Penetrationstest - Jan Kahmen - 4. Februar 2022

Ohne Sicherheitskonzept keine sichere Anwendung

ohne_sicherheitskonzept_keine_sichere_anwendung_0e59c6c34d

Sicherheit in der IT ist heute wichtiger denn je. Denn Datenpannen über Systemausfälle bis hin zum Hackerangriff fordern die IT-Infrastruktur.

Inhaltsverzeichnis

Was ist ein IT-Sicherheitskonzept?

Grundsätzlich handelt es sich bei dieser Art von Konzept um einen zentralen Bestandteil des IT-Sicherheitsmanagements. Mit ihm verfolgen IT-Experten das Ziel, Risiken zu identifizieren, zu bewerten und zu minimieren. Zudem ist das Sicherheitskonzept die Grundlage für sämtliche Maßnahmen, die den Umgang mit Unternehmens- und Kundendaten definieren. Weitere Aspekte, die IT Sicherheitskonzepte behandeln, sind Technologien für die Verschlüsselung. Aber auch die Zugriffskontrolle und die Sensibilisierung der Mitarbeitenden rund um die IT-Sicherheit. Ein Konzept für die Sicherheit in der IT ist heute wichtiger denn je: Denn von Datenpannen über Systemausfälle bis hin zum Hackerangriff fordern viele Aspekte die IT-Infrastruktur im Unternehmen Tag für Tag heraus. Wer mit einem solchen Konzept ausgestattet ist, sorgt für systematischen Schutz.

Warum braucht mein Unternehmen ein Sicherheitskonzept?

Das IT-Sicherheitskonzept ist eine wichtige Möglichkeit, um das Unternehmen vor Datenverlust, Datenmissbrauch und Datendiebstahl zu schützen. Eine professionelle Sicherheitskonzept-Software ist der erste Schritt, um beispielsweise eine kritische Zero Day Schwachstelle zu erkennen. Oder aber im Allgemeinen die Informationssicherheit zu erhöhen. Außerdem hilft ein solches Konzept dabei, die Integrität, Verfügbarkeit und Vertraulichkeit von Daten sicherzustellen.

Ziele eines gelungenen Sicherheitskonzeptes

In einem gelungenen Sicherheitskonzept sind unter anderem die Richtlinien für die IT-Sicherheit im Unternehmen spezifiziert. Um einen umfangreichen Schutz zu gewährleisten, umfasst ein solches Konzept verschiedene Bereiche wie das Datenschutzkonzept und ein Netzwerk Sicherheitskonzept. Folgende Ziele sind dabei besonders wichtig:

  • Geltungsbereiche für die Informationsprozesse festlegen.
  • Gefahren im Unternehmen erkennen und identifizieren.
  • Den besonderen Schutzbedarf einzelner Assets definieren.
  • Das Schutzniveau für sensible Daten bestimmen.

So funktioniert ein IT-Sicherheitskonzept

Das Konzept für grundlegende Sicherheit in der IT definiert, wie personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen sind. Ergänzend dazu legt es fest, welche Maßnahmen dazu beitragen, den Missbrauch dieser Informationen zu verhindern. Dadurch, dass Unternehmen diese Aspekte detailliert betrachten, können sie wichtige Richtlinien im Betrieb einführen.

Wie erstellt man ein Sicherheitskonzept?

Um ein wirkungsvolles Sicherheitskonzept für das Unternehmen zu erstellen, sind verschiedene Schritte notwendig:

  • Zunächst ist der Geltungsbereich des Konzepts einzugrenzen. Idealerweise sind für unterschiedliche Bereiche verschiedene Konzepte festgelegt, die anschließend ein großes Ganzes formen.
  • Eine statische Code-Analyse und die Strukturanalyse helfen dabei zu verstehen, wie technische Systeme, Prozesse und Informationen zusammenarbeiten.
  • Anschließend lässt sich der Schutzbedarf für den jeweiligen Geltungsbereich ermitteln.
  • In die Modellierungsphase fließen die Ergebnisse aus Schritt 3 mit ein. Auf diese Weise ist es möglich, die Sicherheitsmaßnahmen auch auf die vorhandenen Schnittstellen auszuweiten.
  • Ein Basis-Sicherheitscheck beispielsweise mithilfe eines Cloud-Pentests gibt Aufschluss darüber, wie gut das vorhandene Sicherheitsniveau ist.
  • Durch die Pentests ermitteln die Experten, welche Risiken noch nicht vollständig abgedeckt sind.
  • Dank der Ergebnisse der Analysen ist es möglich, das Gefahrenpotenzial zu minimieren und die gewünschte Sicherheit aufrechtzuerhalten.

Beispiel: Sichere Anwendungen in Azure erstellen

Ein Sicherheitskonzept ist zum Beispiel im Bereich der Cloud-Anwendungen unerlässlich. Deshalb bietet Azure Entwicklern wie auch Unternehmen die Möglichkeit, ein ausgefeiltes Konzept zu erstellen. Dazu greifen unterschiedliche Azure-Dienste ineinander über und kombinieren die Aspekte Training, Anforderungsanalyse und Entwurf miteinander. Während Azure zahlreiche Vorzüge für Softwareentwickler bietet, ist das dahinterstehende System auch für Unternehmen nicht zu vernachlässigen. Wichtig: Microsoft betont immer wieder, wie wichtig es beispielsweise ist, die Top Ten der OWASP zu prüfen. Darin finden sich detaillierte Informationen zu Sicherheitslücken und Best Practices rund um das Thema IT-Sicherheit.

