Information security management systems measurement
  • ISO/IEC 27005: Information security risk management

In dem Standard ISO27001 werden die Maßnahmen anhand der klassischen Sicherheitskriterien wie Verfügbarkeit, Integrität und Vertraulichkeit um die Eigenschaften Authentizität, Zurechenbarkeit, und Ausfallsicherheit erweitert. Bei dem Standard wird auf das PDCA- Vorgehensmodell zurückgegriffen das in der Praxis wie dargestellt aussehen könnte. (siehe Abbildung 3) Der ISO/IEC 27001 Standard setzt auf den weit verbreiteten BS 7799 Standard auf und ist somit ein Muss für international tätige und börsennotierte Unternehmen.[22]

5.5.4 Sarbanes-Oxley Act (SOX)

Der Sarbanes Oxley Act ist ein US-Amerikanisches Gesetz das am 25.07.2002 vom Kongress verabschiedet wurde. Die Notwendigkeit für dieses Gesetz entstand durch Bilanzskandale von Großkonzernen wie Enron oder Worldcom.[23] Es hatte zur Folge, dass alle Unternehmen, die den öffentlichen Kapitalmarkt der USA beanspruchen wollen, nach strengen Regularien zu handeln haben. In erster Linie fokussiert das Gesetz den Finanzsektor einer Organisation. Zum anderen Teil wird das Gesetz auch zur Kontrolle innerhalb der Informationstechnologie angewendet. Die Anwendung der Regularien in der IT- Organisation dienen dem Zweck einer verlässlichen Berichterstattung und garantieren somit eine SOX- konforme Arbeitsweise.[24]

6 Kleine und mittlere Unternehmen (KMU)

Abbildung 5: Schwellenwertvorgaben Europäische Union für KMUs
Abbildung 5: Schwellenwertvorgaben Europäische Union für KMUs[25]

6.1 Definition

Nach der Europäischen Union und dem Europäischen Gerichtshof werden Betriebe als KMU bezeichnet, die als Unternehmen eingestuft werden und eine bestimmte Grenze zu einem Großunternehmen aufweisen. Als Grenze werden verschiedene Kennzahlen herangezogen. Den jährlichen Umsatz, die Umsatzerlöse, und Anzahl der Beschäftigten sind hier zu nennen. Nach Europäischen Gerichtshof bestimmt nicht die Rechtsform sondern die wirtschaftliche Tätigkeit die Einstufung als KMU. Deshalb können auch Selbstständige, Familienbetriebe und andere Formen von Unternehmungen als Unternehmen angesehen werden. Die genauen Vorgaben der Schwellenwerte der Europäischen Union zur Definition der kleinen und mittleren Unternehmen können der Abbildung 5 entnommen werden.[26]

6.2 Bedeutung von kleinen und mittleren Unternehmen

Die Abkürzung der kleinen und mittleren Unternehmen in der Europäische Union lautet Small and Medium-sized Business (SMB) oder Small and Medium-sized Enterprises (SME). Der Anteil dieser Unternehmen in der Europäischen Union ist von großer wirtschaftlicher Bedeutung. Unternehmen mit kleiner und mittlerer Größe sind in Europa die vorherschende Unternehmensgröße. In Europa stellen sie ca. 99% aller Unternehmen. Der Anteil der kleinen und mittleren Unternehmen in Deutschland liegt bei 99,7% aller umsatzsteuerpflichtigen Unternehmen.[27]

Die Bedeutung der kleinen und mittleren Unternehmen in Deutschland sowie in der Europäischen Union ist von hoher Bedeutung für die Wirtschaft.

7 Fallstudie

7.1 Unternehmensszenario

Das betrachtete Unternehmen ist fiktiv, kann aber mit real existierenden Unternehmen verglichen werden. Bei der Unternehmensbetrachtung werden ausschließlich relevante Aspekte bei einem in Deutschland ansässigem Dienstleistungsunternehmen berücksichtigt. Das Unternehmen hat ca. 250-300 Mitarbeiter, die ihre Arbeit mit Hilfe von EDV- gestützten Anwendungen verrichten. Die Produktpalette des Unternehmens reicht von individuellen, multimedialen Inhalten bis zu Standard-Software für eine am Markt befindliche Zielgruppe. Diese erzeugten Endprodukte werden über den Vertriebsweg Internet angeboten und verkauft.

