GRUNDLAGEN

Für die Beurteilung der Sicherheitserfordernisse sowie für die Erarbeitung und Umsetzung eines Sicherheitskonzeptes gibt es einen allgemein anerkannten "Stand der Technik", wie in vielen anderen Bereichen auch. Ein Unternehmen, das diesen Stand der Technik nicht berücksichtigt oder von seinem IT-Dienstleister berücksichtigen läßt, kann u.U. in Schadensfällen von Betroffenen haftbar gemacht werden (siehe z.B. "Haftung für den Versand von Viren per E-Mail", iX 6/2004, S. 88). Welche Schutzmassnahmen im Detail als erforderlich angesehen werden, hängt von der Art der Daten und der Gefährdungssituation ab. Zum Beispiel werden für sensitive persönliche Daten (Patientendaten in Arztpraxen und Apotheken oder ähnliches), strengere Schutzmaßnahmen erforderlich sein als für einen normalen Einzelhändler ohne personenbezogene Datenspeicherung. Andererseits können produzierende Unternehmen hohe Schutzbedürfnisse haben, die auf Gefahren durch Spionage oder Sabotage beruhen. 

Um diese Schutzbedürfnisse herausarbeiten zu können, muss in vielen Fällen ein längerer Dialog zwischen dem Autor der Sicherheitsrichtlinie und einem leitenden Mitarbeiter des Unternehmens erfolgen, damit hinterher Klarheit auf beiden Seiten über zu erreichende Schutzziele und mögliche Auswirkungen auf den Unternehmensbetrieb herrscht.

In Deutschland gibt es einen sehr guten Anhaltspunkt für den oben erwähnten "Stand der Technik":

das "IT - Grundschutzhandbuch" , herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik

 

Wer sich mit IT-Sicherheit beschäftigt, egal ob als Dienstleister/Händler oder als der liebe Freund, der mal eben einen Router im Büro des  befreundeten Unternehmers installiert, der sollte die in diesem Handbuch beschriebenen Gefährdungs- und Lösungsszenarien kennen und wissen, mit welchen Maßnahmen diese in einer IT-Infrastruktur umgesetzt werden können.

Für Entscheider in Unternehmen ist der zum Handbuch gehörende Leitfaden IT Sicherheit mit Fallbeispielen und Schutzempfehlungen ohne technische Details gedacht. Die in diesem Leitfaden genannten Gefährdungen sollten in jedem Unternehmen, das personenbezogene oder sensible Datenbestände hat, analysiert werden und daraus gemeinsam mit einem kompetenten Partner ein Sicherheitskonzept entwickelt werden.

Kurz:

Mit dem Kauf eines teuren Firewall - Systems, das auf einer Messe angepriesen wird und mit großen Anzeigen den "Schutzzustand" des Unternehmens darstellt, hat man (höchstens) einen Schritt in Richtung einer sicheren IT-Infrastruktur gemacht.

© iS information Systems oHG