sichere Informationstechnologie (eBook)
284 Seiten
tredition (Verlag)
978-3-347-82965-7 (ISBN)
Tim Cappelmann arbeitet seit mehr als 20 Jahren in der IT Branche und kennt IT-Organisationen aus der Perspektive eines Beraters, aus der Innensicht, sowie aus der Sicht des IT-Architekten. Neben den Projekterfahrungen aus langjähriger Tätigkeit als Senior Consultant runden kaufmännische Skills das Beraterprofil ab. Nach dem Studium der Informationstechnologie und vielen Jahren in Projekten konnte ein wirtschaftswissenschaftliches Studium den Blickwinkel auf Organisationsaspekte innerhalb der IT erweitern. Heute nutzt der Autor die Methoden und Werkzeuge beider Welten. Unterschiedliche Aspekte der IT (wirtschaftliche Sicht, Controlling Sicht, technische Sicht) kann der Verfasser des Buches miteinander verknüpfen und so Sachverhalte für viele Stakeholder treffend darstellen. Als IT Verbandssachverständiger der DESAG, Enterprise Architekt nach TOGAF und IT Controlling Expert arbeitet Tim Cappelmann mit einem fundierten KnowHow zur Analyse und Optimierung komplexer EDV Architekturen. IT-Governance Einflüssen begegnet der COBIT 2019 zertifizierte Berater mit dem klaren Bekenntnis zum Business-IT-Alignment, welches als Fundament der aktuellen Digitalisierungsbestrebungen gesehen werden kann.
Tim Cappelmann arbeitet seit mehr als 20 Jahren in der IT Branche und kennt IT-Organisationen aus der Perspektive eines Beraters, aus der Innensicht, sowie aus der Sicht des IT-Architekten. Neben den Projekterfahrungen aus langjähriger Tätigkeit als Senior Consultant runden kaufmännische Skills das Beraterprofil ab. Nach dem Studium der Informationstechnologie und vielen Jahren in Projekten konnte ein wirtschaftswissenschaftliches Studium den Blickwinkel auf Organisationsaspekte innerhalb der IT erweitern. Heute nutzt der Autor die Methoden und Werkzeuge beider Welten. Unterschiedliche Aspekte der IT (wirtschaftliche Sicht, Controlling Sicht, technische Sicht) kann der Verfasser des Buches miteinander verknüpfen und so Sachverhalte für viele Stakeholder treffend darstellen. Als IT Verbandssachverständiger der DESAG, Enterprise Architekt nach TOGAF und IT Controlling Expert arbeitet Tim Cappelmann mit einem fundierten KnowHow zur Analyse und Optimierung komplexer EDV Architekturen. IT-Governance Einflüssen begegnet der COBIT 2019 zertifizierte Berater mit dem klaren Bekenntnis zum Business-IT-Alignment, welches als Fundament der aktuellen Digitalisierungsbestrebungen gesehen werden kann.
Von Angreifern, Schadcode und Bedrohungen
Jeder, der sich seine Schutz-Architektur aufbauen möchte, stellt sich zunächst eine ganz einfache Frage: gegen wen oder was möchte ich mich schützen? Unsere IT Systeme bilden das Fundament der nutzenden Organisation. Zugleich besteht das Fundament aus einer komplexen Systemlandschaft mit einer Vielzahl von Schnittstellen, Aufgaben und Kommunikations-Strömen. Aus Sicht der Effizienz ist nicht die gesamte Systemlandschaft gleichwertig schützenswert, es können Sicherheitszonen mit unterschiedlichen Schutzbedarfen definiert werden. Das spart im Zweifelsfalle Geld, oder erlaubt an angemessenen Stellen mehr Bedienerkomfort ohne lästige Security Einschränkungen. So wird also jeder Funktionsblock der Informationstechnologie betrachtet und die Frage wiederholt: wogegen muss ich mich schützen?
Im Vorgriff auf das Informationssicherheits-Managementsystem (ISMS), welches das Buch noch vorstellt, lassen sich die dort oft zitierten „Grundwerte der Informationssicherheit“ als Kompass heranziehen. Die drei Grundwerte „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ könnten mit einer Skala versehen sein und nun jeder Funktionsblock der Systemarchitektur nach diesen drei Dimensionen der Sicherheit bewertet werden. So wird ein Webshop-Betreiber zur Verfügbarkeit seiner Webseite einen anderen Bedarf formulieren, als er dies für sein internes System der Reisekostenabrechnung täte. Ein Krankenhausbetreiber wird die Vertraulichkeit der Patientendaten womöglich höher priorisieren als beispielsweise seine eigenen Personaldaten in der Zeiterfassungs-Software.
