Leistungsumfang

Informieren Sie sich, wie abakus-IT Ihnen bei der Umsetzung der ISO 27001 oder Teilbereichen behilflich sein kann: PDF

Informieren Sie sich, wie abakus-IT Ihnen bei der Umsetzung des IT-Grundschutzes oder Teilbereichen behilflich sein kann: PDF

 

Argumente für oder gegen ein Informations-Sicherheits-Management-System

Vielleicht kennen Sie noch die Zeiten, in denen man seine Haustür offen stehen lassen konnte und niemand diesen Umstand genutzt hat, um andere zu schädigen oder sich selbst zu bereichern.

Ähnlich geht es auch in unserem IT-Bereich zu!
Als das Internet entwickelt wurde, war es ein freier Raum, in dem der Eine den Anderen vertraut und unterstützt hat. Diese Zeiten sind längst vorbei!

Kein Unternehmen ist heute vor elektronische Angriffe sicher, ob mit oder ohne Internet-Zugang. Selbst solch großen Unternehmen wie Microsoft sind schon Software-Auslieferungen passiert, die einen Virus enthielten.

Sicherheits-Maßnahmen werden heutzutage mehr und mehr zum Standard. Kein Zugangs-Provider, der nicht einen Spam- und Virenschutz integriert hat!

Dennoch sind Sicherheits-Maßnahmen mit einem Aufwand verbunden und steigern nicht immer unbedingt die Produktivität!
Das wird zum Anlass genommen, in diesem Bereich zu sparen, ohne die damit verbundenen Gefahren für das Unternehmen überhaupt einzuschätzen!
Um diese Missstände einmal deutlich zu machen, sei noch einmal an dieses einleitende Beispiel der offenen Tür erinnert.
Hier wird man kein Risikomanagement starten, weil die Risiken und entsprechende Maßnahmen bereits lange feststehen. Niemand setzt sich heutzutage mehr dem Risiko einer offenen Tür aus! Entsprechende Maßnahmen, wie ein Schloss, eventuell eine Videoüberwachung im Unternehmen oder ein Empfang sind selbstverständlich ...
... Übrigens ist dies das Verfahren des IT-Grundschutzes: Es hat das Risikomanagements bereits für Sie übernommen und in die Maßnahmen integriert! Wie die notwendigen Maßnahmen der offenen Tür, sind die Maßnahmen des IT-Grundschutzes anhand einer normalen Risikoeinschätzung (Schutzbedarf) erstellt worden.

Wir möchten Ihnen die typischen Argumente gegen ein Informations-Sicherheits-Management-System aufzeigen und beurteilen.

Wozu überhaupt Informationssicherheit?

Da muss zunächst die Frage geklärt werden, wozu man sich überhaupt um die Sicherstellung der Informationen im Unternehmen bemüht.

Natürlich ist die Qualität und damit die Effizienz und Effektivität für Ihr Unternehmen im ersten Augenblick relevanter!
Ihr Unternehmen soll und muss Geld verdienen! Das weiß Ihr Kunde genauso wie Ihr Mitarbeiter.

Die Anforderungen sind klar, die Mitarbeiter fachlich qualifiziert und die Kunden genauso wie die Lieferanten durch den Markt informiert.
Und genau das ist es, womit nicht nur der Markt operiert, sondern sämtliche Prozesse in Ihrem Unternehmen: mit Informationen!

Informationen für die Öffentlichkeit, für interne Zwecke, für einen beschränkten Personenkreis oder geheime Informationen.
Ungeschützt bieten sie ein breites Angriffspotential in Ihrem Unternehmen!
Intern benötigte Informationen könnten zerstört, für die Öffentlichkeit bestimmte Informationen könnten verfälscht oder geheime Informationen könnten unberechtigt eingesehen werden. - In allen Bereichen Ihres Unternehmens!

Die Sicherheit durch ein Informations-Sicherheits-Management-System schafft Regelungen, Ordnungsmäßigkeiten und Kontrollen, und leistet damit automatisch einen Beitrag zur Effizienz und Effektivität, neben den drei wichtigsten Kriterien Ihrer Informationen: Vertraulichkeit, Verfügbarkeit und Integrität.

Ein Informations-Sicherheits-Management-System sichert somit nicht nur die Vertraulichkeit, Verfügbarkeit und Integrität des wesentlichsten Gutes Ihres Unternehmens, sondern steigert auch die Qualität in Ihrem Unternehmen.
Zudem sichert so ein Sicherheits-Konzept die ordnungsgemäße Nachweisfähigkeit und die Einhaltung von verpflichtenden Anforderungen (Compliance) und kann damit auch ein wesentlicher Bestandteil eines Prozess-Rahmenwerkes wie Cobit sein, dass eben diese Informationskriterien der Effektivität, Effizienz, Vertraulichkeit, Verfügbarkeit, Integrität, Nachweisfähigkeit und Compliance sicherstellt.

