Hört man den Begriff IT Security, denkt man zuerst an Cyber-Kriminalität und Hackerangriffe. Dabei umfasst der Begriff sehr viel mehr. So spielen z.B. Risikomanagement, IT-Informationssicherheit und IT-Sicherheitsmanagement eine große Rolle.
Es gibt mehr IT-Systeme in einem Unternehmen, als man zunächst denkt. Große Unternehmen bringen es auf dreistellige, Konzerne gar auf vierstellige Zahlen. Jedes dieser Systeme hat einen Nutzen für das Unternehmen und birgt gleichzeitig ein Risiko. Aufgabe der IT-Sicherheitsarchitektur ist es, die unternehmenskritischen Infrastrukturen und Daten angemessen vor Cyber-Bedrohungen zu schützen.
Inhaltsverzeichnis
Ausgangssituation
Aufgabe einer Security Architecture
Ziel der Cyber Security Architecture
IT-Sicherheit und Risikomanagement
Vorgehen bei der Implementierung (implementing security)
1. IST-Situation analysieren
2. IT-Architektur implementieren
3. IT-Architektur durchsetzen und überwachen
4. IT-Sicherheitsarchitektur aktuell halten
5. Auf Vorfälle reagieren
Vorteile einer IT-Sicherheitsarchitektur
Ausgangssituation
Die meisten Unternehmensnetzwerke (networks) bestehen aus den unterschiedlichsten Anwendungen, die nach Bedarf implementiert wurden. Häufig wurden sie dabei nicht oder unzureichend auf die Unternehmensarchitektur (system architecture) abgestimmt. Es kann sogar vorkommen, dass einzelne Systeme gegeneinander arbeiten, ohne dass man es zunächst bemerkt.
Aufgabe einer Security Architecture
Der Job eines Sicherheitsarchitekten ist vergleichbar mit dem eines traditionellen Architekten. Er analysiert die Gegebenheiten vor Ort und nimmt Aspekte wie Bebauungsplan, Grundstückszustand, Klima und Kundenwünsche auf. Aus allem zusammen entwickelt er den Gebäudeplan (die Strategie) als Basis für den Bau.
Auch Sicherheitsarchitekten (security architects) sammeln also zunächst Informationen zum Ist-Zustand und den Anforderungen. Danach entwickeln sie auf Basis der Unternehmensziele, Systemanforderungen und Erwartungen der Mitarbeiter umfassende Sicherheitsstrategien. Diese sind passgenau auf das Unternehmen zugeschnitten, um die kritischen Infrastrukturen und sensiblen Daten (sensitive data) zu schützen. Dazu arbeiten sie mit Führungskräften, Risikomanagern, dem IT-Sicherheitsbeauftragten und anderen Mitarbeitern zusammen.
Ziel der Cyber Security Architecture
Ziel einer IT-Sicherheitsarchitektur ist also, das gesamte Unternehmen vor Sicherheitsrisiken zu schützen. Im besten Fall entstehen Probleme dann erst gar nicht. Sie berücksichtigt von Anfang an verschiedenste Sicherheitsaspekte wie Compliance-Richtlinien und Normanforderungen. Das ist kostengünstiger, als Informationssicherheit nachzurüsten.
Dabei werden die Risiken bewertet und in Schutzklassen eingeteilt. Nicht jede Bedrohung hat die gleichen Auswirkungen auf ein Unternehmen. Die Maßnahmen werden daher auf den Grad des möglichen Schadens abgestimmt.
Ein Sicherheitsarchitekt arbeitet also zusammen mit den IT-Sicherheitsexperten eines Unternehmens eine geeignete und angemessene Verteidigungsstrategie aus.
IT-Sicherheit und Risikomanagement
Im Informationssicherheits-Risikomanagement (ISRM) werden Risiken im Zusammenhang mit der Informationstechnologie betrachtet. Ein ISMS (Informationssicherheits-Managementsystem) zielt besonders darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten zu schützen. Es beinhaltet bestimmte Standards, die einfacher umsetzbar sind, wenn eine durchdachte Sicherheitsarchitektur existiert.
Die Standards erleichtern sicherzugehen, dass alle wichtigen Punkte des IT-Sicherheitsgesetzes beachtet und Informationen aller Art geschützt werden. Sie umfassen nicht nur digitale Daten, sondern auch Akten und externe Datenträger. Außerdem betrachten sie zusätzlich Gefahren wie Wasser- oder Brandschäden, Diebstahl und natürlich Cyber-Kriminalität.