7.2 Situationsanalyse (IST Zustand)

Der Ausgangszustand des Unternehmens bezogen auf die Informationssicherheit kann mit folgenden Beispielen beschrieben werden.

  • Benutzer haben vollen Zugriff auf sämtliche IT Ressourcen
  • Benutzer haben Administrative Berechtigungen
  • Unternehmen betreibt Dienste wie File Services ohne Backup
  • Unternehmen betreibt E-Mail Services ohne Spam oder Viren Kontrolle
  • Unternehmen betreibt keine Firewalls
  • Unternehmen betreibt nicht redundant aufgebaute Serverhardware
  • Mitarbeiter oder andere Personen haben physikalischen Zugang zu kritischen IT-Komponenten
  • Betrieb der IT- Infrastruktur ohne Anwendung von Monitoring
Abbildung 4: Vorgehen nach dem IT-Grundschutz des BSI
Abbildung 4: Vorgehen nach dem IT-Grundschutz des BSI[28]

7.3 Vorgehen

Um nach der Situationsanalyse ein bestimmtes Vorgehen anzuwenden, muss vorab klar sein, welchen Schutz das Unternehmen benötigt. Diese Entscheidung ist von Unternehmen zu Unternehmen unterschiedlich, da die Gegebenheiten und Anforderungen von Unternehmen variieren. Sinnvoll bei der Entscheidungsfindung ist die Betrachtung der Unternehmensanforderungen, sowie die zukünftige Entwicklung des Unternehmens. Ebenfalls ist es notwendig eine ganzheitliche Betrachtung des Unternehmens durchzuführen, um den optimalen Schutz langfristig zu garantieren.

In der Fallstudie wurde aufgrund der Unternehmensanforderungen und der Tendenz zum Wachstum des Unternehmens der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik als ausreichend befunden. Der IT-Grundschutz bietet für das fiktive Unternehmen einen optimalen Schutz, sowie die notwendige Flexibilität, da der IT-Grundschutz bei anhaltendem Wachstum des Unternehmens mit der ISO/IEC 27001 problemlos erweitert werden kann.

Das Vorgehen zur Anwendung des IT-Grundschutzes im Unternehmen erfolgt strukturiert nach einer bestimmten Abfolge von Aufgaben. (siehe Abbildung 4) Diese einzelnen Aufgaben können wie folgt beschrieben werden.

Strukturanalyse des IT-Verbundes:

Bei der Strukturanalyse werden in Zusammenarbeit mit der IT-Abteilung relevante IT-Systeme, Anwendungen und Prozesse identifiziert. Diese Identifizierung dient der Zuordnung der Systeme zur Gruppe der Grundschutz relevanten Ressourcen. Mit dem Abschluss der Identifizierung kann eine sinnvolle Abgrenzung des IT-Verbundes durchgeführt werden.

Feststellung des Schutzbedarfes:

Die Feststellung des Schutzbedarfes beschreibt wie hoch dieser Bedarf ist und in welcher Kategorie dieser Schutzbedarf liegt. Bei der Höhe des Schutzbedarfes unterscheidet man zwischen den Abstufungen „normal“, „hoch“ oder „sehr hoch“. Die Kategorien der Schutzbedarfe sind „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“. Mit diesen Eigenschaften kann für IT-Systeme eine Matrix gebildet werden, mit der für jedes IT-System ein Schutzbedarf festgestellt werden kann. IT-Grundschutzanalyse

Bei der IT-Grundschutzanalyse werden den einzelnen IT-Systemen Grundschutzbausteine zugewiesen. Danach erfolgt die Überprüfung, ob die in den Grundschutz enthaltenen Maßnahmen eingehalten werden (Basis-Sicherheitscheck). Bei der Zuweisung von IT-Grundschutzbausteinen und der Überprüfung spricht man auch von der „Modellierung des IT-Verbundes“.

Ergänzende Analyse

Sollte durch die Grundschutzanalyse der Schutzbedarf „hoch“ oder „sehr hoch“ festgestellt werden, so ist es empfehlenswert das System bzw. die Ressource einer ergänzenden Prüfung zu unterziehen. Bei dieser Prüfung sollte eine Sicherheits- und Risikoanalyse durchgeführt werden.