Die Fragestellung nach der Bedrohungslage ist wichtig – denn daran richtet sich im Idealfall die gesamte IT-Sicherheit aus. Das klassische Risikomanagement eines Informationssicherheitsbeauftragten (ISB) sollte den Experten der IT-Sicherheit in der eigenen Organisation eine gezielte Ausrichtung Ihrer Technologien und Konfigurationen ermöglichen. Um als hilfreicher Kompass für die IT Experten tatsächlich nutzbar zu sein, muss die Bedrohungslage zwingend korrekt und vollständig erfasst werden. Dies erfordert Zeit, Gründlichkeit und Interaktion zwischen vielen verschiedenen Disziplinen. Oft genug scheitert hier in der Praxis bereits der Prozess, womit eine wertvolle Chance für vertrauensvolle Zusammenarbeit zwischen ISB und IT-Security Experten vertan wird. Der Vorgang der Risikoerhebung und Bewertung ist definitiv nicht trivial. Aber er bietet eine Möglichkeit, alle beteiligten Stellen einer Organisation „in das Thema zu holen“ und auch ein Stück weit in die Verantwortung zu ziehen. Selbstverständlich ist diese Bestandsaufnahme wiederkehrend durchzuführen – denn auch die Bedrohungslage ändert sich permanent.
Die Komplexität einer geordneten Risiko-Bestandsaufnahme besteht darin, die interdisziplinären Sichten zu ordnen und miteinander zu vereinen. Mit am Tisch sitzen beispielsweise die IT-Experten aus der IT-Architektur, IT-Betrieb, IT-Leitung ebenso wie das Business, vertreten durch das Controlling, die Linien im Organigramm (Vertrieb, Logistik, Produktion, etc.) und auch relevante Governance Einheiten, wie die Revision, Datenschützer, Risikomanagement, usw. Bei einer derart heterogenen Arbeitsgruppe besteht die Kunst darin, eine Zielklarheit herzustellen und Konflikte, die aus unterschiedlichen Sichtweisen herrühren, den Prozess des Aushandelns nicht dominieren zu lassen. Der Gedanke wird zum Schluss des Buches in der Zielbild-Beschreibung noch einmal aufgegriffen werden.
Wo liegt das Problem?
Eine Vielzahl von Bedrohungen sind den IT-Experten der Organisation bereits bekannt. Die Priorisierung der dagegenwirkenden Abwehrmaßnahmen müsste zentral gesteuert werden – hier bildet sich ein klassischer Ressourcenkonflikt um begrenzte Budgets aus. Da unsere IT-Organisationen heute weitestgehend noch nach Technik-Silos strukturiert arbeiten (Server-Team, Client-Team, Netzwerk-Team, Datenbank-Team,..), treffen unterschiedliche Sicherheitsthemen auf unterschiedlich hohe Aufmerksamkeiten. Die nachfolgende Aufzählung erhebt keinen Anspruch auf Vollständigkeit und verdeutlicht die enorme Spanne von Bedrohungen, mit denen sich die Technologie-Teams im eigenen Handlungsfeld mehr oder weniger operativ beschäftigen:
• Client/Endpoint Security (Virenschutz, Schnittstellenschutz)
• Mobile Device Management (Smartphones & Co.)
