IT-Sicherheit - Wissenswertes zum BSI Grundschutzkatalog
Am 26. Oktober 2010 präsentierte Professor Günther Neef im ersten Teil das stetig wachsende Gefährdungspotential in der IT-Landschaft eines Unternehmens. Nicht nur Viren, Würmer, Phishing und Spoofing als vorsätzliche Handlungen durch Angriffe von außen sondern auch die Gefährdungsklassen:
- Höhere Gewalt (Feuer, Wasser, ...)
- Fehlende Regelungen und Konzepte in der Unternehmensorganisation
- Menschliche Fehlhandlungen (meist durch eigene Mitarbeiter, oft auch unbewußt)
- Technisches Versagen (Systemabsturz, Plattencrash)
wurden kurz umrissen. Durch die zunehmende Vernetzung und Automatisierung sind auch Daten kleinerer Unternehmen für Unbefugte interessant. Allerdings werden die Daten und Betriebsabläufe nicht mehr nur gestört, sondern im Verborgen mitgelesen oder der Rechner als Teil eines Botnetzes z.B. für das Versenden von Spammails missbraucht.
Im zweiten Teil wurde der Maßnahmenkatalog des BSI-Grundschutzes der ISO-Norm 27000 für Managementsysteme der Informationssicherheit gegenübergestellt. Es wurde betont, dass das Sicherheitsmanagement eine Führungsfunktion ist und wie Qualitäts-, Umwelt- und Notfallmanagement einer Prozessanalyse bedarf. Dazu zählen:
- Das Erarbeiten von Sicherheitsleitlinien,
- Die Analyse von Rahmenbedingungen,
- Der Sicherheitscheck mit dem Aufdecken von Sicherheitslücken
- Die Planung von Maßnahmen
- Die Erprobung von Maßnahmen und
- Die Notfallvorsorge (Schulung, Kontrollen, Revision, ...).
Der BSI-Grundschutzkatalog liefert eine Vielzahl von Maßnahmen, die auf die individuelle Sicherheitslage der jeweiligen Unternehmen angewendet werden können, um damit einer künftig geforderten Sicherheitszertifizierung nach ISO 27000 gerecht werden zu können.
Weitere Informationen:
