Das Management der IT-Sicherheit nimmt eine zentrale Rolle im IT-Management ein. Dafür wird hier der Begriff Cyber-Sicherheit verwendet, da dieser für die aktuell hohe Bedrohungslage und die damit verbundene Notwendigkeit umfangreicher Sicherheitsmaßnahmen steht. Als Eckpunkte der Bedeutung lassen sich ausmachen:
- die zunehmende Vernetzung der IT und insbesondere die Vernetzung über das Internet,
- die zunehmenden Fähigkeiten der Angreifer
- und letztendlich auch wieder die sehr hohe Bedeutung der IT für die Gesamt-Organisation.
Aktuelle Bedrohungslage
Die aktuelle Bedrohungslage lässt sich in die allgemeine und die spezielle Bedrohungslagen unterscheiden.
Folgende Angriffsmittel lassen sich in Anlehnung an das BSI unterschieden[1]:
- Spam
- Schadprogramme
- Drive-by-Exploits, Exploit-Kits, Waterholing und Zero-Day-Exploits
- Social Engineering
- Identitätsdiebstahl
- Denial of Service (DoS)
- Botnetze
- Advanced Persistent Threats (APT)
Nicht jede Organisation steht gleichermaßen im Fokus von Angreifern. Diese spezielle Bedrohungslage bezeichnet man auch als Cyber-Sicherheits-Exposition[2]. Zu deren Bestimmung veröffentlicht das BSI ein Vorgehen, das im Ergebnis eine geringe, mittlere oder hohe Gefährdungslage feststellt und dazu eine Reihe von Charakteristika analysiert:[3]
- Den Wert von gefährdeten Informationen für die Organisation.
- Die Attraktivität für Angreifer, Informationen zu stehlen, zu manipulieren oder zu löschen.
- Potenzielle Typen von Angreifern, von motivierten Einzelpersonen, über Kriminelle bis zu Nachrichtendiensten.
- Die wahrscheinliche Art von Angriffen: eher zufällig beteiligt bei Flächenangriffen oder gezielt im Fokus eines APT.
- Vergangene Angriffe und deren Erfolg.
Basis-Gegenmaßnahmen
In Reaktion auf die skizzierte Bedrohungslage müssen in jeder Organisation zumindest einige Basis-Gegenmaßnahmen zum Einsatz kommen:[4]
-
- Bewusstsein
- Aktuelle Systeme / Patch Management
- Aktuelle Virenscanner
- Starke Passwörter
- Verschlüsselung
- Berücksichtigung von mobiler und eingebetteter ITBSI-Grundschutz-Kompendium
BSI-Grundschutz-Kompendium
Die vom BSI herausgegebenen Grundschutz-Kompendium (kurz: IT-Grundschutz) ersetzt die bisherigen, weitverbreiteten Grundschutz-Kataloge. Der IT-Grundschutz enthält eine kohärente[5] Vorgehensweise zur Etablierung von Sicherheitsmaßnahmen für eine typische IT mit einem normalen Schutzbedarf.[6] Das bedeutet, dass normalerweise Anpassungen und Ergänzungen notwendig sind, der IT-Grundschutz jedoch für die meisten Organisationen eine erprobte und laufend aktualisierte Vorgehensweise liefert, die im Zusammenspiel mit der ISO 27001 auch zertifizierbar ist.
Security-by-Design
Der IT-Grundschutz beschreibt eine explizite Vorgehensweise zur Einrichtung und Durchführung des IT-Sicherheitsmanagements. Diese muss durch das sogenannte Security-by-Design als implizite und durchgängige Beachtung von sicherheitsrelevanten Aspekten ergänzt werden.
IT-Forensik
Als IT-Forensik bezeichnet man ganz allgemein die Spurensuche in elektronischen Daten. Da der Begriff Forensik aus der Kriminalistik stammt, geht es auch bei der IT-Forensik meist um die Aufklärung von vermuteten kriminellen oder zumindest unerwünschten Vorgängen.
Privatsphäre
Das Thema IT-Forensik zeigt die kriminaltechnische Sichtweise auf die Cyber-Sicherheit und macht dadurch deutlich, dass man es zumindest teilweise mit wirklichen Verbrechen zu tun hat. Aber auch völlig legal werden Anwender ausgespäht.
Cyber-Sicherheits-Forschung
Sicherheit ist mittlerweile ein wichtiges Produktmerkmal und kann somit Marktinnovationen und Wettbewerbsvorteile eröffnen − aber auch Organisationen, die Sicherheit nicht zu ihrem Geschäft zählen, sind durch die aktuelle Bedrohungslage gezwungen, in Punkto Sicherheit ein hochaktuelles Wissen aufzubauen.