IT-Sicherheitsthemen schaffen es inzwischen lässig und beinahe täglich in die Top-Headlines der Medien sowie der einschlägigen Blogs und Diskussionsforen. Themen, mit denen sich das BSI (Bundesamt für Sicherheit in der Informationstechnik), neben seinem Ringen um eine neue Datenschutzregelung, in seinen aktuellen Symposien beschäftigt:
sind nur einige der Bereiche, die auf dem 9. Interdisziplinären Symposium der a-i3 und des BSI im Mai dieses Jahres systematisch unter die Lupe genommen wurden.
BSI Grundschutz, mehr Last als Lust?
Zu den bekanntesten BSI-Tools gehören die IT-Grundschutzkataloge. Auf ihnen basiert zusätzlich die ISO 27001-Zertifizierung, die in einem aufwendigen Prozess sowohl das Informationssicherheitsmanagement abprüft, die aber auch konkrete Sicherheitsmaßnahmen umfasst. Die IT-Grundschutzkataloge enthalten sogenannte Baustein-, Maßnahmen- und Gefährdungskataloge. Ziel ist es natürlich, ein möglichst hohes Sicherheitsniveau zu erreichen, das dem jeweiligen Risikoprofil am besten entspricht.
Wie man dabei vorzugehen hat, dazu hat das BSI entsprechende Standards entwickelt, die hier nachzulesen sind.
Und dann ist da noch der Gesetzesentwurf
Ja, es soll nun definitiv verbindlich werden, was in den ersten Anläufen noch nicht ganz gelungen ist, dass nämlich gerade kritische Infrastrukturen wie Telekommunikation und die Strom- und Wasserversorgung Mindeststandards in punkto IT-Sicherheit erfüllen müssen.
Gleiches soll für Verkehrsbetriebe, Banken und Krankenhäuser gelten.
Bis zum Schluss kontrovers diskutiert ist innerhalb des Gesetzesentwurfs die Meldepflicht für Hackerangriffe und Lecks im Datenschutz. Inzwischen existiert sie nur noch als anonymisierte Meldepflicht, bei der die technischen Rahmenbedingungen, insbesondere der eingesetzten und betroffenen Informationstechnik und die Branche an das BSI übermittelt werden.
IT-Grundschutz: Einfach sicher?
Kontrolle und Sicherheit, Freiheit und Datenschutz sind also die Parameter, die im unternehmerischen und institutionellen Geschäftsalltag immer wieder ausbalanciert werden müssen. Auch beim IT-Grundschutz, der nicht zuletzt für kleine und mitteständische Unternehmen oftmals als zu aufwendig beurteilt wird. Der aber in größeren Unternehmen, Konzernen und Institutionen eingesetzt, im nationalen und internationalen Vergleich immer noch gute Noten erhält.
Das BSI selbst bewertet den IT-Grundschutz als eine einfache Methode, dem Stand der Technik entsprechend Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Allerdings kann das in der Praxis deutlich anders aussehen, und nicht immer ist der IT-Grundschutz so ganz einfach zu realisieren. Das normative Vorgehen stellt in vielen Fällen eine Hürde da.
Trotzdem lohnt sich die Umsetzung. Zum Beispiel dann, wenn ein Unternehmen lediglich einige wesentliche Voraussetzungen in der eigenen Infrastruktur schaffen muss. Ohne gleich komplette Geschäftsprozesse umzukrempeln.
Die Dramaturgie der Daten
Das sind beispielsweise Prozesse, die direkt die Mitarbeiter betreffen, wenn es darum geht, wer auf welche Daten zugreifen darf und muss. Ein weiterer Bereich betrifft das komplette Management der Zugriffsrechte, den Zugriff auf Server und Daten sowie das Administrieren von Fileservern insbesondere. Und zwei ganz große Brocken: anstehende Migrationen und alles, was mit dem Anforderungsprofil und –ziel Compliance gemeint ist.
Es stellt sich im Wesentlichen eine Grundfrage, die praktisch für alle Kernbereiche der IT-Sicherheit relevant ist: Wer darf auf welche (Daten-) Ressourcen zugreifen und wer darf im Sinne des „Need-To-Know“ was damit tun?
Berechtigungen zu pflegen ist zunächst ein Mal zeitaufwendig und nicht selten auch kostenintensiv. Gerade im Always-On-Unternehmen arbeiten die Mitarbeiter oft nur projektbezogen zusammen, die Organisationsstrukturen haben sich verändert und werden das weiter tun und jede Menge Nutzer generieren jede Menge Daten.
Viele unserer Kunden haben zunächst versucht, die Administration von Benutzern und Rechten mit Bordmitteln oder sogar Eigenentwicklungen in den Griff zu bekommen.
Ab einer gewissen Zahl von Usern, Ordnern und den stetig wachsenden Datenvolumina wird das Management allerdings nicht nur unkomfortabel, sondern es schleichen sich Über- und Fehlberechtigungen ein.
Wie kostenintensiv ein Berechtigungsmanagement allerdings tatsächlich werden kann, das zeigt sich spätestens dann, wenn externe Prüfer und Auditoren ans Werk gehen.
Die gestellte Grundfrage beantworten zu können führt fast automatisch zu einer Vielzahl von möglichen Ansatzpunkten, um die Voraussetzungen für gute = wirksame Sicherheitsmaßnahmen zu schaffen.
Wie Data-Governance-Lösungen konkret helfen, den BSI-Werkzeugkasten für mehr IT-Sicherheit effizient umzusetzen und welche praktischen Ansätze es gibt, das erläutern wir Ihnen in lockerer Folge in den kommenden Beiträgen.
The post Die Dramaturgie der Daten: Wie BSI Grundschutz und Data Governance zusammenhängen appeared first on Varonis Deutsch.