Vergleich Informationssicherheit und Security Compliance

Informationssicherheit vs. Security Compliance

Security Compliance. Mit der Verbreitung der Informationstechnologie und der immer weiter voranschreitenen Vernetzung und Digitalisierung, haben sich auch immer weiter die Anforderungen an die IT-Sicherheit und Informationssicherheit erhöht.  Warum wir nicht mehr nur von IT-Sicherheit oder Informationssicherheit sprechen können, sondern in Zukunft von Security Compliance reden sollten, soll mit Hilfe einer geschichtlichen Einordnung des Themas und der Beschreibung der Aufgaben der IT-Sicherheit und Informationssicherheit erklärt werden.

1. Vorwort

Täglich hören wir in den Medien von neuen IT Sicherheitsproblemen, Hacker- und Cyberangriffen oder Datendiebstahl. Wir werden immer abhängiger von vernetzten Systemen. Diese Vernetzung und somit die Komplexität des Themas Sicherheit werden in Zukunft immer weiter zunehmen. Somit muss auch der Anspruch an die Sicherheit und den Datenschutz steigen. Wie sich dieser Anspruch historisch entwickelt hat und wie er sich in Zukunft entwickeln wird, soll ein wenig dieser Artikel beleuchten. Ich hoffe, er zeigt auch ein wenig auf, dass Firmen das Thema Sicherheit noch ernster nehmen müssen und nicht nur pro Forma umsetzen sollten.  Wer sich jetzt richtig ausrichtet und Sicherheit wirklich als Unternehmensstrategie umsetzt, legt ein sicheres Fundament für die Zukunft. Diese Zukunft könnte die Security Compliance sein.

2. Erste Herausforderungen der Computersicherheit

Früher war anscheinend noch alles einfacher. In der Elektronischen Datenverarbeitung (EDV) ging es damals darum, komplexe mathematische Operationen oder logische Aufgaben zu lösen. Hierfür standen große Rechenmaschinen und später Großrechner zur Verfügung. Diese standen in abgegrenzten Rechenzentren (RZ) und wurden durch Rechenzentren Operatoren verwaltet. Wer große Datenmengen berechnen musste, buchte Rechenkapazität beim RZ Operator. Der Operator bestimmte den Zeitpunkt der Berechnung und stellte dafür eine gewisse Rechenkapazität zur Verfügung. Das Ergebnis der Berechnung wurde dem Mitarbeiter ausgedruckt zur Verfügung gestellt.

Hier ist das Risiko für die Sicherheit noch nicht wirklich relevant. Der Kreis der Personen, die Zugriff auf die Rechner und Daten hatten, war klar definiert. Der Zugriff auf die Großrechner konnte nur von klar definierten Terminals stattfinden, die meist auch im geschützten Rechenzentrum standen. Die Daten für die Berechnung mussten meist persönlich übergeben werden. Aber bereits hier kam die Problematik des Datenschutzes auf. Wie musste der Umgang mit klassifizierten und vertraulichen Daten geregelt werden und wie konnten diese vor Manipulation geschützt werden?

Mit der weiteren Zunahme von „Remote Terminals“ und der damit dezentralen zur Verfügung-Stellung und elektronischen Übermittlung von Daten tauchte ein weiteres Problem auf. Das Problem der Identifizierung, Authentifizierung und Autorisierung des Benutzers. Es musste sichergestellt werden, dass derjenige am Terminal berechtigt ist, relevante Daten zu übermitteln und die berechneten Ergebnisse einzusehen. Ein Dokument (1) des amerikanischen “National Institutes of Standards and Technology” (NIST) von 1970 erklärt bereits diese Problematik. Es zeigt auch auf erschreckende Weise, dass grundlegende Standards zur Informationssicherheit bereits in den 70er Jahren definiert wurden und heutzutage immer noch nicht verstanden oder eingehalten werden.

Das Aufkommen von Personal Computern und der damit verbundenen Steigerung der dezentralen Rechenkapazität machte mehr und mehr die zentrale Berechnung durch Großrechner überflüssig. Die Herausforderung wurde, die dezentral erzeugten Daten und damit generierten Informationen, zentral zu speichern und auffindbar zu machen. Der Begriff elektronische Datenverarbeitung (EDV) wechselte zum Begriff der Informationstechnologie (IT), Rechenzentren wurden zu Data Center (DC) und Großrechner zu Servern.

