Logo
Logo

Umsetzungsbereiche

In der Schweiz gibt es Initiativen, um das Bewusstsein für die Gefahren im Bereich der IT-Sicherheit zu schärfen und mögliche Gegenmaßnahmen aufzuzeigen. Dafür verantwortlich ist das Nationale Zentrum für Cybersicherheit (National Cyber Security Centre - NCSC) das Kompetenzzentrum des Bundes für Cybersicherheit und damit erste Anlaufstelle für die Wirtschaft, Verwaltung, Bildungseinrichtungen und die Bevölkerung bei Cyberfragen.

Privathaushalte

Programmierfehler in fast jeder Software machen es nahezu unmöglich, sich vor Angriffen jeglicher Art zu schützen. Diese Schwachstellen können auch von außen ausgenutzt werden, indem Computer mit sensiblen Daten (z. B. Homebanking, Briefpapier) mit dem Internet verbunden werden. Private Haushalte haben geringere IT-Sicherheitsstandards, da nur wenige angemessene Maßnahmen zum Schutz der Infrastruktur getroffen werden (z. B. unterbrechungsfreie Stromversorgung, Diebstahlschutz).

Aber die privaten Haushalte in anderen Regionen bleiben defizitär.

Viele Privatanwender wissen noch nicht, wie wichtig es ist, die Konfiguration der von ihnen genutzten Software an ihre Bedürfnisse anzupassen. Da viele Computer mit dem Internet verbunden sind, muss das Serverprogramm nicht auf ihnen laufen. Serverdienste werden von vielen Betriebssystemen in Standardinstallationen geladen, deren Deaktivierung schließt viele wichtige Schwachstellen.

Auch Sicherheitsaspekte wie das Setzen von Zugriffsbeschränkungen sind vielen Anwendern fremd. Außerdem ist es wichtig, Schwachstellen in der verwendeten Software zu identifizieren und regelmäßig Updates zu installieren.

Zur Computersicherheit gehört nicht nur der präventive Einsatz von technischen Hilfsmitteln wie Firewalls, Intrusion-Detection-Systemen etc., sondern auch ein organisatorischer Rahmen in Form von durchdachten Grundsätzen, der menschliche Systeme als Nutzer einbezieht Werkzeug. Durch das Ausnutzen zu schwacher Passwörter oder sogenanntes Social Engineering gelingt es Hackern oft, sich Zugang zu sensiblen Daten zu verschaffen.

IT-Sicherheit bei Sparkassen und Banken

Die Ergebnisse von Basel II, die Regelungen von BaFin und KWG sowie Einzelprüfungen von Sparkassen und Bankenverbänden beschleunigen diesen Prozess und unterstreichen seine Bedeutung. Sowohl externe als auch interne Audits werden zunehmend um dieses Thema herum gestaltet. Gleichzeitig wurde ein breites Leistungsspektrum zur Umsetzung verschiedener Projekte zur Etablierung von IT-Sicherheitsprozessen im Unternehmen geschaffen. Anbieter finden sich auf den internen und externen Märkten der jeweiligen Unternehmensgruppen. Bei anderen Finanzdienstleistern, Versicherungen und Wertpapierhandelsunternehmen ist das Konzept grundsätzlich gleich, wobei hier auch andere Gesetze zum Tragen kommen können.

IT-Sicherheit bei anderen Unternehmen

Auch wenn Gesetze und Prüfungen in anderen Wirtschaftszweigen weniger Massstäbe setzen, hat die IT-Sicherheit nach wie vor einen hohen Stellenwert.

Aufgrund der wachsenden Vernetzung verschiedener Niederlassungen, wie z. B. bei Firmenkäufen, wird der Schutz von IT-Systemen immer wichtiger. Gefährliche Situationen entstehen, wenn Daten von einem internen geschlossenen Netzwerk über eine externe öffentliche Verbindung an einen anderen Ort übertragen werden.

Die Gefahr liegt aber nicht nur im Datenaustausch innerhalb von Unternehmen, zunehmend werden Anwendungen direkt an Nutzer übermittelt, oder externe Mitarbeiter oder auch ausgelagerte Dienstleister haben Zugriff auf in Unternehmen gespeicherte Daten und können diese bearbeiten und verwalten. Für deren Zugriffsberechtigung müssen die durchgeführten und geänderten Aktionen authentifiziert und dokumentiert werden können.

Durch diese Thematik werden neue Anforderungen an bestehende Sicherheitskonzepte gestellt. Hinzu kommen gesetzliche Anforderungen, die ebenfalls in das IT-Sicherheitskonzept integriert werden müssen. Die einschlägigen Gesetze werden von externen und internen Auditoren geprüft. Da die Methode zum Erreichen dieser Ergebnisse nicht definiert ist, wurden verschiedene „Best Practice“-Methoden für verschiedene Bereiche entwickelt, wie z. B. ITIL, COBIT, ISO oder Basel II

Der Ansatz dabei ist, das Unternehmen so zu führen und zu kontrollieren, dass relevante und mögliche Risiken abgedeckt werden. Als Standards für die sogenannte IT-Governance kann man verpflichtende, d.h. rechtliche und gutachterliche Gutachten und Unterstützung sehen.

Das bedeutet, diese Risiken zu identifizieren, zu analysieren und zu bewerten. Darauf aufbauend ein Gesamtsicherheitskonzept erstellen zu können. Dazu gehört nicht nur die Definition der eingesetzten Technologien, sondern auch organisatorische Maßnahmen wie Verantwortlichkeiten, Berechtigungen, Kontrollmechanismen oder konzeptionelle Aspekte wie Mindestanforderungen an bestimmte Sicherheitsfunktionen.

Zu beachten ist, dass die Art und Weise, wie Automatisierungsdaten gespeichert werden, immer klar, nachvollziehbar und konsistent sein sollte. Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden. Alle Änderungen sollten ein Versionsmanagement auslösen, und Berichte und Statistiken über Prozesse und deren Änderungen müssen direkt von einer zentralen Stelle aus abgerufen werden.

Abhilfe kann hier eine hochentwickelte Automatisierungslösung schaffen. Potenzielle Gefahrenquellen werden eliminiert, da weniger manuelle Eingriffe erforderlich sind. Daher umfasst die Rechenzentrumsautomatisierung die folgenden Bereiche:

  • Risikofaktor Prozessaufbau
  • Risikofaktor Ressourcen
  • Risikofaktor Technologie
  • Risikofaktor Zeit