15.11.2012
Interview, IT-Dienstleistung

Nachgefragt bei Dr. Simon Hoff, Comconsult

Reibungsloses Zusammenspiel

Interview mit Dr. Simon Hoff, technischer Direktor
bei der Comconsult Beratung und Planung GmbH


„Der Aufwand für die Erstellung eines umfassenden Sicherheitskonzepts hängt stark von den Rahmenbedingungen des jeweiligen Kunden ab“, weiß Dr. Simon Hoff, Technischer Direktor
bei Comconsult.

ITM: Herr Dr. Hoff, laut der aktuellen Lünendonk-Studie „Führende IT-Beratungs- und IT-Service-Unternehmen in Deutschland“ wurde neben „Mobile Business“ der Schwerpunkt „Sicherheit“ als wichtigstes Thema bewertet. Woran liegt das Ihrer Meinung nach?
Dr. Simon Hoff:
Informationen repräsentieren inzwischen enorme Unternehmenswerte. Gleichzeitig ist durch die Mittel der modernen Informationstechnik und deren Nutzungsformen eine Gefährdungslage entstanden, bei der bereits geringfügigste Nachlässigkeiten in der Informationssicherheit zu erheblichen Schäden führen können. Im Gegensatz zu Techniken z.B. im Bereich Mobile Computing trägt die Informationssicherheit allerdings nicht unmittelbar zur Optimierung von Geschäftsprozessen oder zur Umsatzsteigerung bei. Informationssicherheit wurde in der Vergangenheit daher nicht selten als Hindernis und lästiger Kostenfaktor empfunden. Diese Sichtweise hat sich zwischenzeitlich gewandelt. Es hat sich sogar gezeigt, dass eine konsequente Verankerung der Informationssicherheit in den IT-Prozessen zu signifikanten Verbesserungen in der Qualität der IT führen kann und die Informationssicherheit auf diese Weise (wenn auch indirekt) deutlich zum Geschäftserfolg beitragen kann.

ITM: Welchen Stellenwert nimmt das Thema „IT-Sicherheit“ heutzutage im Mittelstand ein?
Hoff:
Der Stellenwert der Informationssicherheit ist im Mittelstand in den letzten Jahren kontinuierlich gestiegen. Viele unserer Kunden im Mittelstand haben inzwischen einen IT-Sicherheitsbeauftragten und eine zugehörige IT-Sicherheitsorganisation etabliert. Kernelement ist die Schaffung eines nachhaltigen Sicherheitsprozesses. Auch im Mittelstand greift man hierzu verstärkt auf bewährte Standards wie ISO 27001 oder die BSI-Standards zurück. Eine entsprechende Zertifizierung wird ebenfalls immer häufiger angestrebt.

ITM: Inwiefern greifen Mittelständler bereits auf professionelle IT-Sicherheitsberatungen zurück?
Hoff:
Die Schaffung und nachhaltige Aufrechterhaltung und Verbesserung eines erreichten Sicherheitsniveaus erfordert Ressourcen sowohl mit spezifischen als auch mit breitgefächerten Kompetenzen aus verschiedensten technischen und organisatorischen Bereichen der Informationssicherheit. Es ist nicht nur für den Mittelstand immer schwerer, aus dem eigenen Personal Ressourcen und Kompetenzen bereitzustellen. Neben dem klassischen Outsourcing von Aufgaben in der Informationssicherheit (z.B. Firewall-Betrieb) greifen mittelständische Unternehmen immer häufiger auch auf eine Unterstützung durch externe Dienstleister bei der Erarbeitung, Einführung und Prüfung von Sicherheitskonzepten und Prozessen zur Informationssicherheit zurück.

