Startseite > Medizintechnik > E-Health > Kopfschmerz IT-Security

Verschlüsselungstrojaner

Kopfschmerz IT-Security

9. Mai 2017, 8:07 Uhr | Marcus Heinze und Werner Spiegl

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 2

Der Ansatz: Informationssicherheits-Managementsystem

Jedes Geschäft, jede Infrastruktur ist anders. Wie trifft man also die richtigen Maßnahmen? IT-Security-Experten setzen auf ein Informationssicherheits-Managementsystem, kurz ISMS. Es handelt sich hierbei nicht etwa um ein technisches System, sondern um die organisatorische Integration der Informationssicherheit in das Unternehmen. Das Vorgehen ist dabei immer das Gleiche:

Zunächst sollte definiert werden, welche Systeme, Netze und Informationsspeicher für den Geschäftsbetrieb wichtig sind.
Im zweiten Schritt gilt es zu bestimmen, wie Systeme, Netze und Informationen aufgebaut sind.
Dann sollte man sich fragen, was diesen Systemen passieren kann.
Zu guter Letzt sollte eruiert werden, welche Schritte nötig sind, um den Schaden zu begrenzen.

Aus diesen Punkten leiten sich letztlich die Maßnahmen ab, die getroffen werden müssen, um ein angemessenes Sicherheitsniveau zu erreichen. Wie das ISMS schließlich genau gestaltet ist, hängt von der jeweiligen Unternehmensstruktur ab. Am Ende stehen die technischen Maßnahmen. Diese setzen dann gezielt an und können so ihre volle Leistungsfähigkeit entfalten.
ISMS – genauso wie Qualitätsmanagementsysteme – wurden von Expertengremien genormt. Die ISO 27000 und die dazugehörigen Normen, die weitere Details beschreiben, liefern eine Blaupause, um ein solches ISMS in aller Tiefe aufzubauen.
Die hier dokumentierten Anforderungen sind allerdings nicht von allen IT-Organisationen leistbar. Gerade kleine Unternehmen, aber auch der Mittelstand tun sich schwer, der geforderten Tiefe standzuhalten. Der zusätzlich entstehende Aufwand für Dokumentation, die Ermittlung von Bedrohung und Gefährdung sowie das Ableiten von Risiken und deren Behandlung sind nicht überall leistbar. – Also doch wieder nur Standardmaßnahmen treffen und hoffen?
Unterhalb der ISO-Norm haben sich diverse andere Organisationen bemüht, vereinfachte Blaupausen zu schaffen. Eine besonders einfache kommt aus dem Versicherungsumfeld: die Richtlinie VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU).
Aufgrund der potenziellen Schadenshöhe sehen sich viele Unternehmen gezwungen, Versicherungen gegen solche IT-Risiken abzuschließen. Ähnlich wie beim Brandschutz fordern die Versicherer eine gewisse Vorsorge ein, um das Restrisiko zu versichern. Allerdings wissen die Versicherer auch um die begrenzten Möglichkeiten vieler Unternehmen und haben daher ein einfach umzusetzendes und mit geringen Mitteln zu betreibendes ISMS erarbeitet. In der VdS-Richtlinie 3473 ist dies niedergelegt. Der VdS auditiert Unternehmen auch auf Wunsch. Mit einem solchen Zertifikat kann man den Versicherungen gegenüber nachweisen, dass man mit dem Thema IT-Sicherheit im Grunde professionell umgeht. Das verbleibende Restrisiko kann man dann zu günstigeren Prämien versichern.
Die Macher der Richtlinie hatten die Kapazitäten der kleinen IT-Organisationen im Blick. Die Elemente der ISO 2700x sind hier im Grunde alle bereits angelegt. Man ging nach dem Pareto-Prinzip vor: Mit 20 Prozent Aufwand lassen sich demnach 80 Prozent des Ergebnisses erzielen. Und 80 Prozent sind allemal besser, als sich blind allen IT-Gefahren auszusetzen.
Das ISMS kann im Laufe der Zeit hin zu einer ISO 2700x weiterentwickelt werden. Die Macher haben auf Kompatibilität geachtet. Wenn also ein Unternehmen am Ende tatsächlich auch ein Zertifikat nach ISO 27001 braucht, dann ist die Anstrengung, die bereits in die Umsetzung der Richtlinie geflossen ist, nicht verloren, sondern stellt eine stabile Basis dar. Cryptotrojaner sind mit einem solchen ISMS nicht mehr bedrohlich und auch die Kopfschmerzen verschwinden.