Konsolidierung der Maßnahmen

Bei der Konsolidierung werden die vorab definierten Sicherheitsmaßnahmen zusammengefasst und für die Realisierung der Maßnahmen vorbereitet.

Realisierung der Maßnahmen

Abschließend werden die vorbereiteten Maßnahmen umgesetzt.[29]

7.4 Anwendung in der Praxis

Die Anwendung des Vorgehens (Punkt 7.3) resultiert in konkreten Maßnahmen zum Schutz des Unternehmens bzw. der Organisation. Folgende Beispiele können das Resultat der Anwendung des Vorgehens sein.

  • Erstellung einer IT- Sicherheitsrichtlinie als Anhang zum Arbeitsvertrag
  • Einschränkung von Benutzer- bzw. Zugriffsrechten
  • Physische Absicherung kritischer IT- Komponenten
  • Einrichtung einer Sicherung
  • Einsatz von Antiviren Software
  • Schulung von Mitarbeitern
  • Sperrung von USB Speichermedien
  • Ernennung eines IT- Sicherheitsbeauftragten

7.5 Schlussfolgerung

Die Anwendung des IT-Grundschutzes des BSI auf das fiktive Unternehmen erscheint anhand der Anforderungen und Aussichten des Unternehmens optimal. Es bietet dem Unternehmen den erforderlichen Schutz der Informationen und die notwendige Flexibilität bei der Erweiterung der Sicherheitsmaßnahmen durch die Kompatibilität zum ISO/IEC27001 Standard. Die Frage, ob die Erstellung eines eigenen Sicherheitskonzeptes sinnvoll erscheint, kann verneint werden. Aufgrund der geringen Mitarbeiteranzahl in der IT-Organisation des Unternehmens und dem Branchenüblichen Standards des Unternehmens ist es sinnvoll sich an bereits bestehenden Standards zu orientieren.

8 Fazit

Durch die Anwendung eines Sicherheitsstandards kann das Risiko für Unternehmen verringert werden. Eine allgemeingültige Aussage bzgl. einer Empfehlung „des besten Sicherheitsstandards“ kann nicht getroffen werden. Die Unternehmen müssen individuell betrachtet werden, damit alle Umstände und Anforderungen des Unternehmens berücksichtigt werden können. Bei der Frage der Nutzung eines etablierten Standards oder der Erstellung eines eigenen Sicherheitskonzeptes muss geprüft werden, ob es wirtschaftlich sinnvoll ist, die Anforderungen wirklich so speziell sind, dass sie mit den existierenden Standards nicht abgedeckt werden können und die Kompetenz in der jeweiligen Organisation vorhanden ist um ein lückenloses Sicherheitskonzept zu erstellen.

9 Fußnoten

  1. Vgl. http://www.perspektive-mittelstand.de/Studie-Bedeutung-der-IT-in-Unternehmen-waechst/management-wissen/print/3113.html
  2. Vgl. http://www.itwissen.info/definition/lexikon/Informationssicherheit-information-security.html
  3. Vgl. Abts D., Mülder W., Frick D., Mehrtens M., Servaes I., Söhnchen P., Stegemerten B. (2009), S. 483
  4. Vgl. Schwyter F., Wisler A., Hämmerli B., Rieder C. (2007), S. 5
  5. Vgl. Schlegel H. (2010), S. 163
  6. Vgl. Schlegel H. (2010), S. 163-164
  7. Vgl. Gründer T., Schrey J. (2007), S. 32
  8. Vgl. Noe M. (2006), S. 279
  9. Vgl. Noe M. (2006), S. 279-280
  10. Vgl. http://www.microsoft.com/germany/technet/datenbank/articles/900133.mspx
  11. Vgl. http://www.microsoft.com/germany/technet/datenbank/articles/900133.mspx
  12. Vgl. Peikari C., Chuvakin A. (2004), S. 211-212
  13. Vgl. Schmidt K. (2006), S. 116
  14. Vgl. Wallmüller E. (2004), S. 43
  15. Vgl. Schmidt K. (2006), S. 22
  16. Vgl. Rothmann P. (2010), S. 7
  17. Vgl. Rothmann P. (2010), S. 7
  18. Vgl. Rothmann P. (2010), S. 7
  19. Vgl. Andenmatten M. (2010), S. 15
  20. Vgl. Witt C. (2006), S. 45
  21. Vgl. Thome G., Sollbach W. (2007), S. 223
  22. Vgl. Witt C. (2006), S. 45
  23. Vgl. Speichert H., Fedtke S., S. 256
  24. Vgl. Hinz A., S. 1-4
  25. Vgl. http://ec.europa.eu/index_de.htm
  26. Vgl. http://ec.europa.eu/index_de.htm
  27. Vgl. http://ec.europa.eu/index_de.htm
  28. Vgl. https://www.bsi.bund.de/cln_174/ContentBSI/Publikationen/BSI_Standard/it_grundschutzstandards.html
  29. Vgl. https://www.bsi.bund.de/cln_174/ContentBSI/Publikationen/BSI_Standard/it_grundschutzstandards.html