ITM: Welche technischen Lösungen und organisatorischen Aspekte schließt eine umfassende IT-Sicherheitsberatung mit ein?
Hoff:
Eine umfassende IT-Sicherheitsberatung beinhaltet auf technischer Ebene an den Anforderungen des Kunden orientierte Konzepte und zugehörige Lösungen für alle Bereiche der Informationstechnik des Kunden:

  • Perimetersicherheit (Firewall-Systeme, DMZs mit Proxies, Gateways, Zugangsportalen)
  • Endgerätesicherheit (Clients, Server) mit sicherer Administration, Härtung, Virenschutz, ggf. Compliance Check und Data Loss Prevention (DLP)
  • Absicherung von Lösungen zur Anwendungs- und Servervirtualisierung sowie für Virtual Desktop Infrastructure (VDI)
  • Netzwerksicherheit in LAN und WLAN mit Network Access Control (NAC) und mandantenfähigem LAN/WLAN-Aufbau
  • Absicherung von Spezialnetzen im Bereich der industriellen Fertigung, Logistik, aber auch Gebäudetechnik
  • Zonenkonzepte im Rechenzentrum für exponierte bzw. besonders schützenswerte Systeme
  • Absicherung von VoIP und Unified Communications (UC)
  • Lösungen für den sicheren Zugang von Fremdfirmengeräten, eigenen mobilen Endgeräten und Bring Your Own Device (BYOD)

Kernelement ist die Erarbeitung von umsetzbaren Konzepten, die sich an den Möglichkeiten des jeweiligen mittelständischen Unternehmens orientieren. Weniger ist oft mehr, d.h. man erreicht in der Praxis mit einfachen, überschaubaren Maßnahmen den größten Sicherheitsgewinn. Der externe Berater sollte nicht dazu dienen, das Bücherregal meterweise mit Konzeptpapier (das niemand liest, geschweige denn umsetzt und das ausgesprochen schnell altert) zu beladen. Organisatorische Aspekte sind für eine nachhaltige Informationssicherheit daher von besonderer Bedeutung, wie die folgenden Punkte illustrieren:

Organisationsstrukturen schaffen: Informationssicherheit muss in der Organisation an vergleichsweise hoher Position angesiedelt und der IT-Sicherheitsbeauftragte (ITSB) entsprechend in der Linienorganisation eingeordnet werden. Es ist zu klären, ob der ITSB lediglich Richtlinienkompetenz oder auch operative Verantwortung hat. Eine geeignete Organisation muss sowohl für die Erarbeitung von Sicherheitskonzepten und deren Umsetzung geschaffen werden.

Kernprozesse der Informationssicherheit implementieren und Informationssicherheit in die bestehenden IT-Prozesse integrieren:

  • IT-Sicherheitskonzept als Prozess: Die bestehende IT-Infrastruktur, neue Anwendungen und IT-Systeme müssen systematisch erfasst, hinsichtlich ihrer Sicherheitsanforderungen bewertet und ein entsprechender Maßnahmenkatalog angesetzt werden (das Risikomanagement ist hier ein wesentliches Instrument). In regelmäßigen Abständen muss der aktuelle Stand der Informationssicherheit geprüft werden.
  • Sensibilisierungs- und Informationsmaßnahmen: Die Bedeutung von Sensibilisierungs- und Informationsmaßnahmen, die zur Schaffung eines Sicherheitsbewusstseins bei Nutzern auch mit Mitteln der Psychologie und des Marketing gestaltet sind, wird in der techniklastigen IT oft unterschätzt. Ein Sicherheitsvorfall, der durch einen verantwortungsvollen Nutzer erst gar nicht passiert, ist allerdings besser als ein Sicherheitsvorfall, dessen Auswirkungen erst durch eine technische Maßnahme blockiert werden.
  • Verwundbarkeitsmanagement: Die aktuelle Bedrohungslage und die entsprechenden eigenen Verwundbarkeiten müssen kontinuierlich bewertet und bei Bedarf Aktionen angestoßen werden.
  • Incident Management: Das Incident Management muss um die Identifikation und Bearbeitung von Sicherheitsvorfällen ergänzt werden.
  • Patch Management: Im Patch Management müssen für alle betroffenen Systeme Festlegungen für den Umgang mit Security Patches getroffen werden und es muss allgemein bei Patches sichergestellt werden, dass keine Sicherheitsfunktionen gestört werden.
  • Change Management: Changes (mit Ausnahme von Standard-Changes) müssen hinsichtlich der Notwendigkeit von Sicherheitsbetrachtungen klassifiziert werden. Außerdem muss analog zu Patches sichergestellt werden, dass durch einen Change keine Sicherheitsfunktionen unerwünscht beeinflusst werden.
  • Beschaffungsprozesse: Bei der Beschaffung muss sichergestellt werden, dass Sicherheitsanforderungen an das zu beschaffende Produkt berücksichtigt und in Abnahmeprozeduren geprüft werden.