Welche gesetzlichen Anforderungen gibt es?

Da die IT-Sicherheit immer wichtiger wird, gibt es mittlerweile zahlreiche gesetzliche Anforderungen an die zu ergreifenden Maßnahmen. Das Ziel dieser Vorschriften ist es beispielsweise, eine kritische Zero Day Schwachstelle frühzeitig zu erkennen. Und dadurch die sensiblen Daten zu schützen. Damit ein solches Konzept diese Anforderungen erfüllt, muss es die vorliegenden Normen und Standards einhalten. Natürlich, während es zusätzlich die individuellen Gegebenheiten berücksichtigt. Dazu gehört unter anderem die internationale Norm DIN ISO/IEC 27001. Wer seinen Informationsschutz dokumentieren lassen möchte, kann sich danach zertifizieren lassen. Allerdings befassen sich die gesetzlichen Anforderungen nicht nur mit dem Sicherheitskonzept für Software. Sie richten sich ebenfalls an das Netzwerk Sicherheitskonzept und das Datenschutzkonzept. Deshalb beeinflusst auch die gültige DSGVO, wie das Konzept aufgestellt sein muss, um personenbezogene Daten vor Übergriffen zu schützen. Zwar werden vom Gesetzesgeber keine Cloud-Pentests oder eine gezielte statische Code-Analyse vorgeschrieben. Doch sind beides wichtige Schritte auf dem Weg zu mehr Sicherheit. Bei solchen Strategien lassen sich Unternehmen am besten durch ein professionelles Red Teaming unterstützen. Allgemeine Empfehlungen spricht das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus: Es liefert im BSI-Standard 200 Vorschläge dazu, wie sich die Konzeptionierung erfolgreich umsetzen lässt. Ergänzend bietet das BSI Informationen rund um mögliche Absicherungsmethoden und ein durchdachtes Risikomanagement. Dieses praktische Grundgerüst können Unternehmen dazu nutzen, ihre individuellen Sicherheitskonzepte umzusetzen oder zu stabilisieren.

Was ist das IT Sicherheitsgesetz?

Das IT Sicherheitsgesetz wurde 2015 verabschiedet und zielt darauf ab, die Sicherheit von IT-Systemen zu erhöhen. Deshalb richtet es sich an sämtliche Unternehmen, die in der kritischen Infrastruktur tätig sind. Dazu gehören beispielsweise der Transport und der Verkehr, der Energiesektor, die Telekommunikation, aber auch das Finanz-, Geld- und Versicherungswesen. Alle Firmen, die in diesen Bereichen angesiedelt sind, müssen gemäß dem vorliegenden Recht die notwendige IT-Sicherheit gewährleisten. Dennoch rentiert sich das Einhalten der grundlegenden Standards nicht nur für kritische Branchen: Jedes Unternehmen profitiert von Pentests, Red Teaming und einer regelmäßig durchgeführten Sicherheitsanalyse.

Gibt es branchenspezifische Aspekte zu berücksichtigen?

Natürlich lässt sich kein umfassendes Konzept für die Sicherheit erstellen, das sich auf sämtliche Firmen übertragen lässt. Vielmehr ist es wichtig, die branchenspezifischen Besonderheiten zu berücksichtigen. Ein Sicherheitskonzept zum Beispiel im Gesundheitssektor muss weitreichenderen Schutz bieten als ein Bereich, der lediglich personenbezogene Daten verarbeitet. Während in solchen Branchen stets eine End-to-End-Verschlüsselung notwendig ist, richtet die Handwerksbranche ihren Fokus auf den Austausch sensibler Kundendaten.

Wer ist verantwortlich?

Die Verantwortung für die IT-Sicherheit obliegt stets der Unternehmensführung. Obwohl das Management die Erstellung, Wartung und Kontrolle an andere Abteilungen abgibt, muss die oberste Ebene die Sicherheitsrichtlinien befürworten. Diese Verantwortlichkeit umfasst auch die Implementierung der Richtlinien im Unternehmen. Nicht zuletzt müssen die Mitarbeitenden verstehen, was es bei der IT-Sicherheit zu beachten gibt. Hier ist es hilfreich, an einer gesunden Fehlerkultur in den Abteilungen zu arbeiten. Erst dann können sie gezielt auf diese Anforderungen hin reagieren.

Wer entwickelt und betreut das Konzept?

Wer ein gutes Konzept für die IT-Sicherheit im Unternehmen entwickeln möchte, muss zunächst sämtliche Vorgänge im Betrieb verstehen. Zusätzlich wird ein breites Fachwissen in der IT benötigt. Aus diesem Grund liegt die Aufgabe, das Konzept zu erstellen, nicht bei einer einzigen Person. Es ist ein komplexer Vorgang, der durch die Expertise aus unterschiedlichen Unternehmensbereichen gespeist ist.

Gibt es externe Unterstützung?

Eine Alternative ist es, einen IT-Spezialisten mit dem Erstellen des IT-Sicherheit-Konzeptes zu beauftragen. Solche Experten kennen sich im Bereich der IT-Security aus und können die angedachten Vorgaben gezielt implementieren. Ein Vorteil dieser Zusammenarbeit ist, dass die Profis beratend tätig sind und die Ausarbeitungen des Konzepts auch weiterhin betreuen. Dadurch gelingt es, ein Security-Konzept zu erstellen, das langfristig Sicherheit mit sich bringt und Compliance-Konform ist.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: