IT-Sicherheit: Integriert statt isoliert

0

IT-Sicherheit ist ein großes, erst einmal kaum greifbares, weil abstraktes Thema für eine Organisation. Es ist in der heutigen Post-Snowden-Ära von unschätzbarem Wert, sodass von Anfang an alles richtig gemacht werden soll – nein muss! Doch wo nur anfangen? Mit einem passenden ISMS gibt es eine strukturierte Lösung in wenigen Schritten. Frei nach dem Sinnbild: “Einmal ran, alles dran.”

Sensibilisierung für IT-Sicherheit

Um sich dem Thema IT-Sicherheit erst einmal zu nähern, ist einiges an Fachwissen nötig. Das gilt für alle Beteiligten, denn Informationstechnologie kennt in einer Organisation bekanntlich keine Grenzen. So sind Geschäftsführung, Entscheider, Mitarbeiter aus der IT und aus den Fachabteilungen und so weiter an einen Tisch zu bringen, um eine gemeinsame Basis zu schaffen, die alle mittragen können. Und auch müssen, denn eine funktionierende IT-Sicherheit ist in der heutigen Post-Snowden-Ära von unschätzbarem Wert.

Es geht demnach um die Sensibilisierung für ein Thema, dass allzu gern unterschätzt oder eher als Einzeldisziplin statt interdisziplinär angesehen wird. IT ist integraler Bestandteil in allen Organisationsbereichen. Deren Sicherheit zu gewährleisten ist schlicht ein Muss, um die IT lauffähig und zukunftsorientiert zu gestalten. Keine Frage: Sicherlich gibt es bei der Mehrheit der Organisationen bereits Richtlinien und Anweisungen, die von den Mitarbeitern in einer IT-Abteilung umgesetzt werden müssen: Virenscanner, abgeschottete Netzwerke, ausreichend lange und komplizierte Passwörter … alles nichts Neues. Was allerdings für viele Organisationen neu ist, ist die Tatsache, dass eine ganzheitliche Strukturierung die Sicherheit in der IT auf ein viel höheres Niveau hebt. Das ist kein Selbstzweck, sondern in vielen Bereichen von Vorteil.

Die berechtigte Frage lautet: Wie sieht diese Strukturierung aus? Nun gibt es am Markt einige etablierte Standards und Frameworks, die ebendiese Strukturierung fördern. Genannt seien die ISO/IEC 27000-Reihe als internationaler Standard, der im deutschsprachigen Raum anzutreffende IT-Grundschutz, branchenspezifische Werke für Finanzdienstleistungen, Automobilbranche etc. Auch hier wirkt das Angebot erst einmal unübersichtlich. Es geht noch weiter: Dazu gesellen sich Frameworks aus dem IT Service Management (ITSM), woraus sich starke Überscheidungen ergeben. Allem voran ist die IT Infratructure Library (ITIL) zu nennen. Allen gemein ist mehr oder minder der Top-Down-Ansatz: Auf Management-Ebene werden Richtlinien erlassen, die von niedrigen Hierarchiestufen umzusetzen sind. Das ist in kleinen bis mittelständischen Unternehmen wenig praktikabel, weil flache Hierarchien und schnelle Umsetzungen von Vorgaben gegen diesen Ansatz sprechen. Solche Standards und Frameworks wirken eher hinderlich, als dass sich ein konkreter Nutzen ergibt. Positiv sticht hier IT-Grundschutz heraus: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont in den enthaltenen Standards, dass IT-Grundschutz grundsätzlich einen Bottom-Up-Ansatz verfolgt. In diesem Artikel wird jener Ansatz aufgegriffen und fortgeführt.