Mit der Zunahme an gespeicherten Daten und der damit verbundenen Bedeutung von Informationen, bestand der Wunsch auf diese Informationen auch dezentral und von überall zuzugreifen. Die allgemeine Datenvernetzung in Unternehmen begann und führte zur Entwicklung des Internets als globaler und primärer Informationslieferant.

Dies erhöhte aber auch das allgemeine Risiko und resultierte in erhöhten Anforderungen an die Sicherheit und den Datenschutz, um Informationen zu schützen. Die Verwaltung und Speicherung von Informationen und der Zugriff auf diese konnte nicht mehr von „Rechenzentren Operatoren“ durchgeführt werden. Daher änderte sich die Aufgabe eines Operators hinzu einem Administrator. Die Aufgaben eines Administrators sind, Möglichkeiten zur Verfügung zu stellen, Informationen zu speichern, zu verarbeiten und den Zugriff auf diese zu ermöglichen.

3. Entstehung der IT-Sicherheit

Mit der immer weiteren Vernetzung und Digitalisierung in den Unternehmen fielen auch immer weiter die logischen Grenzen für den Zugriff auf zur Verfügung gestellte Ressourcen, Informationen und der IT Infrastruktur. Es gab z.B. keine klare Abgrenzung mehr zwischen Zugriffen von Computern des Administrators oder des Anwenders. Eine Trennung und somit Überprüfung auf berechtigten Zugriff konnte meist nur mit Hilfe des Benutzernamens und des Benutzerpasswortes erfolgen. Mit der Etablierung von Routern (und des TCP/IP Protokolls) in Unternehmensnetzwerken konnte eine logische Funktionstrennung der IT Systeme vorgenommen und somit der Zugriff auf Computerebene immer detaillierter geregelt werden.

Mit dem Aufkommen von Switchen und den Möglichkeiten von VLANs (Virtual Local Area Network) konnten Systeme immer granularer voneinander getrennt und segmentiert werden. Mit den Möglichkeiten von Daten-Paketfiltern auf den Routern war es nicht nur möglich Computersysteme logisch voneinander zu trennen, sondern auch den Zugriff auf Applikationen und Anwendungen zu steuern und zu kontrollieren.

Die immer weiterreichenden Anwendungen von Routern und Paketfiltern führte zur Entwicklung von Firewalls. Neben deren Spezialisierung auf die Segmentierung von Computernetzwerken und der Steuerung von Zugriffen konnten diese durch zusätzliche Logik auch Anomalien im Datenverkehr erkennen und blockieren.

Durch die immer weitere Verbreitung und zunehmende Relevanz des Internets nahm nicht nur die Vernetzung innerhalb der Unternehmen zu. Firmen mussten immer öfter den Zugriff auf Informationen im Internet ermöglichen und später selber Informationen bereitstellen und Dienste anbieten.

Dadurch verschwamm die Trennung zwischen dem eigenen, abgesicherten und vom Rest der Welt getrennten Unternehmensnetzwerk. Ressourcen und Infrastruktur konnten nicht mehr nur von den eigenen Mitarbeitern genutzt werden. Teile des Netzwerkes, der Server und der Unternehmenskapazitäten musste auch für den undefinierten „Rest der Welt“ zur Verfügung gestellt werden. Somit konnte theoretisch jeder definierte Ressourcen im Unternehmen nutzen. Dies führte zu einem erhöhten Risiko, Schutzbedarf und zu komplexeren Sicherheitsmaßnahmen für die eigene Unternehmensinfrastruktur, da Zugriffe nicht mehr einfach einem bestimmten Mitarbeiter oder Anwender zugeordnet werden konnten.

4. Aufgaben der IT-Sicherheit

Mit der immer größeren Komplexität der Zugriffssteuerung und Absicherung der IT Infrastruktur nahmen auch die Anforderungen an den Administrator zu. Dieser ist nun nicht mehr nur für die Bereitstellung von Systemen und Infrastruktur verantwortlich, um den Zugriff auf Informationen zu ermöglichen. Seine Verantwortung liegt ebenso in der Sicherstellung und Überwachung des korrekten Zugriffs auf die Ressourcen und Informationen im Unternehmen und in der allgemeinen Absicherung der IT Infrastruktur. Dies führte zu einer immer weiteren Spezialisierung der Administratoren hinzu Spezialisten und zur Etablierung von IT Security Teams, wie Security Operations Center (SOC), Cyber Security Incident Response Teams (CSIRT) oder Computer Emergency Response Teams (CERT), etc. Zusätzlich zu den technischen Spezialisten (z.B. Security Engineer oder Security Architect), die verantwortlich für die Administration und Etablierung der im Unternehmen eingesetzten Sicherheitsinfrastruktur zuständig sind (z.B. Firewalls, Intrusion Detection/Prevention, Virenscanner, Spamfilter, etc.) haben sich auch andere Berufszweige entwickelt. Der Security Manager oder Security Operations Manager ist für die allgemeine Koordination des gesamten Security Teams zuständig und dient als Schnittstelle zur allgemeinen IT Organisation und zum Verantwortlichen für Informationssicherheit (meist CSO oder CISO). Der Security Analyst überwacht die Infrastruktur und Systeme auf unbefugte Zugriffe oder Veränderungen. Außerdem analysiert und reagiert er auf mögliche Cyberattacken und versucht diese aktiv und proaktiv abzuwehren oder im schlimmsten Fall die Auswirkungen zu beheben.