• Server Sicherheit (Berechtigungsmanagement, Schadcodeschutz, Patch-Management)
• Netzwerksicherheit (Firewalling, Intrusion Detection, Proxydienste, WLAN Security)
• eMail Sicherheit (AntiSPAM, Sandboxing, Verschlüsselung, Archiv, AntiVirus)
• Berechtigungsmanagement (Domäne, Antragsprozesse, Löschung & Rezertifizierung)
• Administrative User (Priviledged Access Management)
• Datenbanksicherheit (Überwachung, Berechtigungen)
• Applikationssicherheit (Cross Site Scripting, Script Sicherheit)
• Schutz vor Innentätern (Data Loss Prevention, DLP)
• Anomalie-Erkennung, Ransomware (Artificical Intelligence, Machine Learning)
• Authentifizierung (Multi Factor, PKI, Tokens)
• Risk & Compliance Management (Verwundbarkeitsmanagement)
• Industrial und OT Security (Schutz von nicht-IT Geräten, z.B. in der Produktion)
• Cloud Security (Verschlüsselung von Daten, sichere Identitäten, verhaltensbasierte Technologien)
Für jedes Team, welches einen Handlungsbedarf zu einem der durchaus validen Bedrohungen anmeldet, entsteht ein Verteilungskonflikt begrenzter IT-Security Budgets. Mit jedem abgelehnten Projekt wird zugleich die Frustration der operativen Einheiten gestärkt, die dann ja ein vorhandenes Risiko nicht adressiert wissen. Abgelehnte IT-Security Projekte erzeugen ohne weitere Erläuterungen zur Gesamt-Sicherheitsstrategie wiederum eine Grund-Ablehnung gegen das vorhandene ISMS oder auch den ISB persönlich. Wieder einmal wird der Eindruck der Experten bestärkt, dass „die da oben“ doch keine Kenntnis zu den tatsächlich vorhandenen Sicherheitsproblemen des operativen IT-Betriebes besitzen.
Sicherheit braucht einen Kontext
Gegen wen brauchen wir Sicherheit? Was können die Gegner? Wie bereits in der Wunschvorstellung der umfassenden Bedrohungs-Analyse und Bewertung der Schutzbedarfe (vgl. „von Angreifern, Schadcode und Bedrohungen“) formuliert, braucht die IT Organisation einen Kompass, eine Ausrichtung der vielfältigen Schutzmaßnahmen auf die relevanten Bedrohungen. Die Wahrnehmung zu „relevanten“ Bedrohungen bliebe sonst subjektiv und würde von Experte zu Experte unterschiedlich interpretiert. In unübersichtlichen digitalen Szenarien hilft ggf. der Blick in den analogen Raum. Jede Bedrohungslage und jede Abwehrmaßnahme der IT-Security findet sein Pendant in der analogen Welt und wird damit auch für beteiligte Business-Vertreter ohne IT-Expertise gut vermittelbar.
Die nachfolgende tabellarische Darstellung hilft beispielhaft bei der Zuordnung der Bilder.
| digital | analog | Szenario |
| Firewall | Zaun am Unternehmen, Empfang | Personen, die augenscheinlich nicht zur Organisation gehören, werden abgewiesen |
| Intrusion Detection | Sicherheitsdienst, Wachschutz | Personen, die sich auf dem Gelände ungewöhnlich benehmen, werden beobachtet |
| Multi Factor Authentication | Pförtner, Ausweiskontrolle, Besucherausweise | Wer seine Identität nicht preisgibt, erhält keinen Zutritt |
| Data Loss Prevention, DLP | Taschenkontrolle | Es wird aktiv nach Diebstahl-Aktivitäten gesucht |
| Berechtigungsmanagement | Firmenausweis, Zutrittskontrolle | Nicht für jeden Job ist Zutritt in jedes Gebäude oder Büro notwendig |
| VPN | Sicherheitstransporter, verschließbare Transportboxen | Sensible Informationen oder Werte sollen auch während des Transportes nicht für jedermann im Zugriff sein |
Tabelle 1: Vergleich digitaler und analoger Raum: Schutzmaßnahmen
Zu jedem analogen Baustein der Organisations-Sicherheit müsste eigentlich ein digitaler Zwilling vorhanden sein. Wenn ein Unternehmen sich beispielsweise einen Pförtner leistet, existiert offenbar eine potentielle Bedrohung durch nicht registrierte Besucher auf dem Gelände oder innerhalb der eigenen Gebäude. Es existieren offenbar schützenswerte Dinge innerhalb der Liegenschaft. Da die Zeiten der heimlichen Fotokopier-Aktionen längst...
| Erscheint lt. Verlag | 11.1.2023 |
|---|---|
| Verlagsort | Ahrensburg |
| Sprache | deutsch |
| Themenwelt | Informatik ► Netzwerke ► Sicherheit / Firewall |
| Recht / Steuern | |
| Schlagworte | cyber security • Datenschutz • Hacker • Informationssicherheit • ISMS • IT Organisation • IT-Security • Tom |
| ISBN-10 | 3-347-82965-4 / 3347829654 |
| ISBN-13 | 978-3-347-82965-7 / 9783347829657 |
| Informationen gemäß Produktsicherheitsverordnung (GPSR) | |
| Haben Sie eine Frage zum Produkt? |
EPUB (Wasserzeichen)DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich
