IT-Sicherheit im Unternehmen einführen (Erste Schritte in IT-Security)

Sie wollen IT-Sicherheit in Ihrem Unternehmen einführen, aber wissen nicht, wo Sie starten sollen? Genau darüber spreche ich in diesem Video.

Juli 9, 2021 by Dr. Michael Gorski

IT-Sicherheit im Unternehmen einführen

Sie wollen IT-Sicherheit in Ihrem Unternehmen einführen, aber wissen nicht, wo Sie starten sollen? Genau darüber spreche ich in diesem Video.

Täglich gibt es neue Nachrichten von Cyberangriffen auf Unternehmen. Man hat das Gefühl, dass die Angriffe immer häufiger stattfinden und kaum ein Unternehmen verschont bleib. Die Einschläge kommen immer näher, daher wird es Zeit auch das eigene Unternehmen vor Cyberangriffen zu schützen. Die Motivation sein Unternehmen gegen Cyberangriffe zu schützen kann aus verschiedenen Quellen kommen. Es können regulatorische Anforderungen sein, Wünsche der Kunden oder das eigene Bedürfnis gegen zukünftige Cyberangriffe geschützt zu sein.

Um die Sicherheit vor Cyberangriffen im Unternehmen zu erhöhen, braucht es IT-Sicherheit.

IT-Sicherheit: Als IT-Sicherheit oder IT-Security kann man die Abteilung im Unternehmen bezeichnen, die dafür sorgt, dass das Unternehmen so gut es geht vor Cyberangriffen geschützt wird. Hierzu zählt zum Beispiel auch der Schutz vor Malware und Ransomware oder der Schutz vor unerlaubtem Zugriff auf die IT-Infrastruktur des Unternehmens. IT-Security ist ein Bereich, der im Unternehmen zwischen IT und Management liegt. Auch wenn IT-Security IT im Namen hat, so können sich die Ziele der beidem Bereich doch stark unterscheiden. Die IT-Sicherheit hat das Ziel, die Vertraulichkeit, die Verfügbarkeit und die Integrität von Informationen sicherzustellen. Mehr hierzu erkläre ich in einem anderen Video, was ich hier oben verlinke. IT Sicherheit was ist das? (IT-Security)

IST-Analyse: Bevor wir beginnen IT-Sicherheit einzuführen, müssen wir wissen, auf was wir aufbauen können. Ein Unternehmen, welches IT-Sicherheit einführt, startet nie bei null. Es gibt meistens Komponenten, auf denen man aufbauen kann.

Bei der IST-Analyse wird geprüft, ob es bereits Vorgaben in Form von Richtlinien gibt, die die IT-Sicherheit unterstützen. Gibt es eine Richtlinie darüber, welche Daten im Unternehmen als vertraulich behandelt werden? Welche Informationen Mitarbeiter öffentlich teilen können? Was im Unternehmen besonders schützenswert ist?

Also Nächstes sollte man prüfen, ob es schon Tools gibt, die man im Rahmen der IT-Sicherheit einsetzen kann. Gibt es Antivirus Lösungen? Werden Firewalls eingesetzt? Haben bestimmte Abteilungen bereits weiter Lösungen, wie Methoden der Zugriffssteuerung und Zugriffskontrolle im Einsatz? Ich suche also zunächst nach allem, was die IT-Sicherheit im Unternehmen unterstützt und worauf ich aufbauen kann.

Sie wollen IT-Sicherheit in Ihrem Unternehmen einführen, aber wissen nicht, wo Sie starten sollen? Genau darüber spreche ich in diesem Video.

IT-Security

Wenn ein Unternehmen ITIL-Prozesse verwendet, dann kann man schauen, ob es hier bereits Prozesse gibt, die sich um die Erstellung von Backups kümmern und die Incidents behandeln.

Was genau ITIL ist, darauf gehe ich in einem anderen Video ein, was ich hier oben verlinke. ITIL was ist das? (Information Technology Infrastructure Library)

Gibt es beispielsweise einen Incident Prozess, so kann dieser für die IT-Sicherheit erweitert werden, um Security Incidents behandeln zu können.

Der Start in die IT-Sicherheit:  Nachdem wir nun wissen, was im Unternehmen aus Sicht der IT-Sicherheit bereits vorhanden ist, können wir die nächsten Schritte einleiten. Alles beginnt mit der Verpflichtung des obersten Managements für die IT-Sicherheit. Ohne dieses, ist jedes weitere Vorhaben zum Scheitern verurteilt. Daher ist der erste Schritt im Aufbau der IT-Sicherheit, dass Management davon zu überzeugen, dass IT-Sicherheit wichtig ist und gebraucht wird. Die Basis, um dies zu dokumentieren ist die Leitlinie der IT-Sicherheit. Diese beschreibt auf einer sehr abstrakten Ebene, welche Ziele die IT-Sicherheit verfolgt und wie diese an den Zielen des Unternehmens ausgerichtet werden. Es dokumentiert, dass das oberste Management die IT-Sicherheit unterstützt und gibt somit eine Legitimation aller weiteren Maßnahmen.

