BSI, ISO, VDS, KRITIS & Co.

Tolle Kürzel, Umfangreiche Vorgaben und kein Durchblick?


Die hochgelobte IT-Sicherheit ist immer weiter auf dem Vormarsch. Nun ja, der Gesetzgeber legt endlich massiv vor und hat die IT-Sicherheitsgesetzgebung angepasst.

Ironie:ON „Jetzt doch schon? Internet ist eben Neuland“ Ironie:OFF

Da ist nun also die Rede von KRITIS (Kritische Infrastrukturen). Und die Standards zur Umsetzung sind vielfältig auditierbar. Da haben wir folgende:

  • BSI: der Standard seit Jahren generell –> nur leider völlig unübersichtlich und schlicht zu üppig für die tägliche Umsetzung
  • ISO: klar, was der Bund kann möchte man sich auch Vergüten lassen durch einen eigenen Standard –> Umsetzbarkeit im Alltag sehr müßig
  • VdS: Standard der deutschen Versicherer –> Regel gilt: soviel wie nötig, so wenig wie möglich.

Der Zwiespalt für IT-Administratoren ist stets gleich: Überblick und Umsetzbarkeit im Alltagsbusiness. Dies dann noch möglichst aktuell.

Was kann man also tun? Zunächst sollte man schauen, gegen welche Art Cyberkriminalität man geschützt ist. In den Versicherungsverträgen ist meist der Passus „Fahrlässigkeit“ gänzlich ausgeschlossen. Doch was ist Fahrlässig?

Ganz klare Beispiele: wer kein Antispam oder keine DataLeakPrevention betreibt. Resultat: Daten Weg, Versicherung zahlt nicht, Unternehmen durch Fahrlässigkeit ruiniert.

Groteskerweise stellen manche Unternehmen noch nicht einmal fest, dass sie Opfer von Attacken sind. Wer es nicht glaubt kann im folgenden externen Link einmal schauen und staunen. LINK: Befragungsergebnis der „Allianz für Cyber Sicherheit“

Viele Unternehmen werben mit dem Hinweis auf „ISO/BSI-Konform“. Dazu muss und sollte man wissen, dass das entsprechende Unternehmen nur nach den Vorgaben handelt……aber diese nicht zertifiziert hat. Dies wäre dann „BSI/ISO-Zertifiziert“. Nun ja, der Dschungel der Begrifflichkeiten eben. Wem nutzt es „ISO-Konform“ zu sein wenn er irgendwann mal vor Ewigkeiten einen IT-Standard definierte, diesen aber niemals aktualisiert? Vergänglichkeit ist bekanntermaßen auch in der IT anzutreffen.

 

Wussten sie eigentlich schon, dass Office365 Cloudbasierend ist? Klar doch! Sind sie aber sicher, dass sie durch die AGB’s und EULA’s vom „Redmont’er Riesen“ noch Herr über ihre Unternehmensdaten sind?

Oder aber die beliebte „Apfel-Ei-klaut“: lesen Sie mal gezielt im Absatz „E.“ im Kapitel „V.“ –> schön das man dort nach freien Ermessen des Anbieters das Eigentum ihrer Daten überträgt. Und da wollen Sie wirklich „Smartphones mit dem Apfel“ als Unternehmensstandard implementieren?

Oftmals kommt das Argument „IT-Sicherheit ist unbezahlbar“. Allerdings wissen nur wenige, dass die Umsetzung von ISMS mitunter 100% Förderung (Bundesland abhängig) durch EU-Gelder unterliegen.

 

IT-Sicherheit ist eben ein riesiger Dschungel. Es gibt aber Möglichkeiten diese doch recht erfolgreich umzusetzen. 100% Sicherheit wird es leider nicht geben. Werte über 80% sind real und möglich. Doch wie prüft man diese? Dazu gibt es kleine Helfer. Hier mal eine kleine Liste:

  • GSTool (leider nicht mehr aktualisiert)
  • i-doIT (integrierte Option im Produkt)
  • ART-Tool (derzeit noch in Entwicklung; Fertigstellung in wenigen Wochen)

Mein Favorit wird das letztgenannte ART-Tool der Firma SoftDream sein. Dieses wird anhand des VDS-Standards für Auditierungen ausgerichtet sein. Derzeit werden hier Schnittstellen zu externen Programmen erstellt, welche eine Anbindung an gängige Inventorysysteme und Doku-Software bieten. Hierbei bin ich selber aktiv involviert und kann schon jetzt sagen: es lohnt sich.

Die Umsetzung von IT-Sicherheit bedarf aber nun einmal mehr als nur guten Willen, einiger Normen und dem Administrator. Eine Systeminventarisierung ist grundsätzlich anzuraten. Die VdS3473 (Link) sagt in Absatz 9.3 eindeutig aus, dass kritische Systeme inventarisiert sein müssen. Leider haben und nutzen noch viel zu wenige Mittelstandsunternehmen dieses Alltagswerkzeug. Interessanterweise unterstützt uns dazu Rob Joyce, Chef der NSA-Hacker in einem Zitat (Quelle: The Register): „Wenn Sie Ihr Netzwerk wirklich schützen wollen, müssen sie es kennen – inklusive aller Technologien und Geräte“

Das mitunter Unternehmen sich in Sicherheit wiegen, dann am Ende aber durchfallen ist anhand des postiven Beispieles der Stadtwerke Ettlingen hinlänglich belegbar. Heise-Online dazu: Energieversorger testet Sicherheit – und fällt durch

Abschließend möchte ich anmerken: IT-Sicherheit ist kein Einzelthema für die IT-Abteilung. Vielmehr ist es „gelebtes Business“, welches vom Management führend vorgelebt werden muss. Da geht es eben nicht, dass der Chef andere Passwortrichtlinien hat wie der Vertriebler nur weil der Chef der Chef ist. Im Vergleich mit einem Auto ist die IT-Abteilung nur der Motor und schlichtweg in der Management-Karosse eingebaut. Die Involvierung externer Mediatoren ist absolut anzuraten, denn nichts sorgt für mehr Unmut als überzogene Ansichten in der Anwendung und unverstandene Umsetzung von IT-Sicherheit.

 

Zusätzliche externe Links zum Thema:

 

***Dieser Beitrag beruht in Teilen auf einem Vortrag von Herrn Frank Weiß***