In 4 Schritten zur ganzheitlichen IT-Sicherheit

Bereits im Titel des BSI-Standard 100-1 “Managementsysteme für Informationssicherheit (ISMS)” ist von einem ISMS die Rede, was für IT Security Management System steht. Solch ein System ist keine einzelne Software, sondern eine Kombination aus Komponenten, die eben ein System ergeben. Ein ISMS ist dafür geeignet, die Sicherheit in der IT transparent offenzulegen, und es bietet Lösungswege, die Sicherheit Schritt für Schritt auf ein gehobenes Fundament zu stellen. Das BSI schlägt dazu vor, den PDCA-Zyklus zu verwenden (Plan, Do, Check, Act). Der Zyklus wird iterativ durchlaufen, d. h., nach “Act” folgt wieder “Plan”. In diesem Zusammenhang ebenfalls erwähnenswert ist Six Sigma mit Define, Measure, Analyze, Improve, Control (DMAIC), worauf in diesem Artikel nicht weiter eingehen wird. Stattdessen konzentriert er sich auf das operative Geschäft und beschreibt 4 Schritte, eine ganzheitliche Betrachtungsweise in der IT-Sicherheit zu etablieren. Zur Diskussion stehen vier Glieder in einer Prozesskette, die nötig sind, ein ISMS aufzubauen:

  • Erfassen – die Organisations-IT wird erschlossen
  • Dokumentieren – die IT wird transparent gemacht
  • Integrieren – die IT wird im Kontext der IT-Sicherheit beleuchtet
  • Wiederverwenden – die zur Verfügung stehenden Informationen werden für weitere Bereiche wie Monitoring, Help Desk, Auditierung und für Fachabteilungen wiederverwendet und in einen neuen Kontext gesetzt

Die Prozesskette ist iterativ zu verstehen, d. h., nach Schritt 4 folgt wieder Schritt 1. Auf diese Weise werden Änderungen (von außen) berücksichtigt und bestehende Informationen (von innen) verbessert. Der zentrale Schritt ist die Dokumentation: “Man sieht nur, was man weiß,” lautet eine Erkenntnis des Johann Wolfgang von Goethe. Auf IT-Sicherheit übertragen heißt es soviel wie: IT-Sicherheit steht und fällt mit der Qualität der IT-Dokumentation. Hierauf ist demnach besondere Aufmerksamkeit zu schenken.

Konkretisiert wird dieser theoretische Ansatz, wenn man sich anschaut, welche Tools dahinter den jeweiligen Schritten stehen können:

  • Discovery und Inventory Tools wie OCS Inventory NG oder JDisc scannen ganze Netzwerke und sammeln Informationen sowie Zusammenhänge zu allen Komponenten, die sie finden können.
  • Aufbereitet und durch zusätzliche Informationen ergänzt werden diese Informationen in einem IT-Dokumentations-Tool wie i-doit. Weitere Beziehungen wie IT Services, Rollenzuweisungen und physische Standorte werden dort gepflegt. Die Intention einer Configuration Management Database (CMDB) findet hier ihren Platz.
  • Weitere Schritte aus dem Bereich IT-Grundschutz (Schutzbedarfsfeststellung, Zuordnung von in Bausteinen enthaltenen Gefährdungen und Maßnahmen, Risikoanalyse) werden durch das VIVA-Modul für i-doit abdeckt.
  • i-doit als IT-Dokumentation und VIVA interagieren mit weiteren Tools wie Nagios (Monitoring) und OTRS (Help Desk). Informationen werden sinnvoll wiederverwendet.

Diese Prozesskette bietet wesentliche Vorteile. Wird das das bekannte “magische Dreieck” betrachtet, bestehend aus den Größen Qualität, Zeit und Kosten, sind in typischen IT-Projekten maximal zwei daraus zu wählen. Die dritte Größe bleibt unerreichbar. Diesem Umstand wird mit einer schlanken Lösung aus einigen wenigen Tools begegnet, die an eine Organisation angepasst und perfekt aufeinander abgestimmt sind. Es werden dadurch die wesentlichen Aspekte aus den Bereichen ITSM und ISMS abgedeckt, die für kleine bis mittelständische Organisationen wichtig sind. Durch die Integration wesentlicher Informationen und die Wiederverwendung ebendieser Informationen in anderen Kontexten ergibt sich eine ganzheitliche IT-Sicherheit. Selbst die Einbettung in ITIL & Co. steht dem nicht im Wege.

