Management der IT-Sicherheit: David gegen Goliath?
Leistungsfähige Sicherheitstechnologien für den Virenschutz, Firewalls sowie Intrusion Detection Systeme sind für den Schutz sensibler Daten in Unternehmen unabdingbar. Dessen sind sich die meisten Verantwortlichen in Unternehmen durchaus bewusst. Doch sind die Sicherheitslösungen erst einmal implementiert, kümmert sich oft keiner mehr um sie. Dabei ist es wichtig, ihr reibungsloses Zusammenspiel fortgesetzt zu überprüfen. Sonst können sich Schwachstellen auftun, die von digitalen Bedrohungen ausgenutzt werden und massive Schäden verursachen.
Mit der Installation leistungsfähiger Sicherheitsprodukte haben Unternehmen zwar einen Schritt in die richtige Richtung getan, sie müssen jedoch für den umfassenden Schutz ihrer Unternehmensdaten weitere Maßnahmen einleiten: Sicherheit ist ein Prozess und kein Zustand – das gilt nicht nur für die IT-Sicherheit. Um ihr Sicherheitsniveau dauerhaft und zuverlässig zu gewährleisten, müssen Unternehmen ein aktives Sicherheitsmanagement praktizieren.
Für viele Betriebe ist Sicherheitsmanagement ohnehin keine Kür sondern Pflicht: Das KonTraG, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, verpflichtet börsennotierte AGs sowie große und mittelgroße GmbHs zur Risikovorsorge durch Einrichtung eines Risiko-Management-Systems sowie zur Erstellung eines regelmäßigen Risikoberichtes. Dazu gehört auch die Vorsorge in Bezug auf die Sicherheit der Unternehmensdaten. Doch nicht nur börsennotierte Unternehmen müssen hier Nachweise bringen: Fundierte Sicherheitsstrukturen sind für viele Banken mittlerweile generell ein wichtiger Faktor für die Bewertung der Kreditwürdigkeit eines Unternehmens.
Sicherheit verwalten, Richtlinien überprüfen
Eine mögliche Herangehensweise an effizientes Sicherheitsmanagement besteht darin, die Einhaltung der technischen Sicherheitsrichtlinien zu überwachen. Auf diese Weise können Regelabweichungen und Sicherheitsverletzungen erkannt und beseitigt werden. Richtlinienmanagement ist eine grundlegende Methode, für mehr Sicherheit zu sorgen. Es sorgt für Transparenz in Sachen IT-Sicherheit und ermöglicht ein gezieltes Ausmerzen von Schwachstellen. Richtlinienmanagement trägt dazu bei, bestehende Investitionen in die IT-Sicherheit zu schützen.
Symantec Enterprise Security Manager: Umfassendes RichtlinienmanagementSymantec Enterprise Security Manager 6.0 ist ein solches Werkzeug zum Festlegen und Überwachen von technischen Sicherheitsrichtlinien. Die Lösung gewährleistet, dass geschäftskritische Systeme und Anwendungen stets den vordefinierten Sicherheitsrichtlinien, bestimmten Industriestandards oder gesetzlichen Bestimmungen entsprechen. Außerdem wacht Enterprise Security Manager darüber, dass das Netzwerk und seine Anwendungen mit den aktuellen Updates und Patches versehen sind. Die integrierte LiveUpdateTechnologie von Symantec erleichtert Administratoren den Zugriff auf sicherheitsrelevante Aktualisierungen und Informationen, wie zum Beispiel über neue Schwachstellen.
Außerdem haben IT-Beauftragte mit dem Enterprise Security Manager (ESM) die Möglichkeit, das Unternehmensnetzwerk auf mögliche Bedrohungen hin zu überprüfen. Die Lösung führt dazu über 2000 verschiedene Sicherheitschecks durch. In der aktuellen Version ESM 6.0 sind darüber hinaus Informationen über wichtige Industriestandards und Vorschriften integriert. Dazu zählen unter anderem die ISO 17799 und die SANS Top 20, eine vom SANS-Institut herausgegebene Liste mit den 20 gefährlichsten Schwachstellen.
Schwachstelle Mitarbeiter: Wer wacht über ihr Sicherheitsverhalten?
Aber auch mit einem umfassenden Richtlinienmanagement müssen Administratoren und Sicherheitsbeauftragte weiterhin wachsam bleiben. Lösungen wie ESM können zwar über die technischen Sicherheitsrichtlinien wachen, doch das Verhalten der Mitarbeiter können sie nicht überprüfen.
Oft sind es jedoch gerade die Nachlässigkeiten im Umgang mit Internet und E-Mail, das sorglose Herunterladen, das unbekümmerte Abspielen zweifelhafter Datenträger, der unvorsichtige Umgang mit Passwörtern, der Netzwerke in Gefahr bringt. Schließlich nutzen Hacker und Virenschreiber auch die Schwachstelle Mensch.
Die Herausforderung für Unternehmen besteht darin, Mitarbeiter dazu zu bringen, die Verhaltensrichtlinien bewusst wahrzunehmen und zu befolgen. Hier hilft nur ein kontinuierliches Training der Belegschaft, um das Sicherheitsbewusstsein aller im Unternehmen zu schärfen. Das Symantec Corporate Security Awareness Programm wurde entwickelt, um Unternehmen bei dieser Aufgabe zu unterstützen. Das Programm zeigt, wie wichtige Themen der Informationssicherheit effektiv vermittelt werden können, fördert sicherheitsbewusstes Verhalten und reduziert so die Risiken interner Sicherheitslücken.
© 2012 FEiG & PARTNER