ITM: Wie gehen Sie schrittweise bei der Erstellung eines Sicherheitskonzeptes vor und woran orientieren Sie sich hierbei?
Hoff:
Eine schrittweise Erstellung von Sicherheitskonzepten kann auf unterschiedlichste Weise vorgenommen werden. Die Orientierung erfolgt dabei meist an ISO 27001 bzw. an den BSI-Standards und den BSI-IT-Grundschutzkatalogen. Letztendlich sind allerdings die Rahmenbedingungen des jeweiligen Kunden entscheidend. Es hat sich in der Praxis gezeigt, dass eine vorhabenorientierte Vorgehensweise zweckmäßig ist. Bei jedem neuen IT-Vorhaben wird dabei geprüft, ob das bestehende (in der Anfangsphase noch sehr unvollständige) Sicherheitskonzept um die Anwendungen und IT-Systeme, die von dem Vorhaben betroffen sind, ergänzt werden soll. Wenn ja, werden im Rahmen des jeweiligen Projekts für die Systeme, die bisher im Sicherheitskonzept noch nicht berücksichtigt worden sind, Sicherheitsbetrachtungen (gemäß der gewählten Methodik, z.B. BSI-Standards und BSI-IT-Grundschutz) gemacht und das Sicherheitskonzept entsprechend ergänzt. Die Abnahme der so entstandenen neuen Version des Sicherheitskonzepts sollte dann als Meilenstein im Vorhaben vorgesehen werden. Auf diese Weise wird das Sicherheitskonzept quasi als Puzzle automatisch schrittweise vervollständigt und aktualisiert.

ITM: Wie ist es einem Beratungs-/Dienstleistungsunternehmen möglich, die Effektivität des im Anwenderunternehmen bereits etablierten IT-Sicherheitsprozesses zu überprüfen?
Hoff:
Die Effektivität kann bei einem bereits etablierten IT-Sicherheitsprozess dadurch geprüft werden, dass (üblicherweise auf Basis von Stichproben) für den gesamten IT-Verbund oder für systematisch ausgewählte Teile hiervon über einen Soll/Ist-Vergleich das Verhältnis von erreichtem Ziel zu definiertem Ziel (Zielerreichungsgrad) ermittelt wird. Der Soll-Zustand ergibt sich zunächst aus dem Maßnahmenkatalog, der gemäß Sicherheitskonzept jeweils für ein Element der IT-Infrastruktur umzusetzen ist, und wird ergänzt durch Entscheidungen aus dem Risikomanagement (z.B. bei einer Risikoübernahme eine Maßnahme befristet bewusst nicht umzusetzen).

ITM: Welche sicherheitsrelevanten Aspekte werden von den Unternehmen besonders häufig vernachlässigt?
Hoff:
Gepflegte Dokumentation gehört zu den klassischen Stiefkindern der IT. Prozesse und Vorgehensweisen werden gerne gelebt, aber ungerne dokumentiert. Einer IT, die nicht konsequent unter Configuration Management und Change Management ist, deren Prozesse und zugehörigen Handlungsanweisungen nicht dokumentiert sind, fehlt eine fundamentale Basis der Informationssicherheit. Nutzern und Administratoren fehlt außerdem nicht selten das notwendige Sicherheitsbewusstsein (z.B. beim Umgang mit Passworten).

