Grundsätzlich zählt jedoch nicht nur die Sicherheit von einzelnen Komponenten zu den Voraussetzungen für den Schutz von Daten, sondern auch die umfassende Kenntnis der vorhandenen IT-Infrastruktur. Eine detaillierte Schwachstellenanalyse aller Komponenten, welche am Geschäftsprozess beteiligt sind, ist daher eine unabdingbare Voraussetzung, um sinnvolle Maßnahmen gegen interne und externe Angriffe zu ergreifen.
Zu den Zielen von IT-Sicherheitsanalysen gehören:
-
- Identifikation der Schwachstellen eines IT-Verbundes
- Bewertung des Risikopotenzials
- Maßnahmenempfehlung zur Behebung der identifizierten Schwachstellen bzw. Reduzierung des Risikopotenzials
Zum Umfang von IT-Sicherheitsanalysen zählen:
-
- IT-Struktur- und Systemanalysen
- IT-Schutzbedarfsanalysen
- Gefahrenanalysen und Risikobewertungen
- Erstellen von IT-Security-Konzepten und Betriebsmodellen
- Penetrationstests, um eventuelle Sicherheitslücken aufzudecken
Primär werden dabei nachfolgende Bereiche untersucht und dokumentiert:
-
-
Organisatorische Maßnahmen, Richtlinien und Verantwortlichkeiten
-
Berechtigungsvergabe
-
Datenschutz
-
Datensicherung
-
Virenschutz
-
eMail und Internetnutzung
-
Einrichtung und Betrieb der Firewallsysteme
-
Anbindung von Außenstellen, Heimarbeitsplätzen und mobilen Mitarbeitern
-
Sichere Konfiguration von Servern und PCs
-
Notfallvorsorge
-
Zur Erhebung der notwendigen Informationen werden Gespräche mit den Verantwortlichen durchgeführt sowie vorhandene Dokumente und Richtlinien ausgewertet und überprüft.
Die Informationen werden bewertet und mit einem definierten Soll-Zustand abgeglichen. Im Ergebnis werden Empfehlungen und Anregungen ausgesprochen, wo zusätzliche Maßnahmen zur Erhöhung des IT-Sicherheitsniveaus erforderlich sind. Hierbei sollte jedoch grundsätzlich die Umsetzung eines wirtschaftlichen und der individuellen Risikosituation angemessenen Schutzes im Vordergrund stehen.
Es folgt die Planung und Umsetzung von geeigneten Sicherheitsmaßnahmen, wobei jedoch nicht vergessen werden darf auch die Anwender für IT-Sicherheitsthemen ausreichend zu sensibilisieren, um Gefahren zu erkennen und diesen richtig zu begegnen, da nur das Zusammenspiel aller Maßnahmen einen ausreichenden Schutz auch gegen neuartige Angriffe gewährleistet.
Solche IT-Sicherheits-Checks erlauben es, kurzfristig ein gutes Gesamtbild des Ist-Zustands zu ermitteln. Bei einer mittleren Unternehmensgröße reichen i.d.R. ca. 12 Personentage für eine umfassende Analyse und Bewertung der Ergebnisse aus. Kleine und einfache IT-Umgebungen lassen sich sogar in wesentlich kürzerer Zeit analysieren und bewerten.