Vorgehen bei der Implementierung (implementing security)
1. IST-Situation analysieren
Eine Sicherheitsarchitektur (security architecture) darf nicht nur einzelne Sicherheitsprobleme (security threats) berücksichtigen. Sie muss in bestimmten Umfeldern auch Compliance-Richtlinien und spezielle Risiken umfassen. In der Industrie 4.0 erhöhen IoT-Anbindungen die Anforderungen.
Deshalb werden zuerst alle beteiligten IT-Systeme, Datenströme und Zusammenhänge dokumentiert. Auch die Anforderungen der Stakeholder werden erfasst. So entsteht ein umfassendes Bild der vorhandenen IT-Landschaft.
Dabei werden auch bestehende Lücken (Gaps) sichtbar, die in der neuen Architektur geschlossen werden können. Eine Referenzarchitektur hilft, die neuen Abläufe auf das eigene Unternehmen anzupassen und zu implementieren.
2. IT-Architektur implementieren
Die Planung muss nun in die Praxis umgesetzt werden. Es werden also konkrete Maßnahmen festgelegt. Nicht alle müssen aber gleich streng sein.
Der Aufwand sollte sich immer daran orientieren, wie schützenswert die jeweiligen Informationen sind. Wichtig ist die Dokumentation der Maßnahmen, die im Laufe der Zeit tiefer ins Detail ausgearbeitet werden kann.
3. IT-Architektur durchsetzen und überwachen
Die Durchsetzung kann nur Erfolg haben, wenn die Dokumente für alle Mitarbeitenden verbindlich gemacht werden. Es gibt immer Prozesse, die von den festgelegten Maßnahmen abweichen müssen. Sie sollten sich trotzdem so eng wie möglich an den Vorgaben orientieren. Außerdem müssen die geänderten Maßnahmen dokumentiert werden.
4. IT-Sicherheitsarchitektur aktuell halten
Neue Technologien oder Änderungen im Unternehmen ziehen Anpassungen der IT-Sicherheitsarchitektur nach sich. Sie ist also kein starres Regelwerk, sondern muss regelmäßig überprüft und geändert werden. Wenn sie richtig gelebt wird, kann sie die Sicherheit effektiv erhöhen und Kräfte bündeln. Dadurch bringt sie Betriebsmittel optimal zum Einsatz.
5. Auf Vorfälle reagieren
Trotz der besten IT-Sicherheitsarchitektur kann es zu Sicherheitsvorfällen kommen. Dann gilt es, die Lage einzuschätzen und geeignete Gegenmaßnahmen zu ergreifen. So lassen sich Schäden begrenzen und weitere vermeiden.
Ist der Vorfall behoben, müssen die bestehenden Schutzmaßnahmen analysiert und ggf. angepasst werden. Gleichzeitig sollte geprüft werden, ob die Meldewege und die Maßnahmen zur Entdeckung funktioniert haben.
Vorteile einer IT-Sicherheitsarchitektur
Die meisten Anwendungen nutzen die gleichen Mechanismen zur Absicherung. Zentrale Sicherheitsstrukturen erleichtern die Verwaltung und sorgen für Transparenz. Hier einige Beispiele
- Authentifizierungs-Infrastruktur zur Steuerung von Zugriffen auf Online-Dienste
- Rollen- und Rechteverwaltung
- Public Key Infrastructure (PKI) zur Verwaltung digitaler Zertifikate und Schlüssel
- Log-Infrastruktur
Mittels Normierung schafft eine IT-Sicherheitsarchitektur Transparenz und klare Verantwortlichkeit. Standardisierte Komponenten können in der IT von vielen Anwendungen einheitlich genutzt werden. Das senkt die Kosten.
Eine gelebte IT-Sicherheitsarchitektur erlaubt es, Komponenten bei Bedarf neu zu ordnen. Gleichzeitig erleichtert sie es, alle zuständigen Stellen schnell über Änderungen zu informieren. Das vereinfacht die Umsetzung neuer Projekte oder die Einarbeitung von Mitarbeitern.
Nicht zuletzt dient eine gut dokumentierte IT-Sicherheitsarchitektur als Nachweis für geregelte Prozesse. Dies ist unter anderem Voraussetzung für eine ISMS-Zertifizierung.