Die immer weiter steigende Anforderung an die IT Sicherheit und zur Absicherung der IT Infrastruktur führte zu der Erkenntnis, dass die Infrastruktur zwar die Daten und Informationen vor unberechtigten Zugriff schützen soll, aber auch das Informationen nicht nur auf technische Art geschützt werden müssen. Zudem besteht der hauptsächliche Wert eines Unternehmens heutzutage nicht in seiner Infrastruktur oder seinen erzeugten Produkten, sondern in seinen gespeicherten Daten und seinen generierten Informationen. Diese Informationen müssen nicht nur vor unbefugtem Zugriff auf technischen Niveau geschützt werden, sondern ebenso bei befugtem Zugriff auf organisatorischem Level.

5. Anforderungen und Aufgaben der Informationssicherheit

Die Erkenntnis, dass primär die Information neben der Infrastruktur geschützt werden muss, führte auch zu einem organisatorischen Umdenken über die Unternehmenssicherheit. Der Einsatz von Computer-Technologie und der Vernetzung und Digitalisierung war nicht mehr nur ein reines Thema der IT. Da alle Bereiche eines Unternehmens von der Informationstechnologie und somit von IT gesteuerten Prozessen und Informationen abhängig sind, musste auch eine Kontrollinstanz geschaffen werden, die einen übergeordneten Blick über die Sicherheit der gesamten Unternehmensprozesse hat. Um die Wichtigkeit dieser Aufgabe hervorzuheben und um den Verantwortlichen der Informationssicherheit eine gewisse Weisungsbefugnis zu erteilen, ist der Bereich der Informationssicherheit auch meist an die Geschäftsführung eines Unternehmens angegliedert.

Die Aufgabe der Informationssicherheit oder des Informationssicherheitsbeauftragten (meist auch CSO oder CISO) in Person ist es in erster Linie, den Wert einer Information und das damit verbundene Unternehmensrisiko bei Verlust oder Manipulation dieser Daten zu bestimmen. Je nach Höhe des Risikos werden Schutzmaßnahmen (Security Controls) nach den Schutzzielen der Informationssicherheit entwickelt und durch die IT oder einem anderen Unternehmensbereich umgesetzt. Diese Schutzziele lauten: Vertraulichkeit, Verfügbarkeit und Integrität.
Der CISO überwacht und dokumentiert hierfür regelmäßig die Umsetzung der definierten Schutzmaßnahmen und protokolliert Abweichungen.

Die Schutzziele der Vertraulichkeit und Integrität werden heutzutage durch diverse Authentifizierungsmaßnahmen und durch Verschlüsselungsverfahren erreicht. Verfügbarkeit wird mit Hilfe von Backups und der Herstellung von Redundanzen gewährleistet. Hierzu wird auch oft ein Business Continuity Management etabliert.

6. Warum nun Security Compliance

Die Vernetzung und Digitalisierung nimmt immer weiter zu. Bereits heute ist nahezu jeder Unternehmensprozess von vernetzten IT Systemen abhängig. Auch Bereiche, die heute zwar vernetzt sind, aber noch nicht stark genug auf IT Prozesse setzen, möchten von der Digitalisierung profitieren. Dies wird zuletzt durch die Themen Industrie 4.0 im Produktionsbereich oder dem Internet of Things (IoT) deutlich. Alle Wirtschaftsbereiche möchten aus Ihren generierten Daten immer mehr Informationen erzeugen, Erkenntnisse gewinnen und daraus Services entwickeln. Dies führt dazu, dass die Anforderungen an die IT und an die Informationssicherheit immer weiter steigen. Daten werden nicht mehr nur von IT Systemen, sondern ebenfalls von Systemen außerhalb des Kompetenzbereiches der IT erzeugt. Auf Grund der Komplexität der Themen und der mangelnden Fachkenntnis kann die IT diesen Ansprüchen nicht mehr gerecht werden. Bereits jetzt ist die IT mit vielen Unternehmensansprüchen und der Geschwindigkeit des digitalen Wandels überfordert. Sollte eine Unternehmens-IT proaktiv Dienste und Services zur Verfügung stellen und das Unternehmenswachstum unterstützen, verkommt sie auf Grund der zunehmenden Anforderungen immer mehr zur reaktiven Instanz. Dies führt dazu, das notwendige IT Projekte nicht in einer annehmbaren Zeit umgesetzt werden können.

