Die Attacke auf die Telekom hat das Thema „Internet Sicherheit“ wieder einmal ins Bewusstsein gerufen. Politik und Öffentlichkeit diskutieren, was getan werden muss, um so etwas in Zukunft zu verhindern. Hier ist nicht nach Schuldigen zu fragen, sondern zu schauen, wer was zu tun hat, um ein solches Ereignis zu verhindern. Anleitung dazu gibt es zur Genüge, und das schon seit Jahren. So gibt es z.B. das Cyber Security Framework des NIST (National Institut for Standards and Technologys) aus den USA, das mit Unterstützung europäischer Partner entstanden ist. Aber auch das BSI hat Vorschläge dazu erarbeitet.
Im Folgenden soll an Hand von Mythen zur Internet Sicherheit Anregungen für zukünftige Verbesserungen gegeben werden.
Die 7 Mythen:
(vgl. Taylor)
ITIL und COBIT bieten Hilfe an.
1. Für unsere Informations- und Internet-Sicherheit ist unsere IT zuständig.
Ein weit verbreiteter Mythos! Die Regeln und die zu schützenden Daten muss das Unternehmensmanagement festlegen. Sicherheit, ob Arbeitsschutz, Datenschutz oder Internetsicherheit ist eine Hauptverantwortung des Unternehmensmanagements. Dies haben unterschiedlichste Gesetze, Standards und Regeln mehrfach bestätigt, wie z.B. COBIT 5®, ISO 27001, ISO 27014, ISO 27032, BSI Grundschutz.
2. Mit Software (z.B. Firewall, Verschlüsselung…) lässt sich das Problem lösen.
Software löst nicht die organisatorischen Defizite eines Unternehmens. Darüber hinaus ist das größte Sicherheitsrisiko immer noch der Mensch. Schlechte oder fehlende Sicherheitsregeln, eine Passwortrichtlinie die sich nicht in die Arbeitsweise der Mitarbeiter integriert, nicht vorhandenes Risikomanagement usw. sind organisatorische Mängel, die Software nicht lösen kann.
Der ITIL® Prozess „Information Security Management“ beschreibt, welche organisatorischen Voraussetzungen erfüllt sein müssen und was eine Information Security Policy beinhalten sollte.
3. Informations- und Internet-Sicherheit ist eine Störung die behoben werden muss.
Informations- und Internetsicherheit ist keine Störung, sondern eine permanente Aufgabe der Unternehmensführung. Das ist kein singuläres Ereignis, das einmal behoben, nie mehr auftritt.
Im Rahmen eines permanenten Risikomanagements muss Informations- und Internetsicherheit immer im Fokus sein und regelmäßig überprüft werden. Der COBIT 5® Prozess EDM03 (Sicherstellen der Risiko-Optimierung) gibt in dem Zusammenhang klare Aktivitäten vor.
4. Kleine und mittlere Unternehmen sind davon nicht betroffen.
Warum sollte das so sein? Gerade der deutsche Mittelstand bringt die meisten Innovation hervor. Von daher sind kleine und mittlere Unternehmen geradezu prädestiniert für Angriffe aus dem Netz. Eine Untersuchung in Großbritannien ergab, dass 74% der kleinen und mittleren Unternehmen schon einmal das Opfer von Angriffen wurden.
5. Die Hersteller sind für die Sicherheit der Systeme verantwortlich.
Das stimmt, so lange es sich in ihrem Bereich abspielt. Für die Handhabung durch die Anwender oder den Platz an dem die Systeme betrieben werden, sind sie nicht verantwortlich. Dafür liegt die Verantwortung beim Unternehmen. Diese Abgrenzung des Verantwortlichkeitsbereichs spielt eine große Rolle beim Cloud Computing (vgl. Cloud Computing White Paper, S. 8 ff)
COBIT 5® beschreibt in den Governance Prozessen EDM sehr genau, welche Aktivitäten die Unternehmensführung in dem Zusammenhang ausführen sollte.
6. Wir haben kein Problem damit.
… weil wir keine sensiblen Daten haben. Eine gewagte Aussage. Es ist evtl. nur noch nicht aufgefallen. Man kann auch Opfer werden, um an Kunden oder Partner heranzukommen. Gerade in einer vernetzten Welt werden immer mehr Daten ausgetauscht.
7. „Industrie 4.0“ und „Internet der Dinge“ ist die zukünftige Entwicklung.
Das wird so sein. Aber gerade die Themen Digitalisierung, Maschine-Maschine-Kommunikation, Cloud Computing, automatisierter Datenaustausch werden die Internet-Sicherheit vor sich her treiben.
Autor: Dr. Guido Hoffmann
Dezember 2016
Literatur:
„7 Cyber Security Myth busted“, Andy Taylor, www.apmg-cyber.com
Cloud Computing Foundation White Paper, 2014
COBIT 5®, ISACA, 2012
COBIT 5® Enabeling Processes, ISACA, 2012
ITIL® Service Design, AXELOS, 2015
Kommentar schreiben