"Wir werden nicht angegriffen"

Diese Argumente können nur von Unternehmen stammen, die keine Intrusion Detection Systeme an der Außenseite Ihres Unternehmens installiert haben. Ansonsten wüssten Sie, dass im Internet ständig Systeme nach offenen Ports abgesucht werden.

Die meisten Opfer sind zufällige Opfer.
Wenn Ihr im Internet stehendes System eine bekannte Schwachstelle besitzt, ist die Wahrscheinlich groß, dass Ihr System durch irgendein Script-Kiddie oder berufenen Cracker gescannt und dessen Schwachstelle ausgenutzt wird. Und grundsätzlich kann man sagen, dass es kaum ein System ohne irgendeine Schwachstelle gibt.

Andere Angriffe, wie die Viren Blaster, Sasser, Code Red oder Bagel trafen auch nur zufällige Opfer!

Das Informations-Sicherheits-Management-System geht natürlich über die Sicherheit der IT-Systeme hinaus und betrachtet sämtliche Güter Ihres Unternehmens und deren Risiken.
Der Diebstahl eines Laptops lässt sich eben nicht mit einem Viren-Scanner oder Intrusion Detection System verhindern.

"Der Angreifer ist aber immer einen Schritt voraus"

Über 99% aller Attacken beruhen auf bekannte Schwachstellen oder Konfigurationsfehler.

Hier waren die Angreifer einen Schritt voraus! - Aber warum?
Das Opfer hätte seine Schwachstellen feststellen und abstellen können - in 99% aller Attacken!

Das Ignorieren der Schwachstellen kann nicht hilfreich sein ... eine Schwachstellenanalyse hätte vielleicht 99% der Attacken abwehren können!
Wir können Ihnen einen Schwachstellenscanner für Ihre IT-Systeme oder eine umfassende Schwachstellenanalyse für Ihr Risikomanagement durchführen.

"Wir sind ausreichend geschützt"

Täglich werden neue Schwachstellen entdeckt. Auch Ihr System kann dazu gehören!

Dennoch stehen wir auf dem Standpunkt, dass der Aufwand zur Sicherung des Unternehmens, den Nutzen nicht übersteigen sollte!
Haben Sie ein Informations-Sicherheits-Management-System installiert, werden Sie sicher die notwendigen Maßnahmen bedacht und implementiert haben, um Ihr Unternehmen abzusichern.

Ansonsten muss man je nach Unternehmen an unterschiedliche Maßnahmen denken!
Haben Sie beispielsweise neben einer umfassend betreuten Firewall, ein mindestens täglich aktualisiertes Intrusion Detection System?
Werden Ihre öffentlich angebotenen Systeme regelmäßig zusätzlich auf Schwachstellen gescannt? Vollzieht sich dieser Scan, wenn Sie Benutzerauthentifizierungen durchführen, auch auf die Konfiguration Ihrer Systeme?
Werden Ihre Systeme regelmäßig gepatcht? Werden diese Patches auf sinnhaftigkeit überwacht und vor dem Einsatz überprüft?
Ist Ihr Changemanagement angemessen und bietet eine konstante Archivierung?
....

"Ein Informations-Sicherheits-Management-System ist zu teuer"

Solange nichts passiert, sind Aufwände nicht produktionsfördernd!

Wenn aber etwas passiert, folgen Produktionsausfälle, Imageschäden bei Kunden, Lieferanten oder Konkurrenten, Verstöße gegen Gesetze oder Auflagen, Schadensersatzklagen, Datenverlust und Kosten für die Wiederherstellung der schadhaften Güter des Unternehmens.
Die Kosten werden explodieren und nicht selten zu einem Unternehmensende führen!

Größere Unternehmen sind heutzutage verpflichtet, Ihr Unternehmen durch ein internes Kontrollsystem abzusichern. Ein Informations-Sicherheits-Management-System geht daüber noch hinaus und sichert die Überlebensfähigkeit des internen Kontrollsystems und seiner verwalteten Assets.

Die ISO 27001 sagt genauso wie der IT-Grundschutz deutlich, dass das Informations-Sicherheits-Management-System auch nach kostengesichtspunkten sinnvoll eingeführt werden soll!
Wir zeigen Ihnen wie!

"Bis ein Informations-Sicherheits-Management-System umgesetzt ist, vergeht viel zu viel Zeit"

Natürlich sind Strukturen, ein Risikomanagement und ein internes Kontrollsystem, sowie diverse Dokumentation umzusetzen - es ist eher nicht in vier Wochen umzusetzen!
Wir zeigen Ihnen aber, wie Sie in angemessener Zeit erste Erfolge vorweisen können - und lassen uns auf eine Erfolgsprämie ein!