Nachdem wir nun die Unterstützung des obersten Managements haben, ist es wichtig die Gefahren und Risiken abzuschätzen, denen das Unternehmen ausgesetzt ist. Jedes Unternehmen ist anders und jedes Unternehmen hat unterschiedliche Bedrohungen, den es ausgesetzt ist. Normalerweise würden wir die Bedrohungen und Risiken aus dem IS-Risikomanagement ableiten. Da es dies vermutlich aber noch nicht gibt, müssen wir auf Best-Practices und die Meinungen von Experten zurückgreifen. Natürlich gibt es bestimmte Kernkomponenten der IT-Sicherheit, die jedes Unternehmen haben sollte. Dazu zählt zum Beispiel das Security Monitoring, das Security Incident Management oder ein Berechtigungsmanagement.

Bevor man nun anfängt neue Komponenten einzuführen ist es zunächst einmal wichtig, alle relevanten Stakeholder abzuholen. Die Einführung von IT-Sicherheit hat einschneidende Konsequenzen auf das Unternehmen, daher ist es wichtig, dass die Maßnahmen akzeptiert werden.

IT-Sicherheit erzeugt Kosten und bindet Ressourcen im Unternehmen. Daher muss festgelegt werden, welches Budget für IT-Sicherheit bereitgestellt wird und über welchen Zeitraum sich die Umsetzung von Maßnahmen erstrecken soll. Auf dieser Basis und den Daten der IST-Analyse kann nun ein Plan aufgestellt werden.

Umsetzungsplan: Der Umsetzungsplan dient als Grundlage für die Management- Entscheidung für IT-Sicherheit. Er zeigt, unter den gegebenen Restriktionen, welche Ziele kurz, mittel und langfristig mit IT-Sicherheit erreicht werden sollen. Die kurzfristigen Ziele können Quick Wins beinhalten, die kurzfristig das Sicherheitslevel des Unternehmens erhöhen, ohne einen zu langen Vorlauf haben zu müssen. Mittel und langfristige Ziele beinhalten Anpassungen, die nicht von heute auf morgen umgesetzt werden können. Ein Beispiel hierfür ist der Aufbau von einem 24/7 Security Monitoring zur Erkennung von Cyber-Angriffen. Es kann auch sein, dass IT-Services benötigt werden, die zwar nicht direkt IT-Sicherheit zugeordnet werden, die aber bestimmte Prozesse der IT-Sicherheit beschleunigen. Ein Beispiel hierfür ist eine CMDB. Das ist eine Datenbank der verwendeten IT-Assets im Unternehmen. Existiert eine CMDB, dann können Security Incidents schneller behandelt werden, da die Analysten schnell einen Überblick und die Zusammenhänge der IT-Infrastruktur erlangen können.

Testen, Testen, Testen: Prozesse und Maßnahmen machen nur Sinn, wenn diese auch ausreichend getestet werden. Denn hier zeigt sich, wie gut die Theorie mit der Praxis übereinstimmt. Entwickelte Prozesse müssen mit den beteiligten Rollen getestet werden, damit man weiß, an welchen Stellen es noch Bedarf zur Nachbesserung gibt. Nachdem die Ergebnisse der Tests zufriedenstellend sind und alle Nachbesserungen umgesetzt wurden, können die Prozesse in den Betrieb überführt werden.

Erfolgsfaktoren: Die Art wie IT-Sicherheit im Unternehmen eingeführt wird hängt stark damit zusammen, wie viel Budget vorhanden ist, welche Ressourcen zur Verfügung stehen, von welcher Management Ebene die Initiative gestartet wurde und über welchen Zeitraum IT-Sicherheit eingeführt werden soll. Man befindet sich immer in der Situation, dass zu wenig Geld bereitgestellt wird. Man kann also nicht alles umsetzen, was man gerne umsetzen würde. Daher muss man wie folgt vorgehen. Als erstes die Basis für IT-Sicherheit schaffen. Also die minimalen Richtlinien, die minimalen Prozesse, die man für den Betrieb der IT-Sicherheit benötigt. Darauf aufbauend, abhängig von den Gefahren des Unternehmens, sollten dann die nächsten Maßnahmen gewählt werden.

Das Ziel ist es, den maximal Schutz zu erreichen, bei minimalen Kosten.

Wenn Ihn dieses Video gefallen hat, dann hinterlassen Sie einen like und abonnieren Sie meinen Kanal: Dr. Michael Gorski – IT-Sicherheit

Author: Dr. Michael Gorski

Schreibe einen Kommentar