Die Vorgehensweise nach IT-Grundschutz

"Informationssicherheit und IT-Sicherheitsmanagement - Brauche ich das?"

Sobald das Geschäftsmodell und die -Prozesse im hohen Maße von der Informationstechnik abhängig sind, die Behandlung von IT-Sicherheit z.B. aufgrund der Größe und Komplexität der Unternehmung unhandlich wird, wird eine methodische Vorgehensweise im Bereich IT-Sicherheitsmanagement notwendig, um bei knappen Budgets und Ressourcen die externen und internen Anforderungen (z.B. des Gesetzgebers, Lieferanten, Partner) an die IT zu erfüllen. 
Der Gesetzgeber fordert in diversen Gesetzes-Grundlagen Unternehmen zu IT-Sicherheit auf (z.B. mittels KonTraG, Basel II, GoBS, SOX, BDSG etc.), das Ziel in diesem Gesetztes-"Dschungel" darf jedoch stets nie aus den Augen verloren gehen. Grundsätzlich geht es darum, die Risiken durch den Einsatz der IT im Unternehmen mit angemessenen Maßnahmen auf ein tragbares Niveau zu reduzieren.

Ganz bewusst wird keine 100%ige Sicherheit erwartet, sondern

  • geschäftskritische Prozesse gilt es besonders abzusichern, und
  • Prozesse mit geringer Priorität und Bedeutung für das Unternemen bedürfen eines geringeren Maßes an Sicherheit.

"Und was verbirgt sich hinter IT-Grundschutz?"

In der IT-Sicherheit ist Methodik das Salz in der Suppe. Nur mit der passenden und bewährten Methodik lassen sich alle Problemfelder der IT organisiert, arbeitsökonomisch und vor allem kosteneffizient identifizieren, bewerten und beseitigen. So kommt nicht nur die sichtbare Spitze des Eisberges zum Vorschein, sondern auch das, was auf den ersten Blick verborgen bleibt. 
Im Sinne einer Angemessenheit und Tragbarkeit dürfen und sollen Restrisiken durchaus bestehen bleiben. Der Gesetzgeber erwartet jedoch, dass diese nachvollziehbar und dokumentiert sind und dahingehend entschärft werden, dass sie den Geschäftsbetrieb im Eintrittsfall nicht maßgeblich gefährden. Ein Risiko stellt eben genau dann eine Gefahr für das Unternehmen dar, wenn die Eintrittswahrscheinlichkeit und die Auswirkungen nicht oder nur bedingt korrekt bewertet werden.


Eine mögliche Herangehensweise nach dem Grundschutzverfahren sieht wie folgt aus:

  • IT-Strukturanalyse (Bestandsaufnahme): Gebäude und Räume, IT-Systeme, Anwendungen und Kommunikationsplattformen
  • Definition und Bewertung des Schutzbedarfes
  • Auswahl und Umsetzung geeigneter Maßnahmen
  • Laufender Abgleich von Soll und Ist (Etablierung von IT-Sicherheit als Prozess)

Eine Orientierung an Standards ist immer sinnvoll - auch wenn es in erster Instanz nicht um allumfassende und zertifizierbare IT-Sicherheit geht, sondern zunächst um das Erreichen kurzfristiger Sicherheitsziele. Hierbei sollen Räder nicht neu erfunden werden, sondern durch die Verwendung von bewährten IT-Sicherheitsmaßnahmen spart dies Zeit, Geld und sichert Qualität.

 

Hees IT-Systemhaus GmbH
Leimbachstraße 266
57074 Siegen
Tel.: 02 71 - 4881 -0
Fax.: 02 71 - 4881 -200 
E-Mail: info(at)hees-it.de

Hees Bürowelt