Durch die zudem immer weiter steigende Affinität fachfremder Personen zur IT fühlen sich Abteilungen immer mehr in der Lage dazu, IT Projekte selber zu stemmen oder suchen sich eigene, externe IT Dienstleister. Dies erhöht die Bildung von „Schatten-IT“ und erhöht somit das Unternehmensrisiko exponentiell. Durch die weitere Akzeptanz von Cloud-Diensten und der somit immer einfacheren und günstigeren Bereitstellung von Diensten durch spezialisierte Dienstleister wird dieses Phänomen ebenfalls verstärkt.

Das Thema der Informationssicherheit und der Unternehmenssicherheit kann somit in Zukunft kein reines IT Thema bleiben. Es muss einen allumfassenden Blick auf alle sicherheitsrelevanten Themen eines Unternehmens geben. Außerdem braucht es eine übergeordnete Kontrollinstanz, die die Kompetenz besitzt, auch Sicherheitsthemen außerhalb der Informationssicherheit zu verstehen und somit Richtlinien zu entwickeln und diese zu kontrollieren.

Durch die immer weiterreichende Vernetzung von Geräten und dem Wunsch Daten zu sammeln, steigen auch die Anforderungen an den Datenschutz. Datenschutzbeauftragte sind meist keine technischen Spezialisten und müssen durch Fachkompetente Gremien und Instanzen beraten und unterstützt werden. Eine übergeordnete Abteilung in Form eines Security Compliance Teams kann dies effektiv leisten, da sie eine Übersicht der Sicherheit aller kritischen Unternehmensprozesse besitzt und eine Spezialisierung auf alle zukünftigen Themengebiete hat.

7. Zukünftige Herausforderungen an die Security Compliance

Die beschriebene Entwicklung in der Vernetzung und Digitalisierung zeigt, dass wir in Zukunft einen übergeordneten Blick auf die Sicherheit im Allgemeinen brauchen. Das Thema Sicherheit betrifft nicht mehr nur die IT Systeme, sondern verstärkt alle Bereiche in unserem Leben. Wir befinden uns zurzeit in einem massiven Umbruch. Nicht nur technologisch, sondern auch gesellschaftlich. Daher ist es notwendig, das Thema Sicherheit und Datenschutz, von einem erhöhten Anspruch und einer erhöhten Perspektive zu sehen.

Die Aufgaben eines CSO oder CISO werden nicht mehr nur von der Informationssicherheit bestimmt. Der CSO wird eine übergeordnete Rolle spielen müssen und unter sich alle sicherheitsrelevanten Bereiche, wie Informationssicherheit, Produktionssicherheit, Industriesicherheit, Gebäudesicherheit usw. vereinen. Jeder Bereich muss für sein Spezialgebiet Sicherheitsrichtlinien entwickeln und diese auf Umsetzung und Einhaltung kontrollieren. Jeder Verstoß wird in Zukunft immer gravierendere Auswirkungen haben, sollten nicht vorhandene Schutzmaßnahmen durch kriminelle oder staatliche Organisationen ausgenutzt werden.

In Zukunft werden immer weitere Themen hinzukommen und die Anforderungen an die Security Compliance und die Komplexität erhöhen. Z.B durch das autonome Fahrzeug und das autonome Fahren müssen auch Autos miteinander vernetzt werden. Diese benötigen zudem vernetzte Verkehrsleitsysteme. Somit könnte die Aufgabe der Fahrzeugsicherheit und Verkehrssicherheit auch ein wichtiges Thema der Security Compliance werden.

Unternehmen und Behörden, die sich jetzt auf diese Zukunft ausrichten, werden es in Zukunft einfacher haben, am Markt zu bestehen und neue Geschäftsmodelle und Prozesse schneller, effizienter und sicherer zu etablieren.

Ähnliche Beiträge

No results found

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü