Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
IT Sicherheit, der Reihe nach
Informationssicherheit soll die wichtigen Assets des Unternehmens schützen, transparent, unaufdringlich und immer aktuell sein und natürlich nichts kosten. Die Zauberformel, um all das zu erreichen, gibt es nicht, allerdings kann man mit einem strukturierten Vorgehen zumindest zwei von fünf Wünschen erfüllen: Hohe Schutzwirkung, immer aktuell.
Der erste Schritt: Die organisationsbezogene Sicherheitsrichtlinie
Aller Anfang ist schwer, aber auch wenn es um die Informationssicherheit geht, sind zum Start grundlegende Überlegungen anzustellen. Die organisationsbezogene Sicherheitsrichtlinie sind allumspannende Dokumente und eine Richtlinie schlechthin, an der sich die Informationssicherheit orientiert. Sie bildet die wichtigsten Rahmenbedingungen für das Unternehmen ab und umfasst die Bezüge zu regulatorischen Vorgaben, Branchenstandards, internen Compliance-Vorgaben und Best Practices. Vermutlich haben die meisten Unternehmen diesen Schritt schon hinter sich, wenn nicht, es gibt im Internet haufenweise Anleitungen und Vorlagen wie so etwas aussehen könnte. Neben allgemeinen Anweisungen, wie die Informationssicherheit umzusetzen ist, können darin, oder in einem referenzierten Dokument, auch konkrete IT-Security Anweisungen hinterlegt sein. Beispielsweise, dass Remote-Zugänge durch ein VPN zu schützen sind und welche Verschlüsselungsalgorithmen dafür notwendig sind.
Wissen was man hat: Inventur im Netz
Nichts ist so beständig wie der Wandel und das gilt auch für das Netzwerk im Unternehmen. Die Chancen stehen gut, dass sich die Netzinfrastruktur Monat für Monat verändert: Durch neue Hardware, neue Dienste wie Cloud-Anbindung und durch mobile Technologien. Es ist wichtig, trotzdem ein klares Bild der vorhandenen Infrastruktur einschließlich der Anwendungen und der darüber liegenden Sicherheitsrichtlinien zu behalten. Das funktioniert am besten mit den entsprechenden Tools: Einem zur Inventur von Assets und Topologien sowie einem, das die Compliance-Ebenen darüberlegen kann.
Hausbau digital: Die Architektur und Topologie an der Unternehmensrichtlinie ausrichten
Nun lassen sich erste konkrete Maßnahmen angehen, auch wenn diese in einem bestehenden System kaum im vollen Umfang umsetzbar sind. Die Architektur sollte an den Sicherheitszonen ausgerichtet werden, die in der Richtlinie, je nach Risikomatrix der Anwendungen, definiert wurden. Die Grenze nur am Perimeter zu ziehen, reicht heute meist nicht mehr. Mit einer internen Segmentierung des so genannten Ost-West-Verkehrs kann die Seitwärtsbewegung im Netz für Eindringlinge erschwert oder verhindert werden.
Lücken stopfen: Soll und Ist in Übereinstimmung bringen
Wenn man der Anleitung bis hierher gefolgt ist, hält man einen guten Blueprint seines Netzwerks, der Anwendungen und der damit verknüpften Sicherheitsrichtlinien in der Hand. Trotzdem wird es Abweichungen zwischen „Soll“ und „Ist“ geben, die nun zu finden und abzustellen sind. Dazu müssen alle Elemente, die die Sicherheitsrichtlinie praktisch umsetzen – Firewalls, Router, VPN-Gateways, Switche, etc. – betrachtet und deren Konfigurationsdaten überprüft und bei Bedarf angepasst werden.
Die Neverending Story: Change-Management im Griff behalten
Nur einmal „Soll“ mit „Ist“ zu vergleichen, ist natürlich vergeblich. Informationssicherheit funktioniert nach dem Deming-Kreislauf mit den Phasen Plan, Do, Check, Act. Um die Sicherheit nicht nur herzustellen, sondern auch über die Zeit zu halten und sogar zu verbessern, ist ein kontinuierlicher Prozess notwendig. Jede Konfigurationsänderung kann potenziell Löcher in die Sicherheitsmaßnahmen reißen und die Richtlinie verletzen. Häufig sind die Maßnahmen, die den Change Prozess begleiten, Bestandteil von Audit-Anforderungen für Zertifikate. Der Prozess muss also nicht nur prüfen, ob die gewünschte Änderung mit den Richtlinien vereinbar ist, sondern auch die Verantwortlichen dafür benennen und revisionssicher dokumentieren.
Achtung Kontrolle: Bereit für den Audit
Es soll Unternehmen geben, die ihre Informationssicherheit nur für den Audit herstellen. Schließt sich die Tür hinter dem Auditor, werden alle Best Practices wieder über den Haufen geworfen. Das hat natürlich nicht nur fatale Auswirkungen auf die Informationssicherheit, es ist auch ein sehr kostspieliges Verhalten. Alle Aufwände, die aus der geordneten und sicheren Unternehmensarchitektur resultierten, waren umsonst. Die Hoffnung ist, dass alle vorher durchgeführten Schritte in solide verankerten und gelebten Maßnahmen resultieren, die ein zurück zur (unsicheren) Tagesordnung auf vielen Ebenen verhindern. Wenn ein Unternehmen tatsächlich seine Informationssicherheit nach dem beschriebenen Rezept aufgebaut hat, stehen die Chancen dafür sehr gut.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.