ITM: Mit welchem Aufwand ist bei der Erstellung eines umfassenden Konzeptes zu rechnen?
Hoff:
Der Aufwand für die Erstellung eines umfassenden Sicherheitskonzepts hängt stark von den Rahmenbedingungen des jeweiligen Kunden ab. Ideal ist es, wenn bereits z.B. auf Basis von Itil eine Prozessorientierung der IT etabliert ist, die IT-Dokumentation im Rahmen eines Qualitäts- und Dokumentenmanagements systematisch gepflegt wird und durch entsprechendes Configuration Management die IT-Landschaft genau bekannt ist. Die Schaffung eines Sicherheitskonzepts wird hierdurch erheblich vereinfacht. Auch bei bereits gut durchstrukturierten IT-Organisationen kann der Aufwand für Erstellung eines umfassenden Konzepts erheblich sein. Wird eine Zertifizierung nach ISO 27001 (ggf. sogar auf Basis von BSI-IT-Grundschutz) angestrebt, ist mit einer Vorbereitungszeit zu rechnen, die bis zur Zertifizierung durchaus drei bis vier Jahre betragen kann. Dass während dieser Zeit intensiv auf eigene Ressourcen und externe Berater zurückgegriffen werden muss, ist klar.

ITM: Welche Rolle spielt für die Anwender die Erlangung eines international anerkannten IT-Sicherheitszertifikats? Wofür ist dies grundsätzlich wichtig?
Hoff:
Allgemein gilt, dass durch eine Zertifizierung gemäß ISO 27001 nachgewiesen wird, dass die Informationssicherheit nachprüfbar nachhaltig auf einem soliden Stand im Unternehmen verankert ist. Dies ist in Geschäftsbereichen, bei denen etwa mit schützenswerten Kundendaten umgegangen wird, ein unmittelbarer Wettbewerbsvorteil. Der Nachweis einer Zertifizierung gemäß ISO 27001 wird beispielsweise immer häufiger bei der Ausschreibung von Provider-, Hosting- und allgemein Outsourcing-Dienstleistungen gefordert.

ITM: Welche IT-Sicherheitsstandards müssen ohnehin eingehalten werden?
Hoff:
Die Verpflichtung zur Einhaltung von IT-Sicherheitsstandards ist abhängig von der Branche der Unternehmung. Unternehmen, die Kreditkartendaten verarbeiten, müssen beispielsweise den Datensicherheitsstandard der Payment Card Industry (PCI) beachten.

ITM: Wie wird letztlich das reibungslose Zusammenspiel der technischen und organisatorischen Sicherheitsmaßnahmen gewährleistet?
Hoff:
Das reibungslose Zusammenspiel der Sicherheitsmaßnahmen auf unterschiedlichen Ebenen ist das Erkennungszeichen eines gut funktionierenden Information-Security-Management-Systems (ISMS), da hier die Fäden zwischen Technik und Organisation zusammenlaufen. Auf dieser Ebene liegen die wesentlichen Schnittstellen zwischen strategischer und operativer Informationssicherheit sowie zwischen Fachabteilungen, IT und Informationssicherheit.


Aktuelle Ausgabe

Titelinterview: Webbasiertes ERP-System
mit Markus Hirth, John GmbH

Video-überwachungstechnik
IT-Sicherheit auf dem Firmengelände

IT-Virtualisierung
Welche Virtualisierungslösungen im Mittelstand?

Neue Wege des Arbeitens

Windows 8
Mit mehr Sicherheit besser - und flexibler

Das neue Office
Immer und überall produktiv

Internet Explorer
Der Webbrowser rückt in den Fokus

Interview mit Markus Hirth, Leiter IT und Controlling der John GmbH.

Im Interview mit Markus Hirth, Leiter IT und Controlling der John GmbH. Der Produzent von PVC-Bällen setzt seit langem auf ein webbasiertes ERP-System...mehr lesen »

IT Mittelstand Newsletter
IT-Sicherheit: Moderne Videoüberwachung

Es tut sich was in Sachen Videoüberwachung auf dem Firmengelände: Neue Analysefunktionen, integrierte Sabotageerkennung und Software-Tools, die datenschutzrelevante Themen wie die Mitarbeiterüberwachung am Arbeitsplatz auf technischer Ebene verhindern. Doch bevor ein System ausgewählt und Kamerastandorte bestimmt werden, muss die „Hürde“ Betriebsrat genommen werden...mehr lesen »