Das “magische Dreieck”, bestehend aus Zeit, Kosten und Qualität

Das “magische Dreieck”, bestehend aus Zeit, Kosten und Qualität

Integration durch i-doit VIVA

Ein ISMS auf Basis einiger aufeinander abgestimmter Tools soll vor allem diejenigen begleiten, die tagtäglich mit dieser Materie zu tun haben und für die Umsetzung verantwortlich sind: die Admins. Eine Software als Werkzeug wird erst dadurch nützlich, wenn sie effektiv und effizient zum Einsatz kommt. Pflegt ein Admin die zu betreuende IT mit den richtigen Werkzeugen auf die richtige Art und Weise, folgt eine spürbare Arbeitserleichterung auf der einen Seite und eine Steigerung der Qualität auf der anderen Seite. Der Admin spart Zeit und somit Kosten. Das Dreieck wird dementsprechend ausgefüllt, ohne einen Winkel zu vernachlässigen.

Verdeutlicht wird dies an einem Gegenbeispiel: Eine Person wird als Chief Information Security Officer (CISO) damit betreut, die IT-Sicherheit in einer Organisation auditierbar zu machen. Dazu lässt sie sich beispielsweise Informationen geben, welche Server welche Services erbringen, um daraus Gefährdungen für diese Komponenten zu identifizieren und Handlungsanweisungen abzuleiten. Dazu benötigt der CISO eine gewisse Zeit, in der die IT-Abteilung natürlich nicht untätig bleibt und neue Komponenten hinzufügt, alte austauscht oder erweitert. IT-Sicherheit wird an dieser Stelle zum Katz-und-Maus-Spiel. Selbst wenn der CISO letztendlich eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz erreicht, wird das Zertifikat an der Wand vor dessen Ablauf zur Makulatur. Es zeigt sich, dass solche Insellösungen, die viele andere Tools am Markt vertreten, in der täglichen Arbeit schnell an ihre Grenzen stoßen. Deswegen: Es gilt, kontinuierlich und zentral Daten zu erheben sowie zu verarbeiten. Es entsteht eine dynamische Datenklammer, die jede Veränderung nahtlos erfasst und weitergibt.

Logo von i-doit

Logo von i-doit

Das VIVA-Modul für i-doit bietet darüber hinaus einige Automatismen, die weiterhin Zeit sparen und (menschliche) Fehler versuchen zu minimieren: Zum Einen sorgen Assistenten dafür, die Daten aus der IT-Dokumentation für IT-Grundschutz aufzubereiten. Die IT-Grundschutz-Schichten, angefangen bei Anwendungen, über Systeme und Netze, hin zu Infrastrukturen, werden mit sinnvollen Vorschlägen befüllt. Die Vererbung des Schutzbedarfs wird ebenfalls assistiert. Zum Anderen bieten Reports eine kontinuierliche Analyse der Datenqualität. Die Strukturanalyse wird quasi zum Kinderspiel.

Mit dem VIVA-Modul verfolgt der Hersteller synetics aus Düsseldorf eine enge Kooperation mit Partnern und Anwendern: Da i-doit aus dem Open-Source-Umfeld stammt, schien es nur konsequent, den Community-Gedanken auch auf VIVA zu übertragen. Die Nähe zur Praxis schafft bei diesem vergleichsweise noch jungen Modul sowohl Spielraum zur Mitgestaltung, als auch Vertrauen – ein Grundwert der IT-Sicherheit.

Fazit

Das Niveau in der IT-Sicherheit anzuheben, ist und bleibt in der IT eine Herausforderung. Während Qualität auf der einen, Zeit und Kosten auf der anderen Seiten stehen, gilt es, den Aufwand zu minimieren, aber trotzdem den “Pfad der Tugend” nicht zu verlassen. Ein ISMS ist das Werkzeug der Wahl. Wenn dieses Werkzeug auch noch schlank und gut integriert ist, hat der Admin praktisch schon gewonnen – nämlich einen Zugewinn an Sicherheit.

Benjamin Heisig ist Software Engineer bei der synetics GmbH aus Düsseldorf. Sein Steckenpferd dort ist derzeit das VIVA-Modul für i-doit. Darüber hinaus begleitet er die smartITSM-Initiative, die sich für schlanke ITSM-Lösungen einsetzt. Sie finden synetics auf der CeBIT 2014 vom 10. bis 14. März im Open Source Park, Halle 6, Block E16, Stand 311.

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“

Share.

Eine Antwort verfassen