Grundlage aller IT-Sicherheitsmaßnahmen muss die genaue Feststellung des Schutzbedarfs sein. Nur wer weiß, was geschützt werden soll, kann adäquate Schutzmaßnahmen treffen. Der Aufwand des Schutzes muss sich aber immer am Wert der Daten orientieren, die geschützt werden müssen.
Bei der Feststellung des Schutzbedarfs müssen immer auch die eigentlichen Schutzziele mit bedacht werden, die durch die Schutzmaßnahmen gewährleistet werden sollen. Im Bereich der IT-Sicherheit werden normalerweise drei Schutzziele verfolgt:
- Vertraulichkeit der Informationen
- Integrität der Daten und des IT-Systems
- Verfügbarkeit der Informationen
In der Praxis ist es schwer, die Balance zwischen den unterschiedlichen Schutzzielen zu halten. Natürlich ist es leicht, Vertraulichkeit zu gewährleisten, wenn der Zugriff auf Informationen rigoros eingeschränkt wird. Andererseits leidet darunter die Verfügbarkeit. Sorgt man andererseits dafür, dass sämtliche Informationen allgemein verfügbar sind, leidet darunter die Vertraulichkeit. Hinzu kommt, dass die Grenzen zwischen Datensicherung und Datenarchivierung oft nicht exakt gezogen werden.
Unterschiedliche Risikopotenziale
Da es schwer ist, die Schutzziele gegeneinander abzuwägen, ist es umso wichtiger, festzustellen, welchen Schutzbedarf es wirklich gibt. Wichtig ist eine genaue Risikoanalyse, die feststellt, wie gefährdet bestimmte Daten und Geräte eigentlich sind. Dabei können gleiche Informationen auf unterschiedlichen Geräten durchaus unterschiedliche Risikopotenziale haben.
Interne Informationen, die sich auf einem Desktop-PC befinden, der an das lokale Netzwerk angeschlossen ist, müssen nicht unbedingt besonders geschützt werden. Befinden sich die gleichen Informationen aber auf einem Notebook, das mit auf eine Messe genommen wird, sollte sichergestellt sein, dass die Daten darauf verschlüsselt gespeichert sind. Sollte das Notebook abhandenkommen, sind die Geschäftsinformationen dann für Dritte unbrauchbar.
Aus der Bedarfs- und Risikoanalyse ergeben sich mehr oder weniger zwangsläufig auch die Schutzmaßnahmen, die allerdings erst dann festgelegt werden können, wenn feststeht, welche gesetzlichen Anforderungen erfüllt werden müssen (IT-Compliance).
Zur Sicherheit Externe hinzuziehen
Da Sie nicht unbedingt über alle aktuellen Entwicklungen im Bereich der IT-Sicherheit informiert sind und auch nicht alle gesetzlichen Anforderungen kennen, sollten Sie nicht zögern, externen Sachverstand hinzuzuziehen, wenn es um die Analyse und konkreten Sicherheits- und Compliance-Maßnahmen geht.
Um einen Eindruck davon zu bekommen, was für Aspekte es bei der Einführung von IT-Sicherheitsmaßnahmen zu berücksichtigen gilt, sollten Sie die Checklisten dieses Beitrags in Ruhe durchgehen und die dort formulierten Fragen beantworten.