10 Literatur- und Quellenverzeichnis

Literatur:
Abts D., Mülder W., Frick D., Mehrtens M., Servaes I., Söhnchen P., Stegemerten B. (2009): Masterkurs Wirtschaftsinformatik, 1. Auflage, Wiesbaden 2009
Andenmatten M. (2010): IT-Services steuern mit ITIL: Prüfungsvorbereitung zur ITILV3 Qualifikation Managing across the Lifecycle, 1. Auflage, Düsseldorf 2010
Gründer T., Schrey J. (2007): Managementhandbuch IT-Sicherheit: Risiken, Basel II, Recht, 1. Auflage, Berlin 2007
Hinz A. (2010): Der Sarbanes-Oxley Act als Präventions- und Aufdeckungsmaßnahme doloser Handlungen: Eine Untersuchung vor dem Hintergrund des Enron-Zusammenbruchs und weiterer Bilanzskandale, 1. Auflage, Hamburg 2010
Noe M. (2006): Projektbegleitendes Qualitätsmanagement: Der Weg zu besserem Projekterfolg, 1. Auflage, Erlangen 2006
Peikari C., Chuvakin A. (2004): Social Engineering - Der Mensch als Sicherheitsrisiko in der IT, 1. Auflage, Hamburg 2009
Rothmann P. (2010): Konzept und Umsetzung eines versionsunabhängigen IT-Grundschutzbausteins am Beispiel von MS Exchange, 1. Auflage, München 2010
Schlegel H. (2010): Steuerung der IT im Klinikmanagement: Methoden und Verfahren. Online-Service, 1. Auflage, Wiesbaden 2010
Schmidt K., (2006): Der IT Security Manager, 1. Auflage, München 2006
Schwyter F., Wisler A., Hämmerli B., Rieder C. (2007): Informationssicherheit für KMU. Sicherheitskonzepte & praktische Umsetzung, 1. Auflage, Rheinfelden 2007
Speichert H., Fedtke S. (2007): Praxis des IT-Rechts: Praktische Rechtsfragen der IT-Sicherheit und Internetnutzung, 1. Auflage, Wiesbaden 2007
Thome G., Sollbach W. (2007): Grundlagen und Modelle des Information Lifecycle Management, 1. Auflage, Berlin 2007
Wallmüller E. (2004): Risikomanagement für IT- und Software-Projekte: Ein Leitfaden für die Umsetzung in der Praxis, 1. Auflage, München 2004
Witt C. (2006): IT-Sicherheit kompakt und verständlich: Eine praxisorientierte Einführung, 1. Auflage, Wiesbaden 2006
Internet:
Bundesamt für Sicherheit in der Informationstechnik (2010): BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, URL: https://www.bsi.bund.de/
DATACOM Buchverlag GmbH (2010): Informationssicherheit, URL: http://www.itwissen.info/definition/lexikon/Informationssicherheit-information-security.html
Europäische Union (2010): Die neue KMU-Definition, URL: http://ec.europa.eu/index_de.htm
Microsoft GmbH (2010): Definition der Sicherheitslandschaft, URL: http://www.microsoft.com/germany/technet/datenbank/articles/900133.mspx
Novo Motio KG (2010): Studie - Bedeutung der IT in Unternehmen wächst, URL: http://www.perspektive-mittelstand.de/Studie-Bedeutung-der-IT-in-Unternehmen-waechst/management-wissen/print/3113.html
Persönliche Werkzeuge