Sicherheits- und Notfallmanagement aufbauen und optimieren Annähernd lückenlose Sicherheit

IT-BUSINESS / Das Interview führte Katrin Hofmann |

Anbieter zum Thema

Der im November startende zweitägige „BSI-Campus 2013“ der Vogel IT-Akademie vermittelt die Vorgehensweise, Sicherheit konform zu den BSI-Grundschutzkatalogen und den BSI-Standards BSI 100-1 bis 100-4 umzusetzen. Unsere Schwesterzeitung IT-BUSINESS sprach darüber mit dem Referenten und IT-Sicherheitsexperten Dr. Markus a Campo.

Dr. Markus a Campo, Trainer und von der IHK vereidigter Sachverständiger für IT-Sicherheitsthemen
Dr. Markus a Campo, Trainer und von der IHK vereidigter Sachverständiger für IT-Sicherheitsthemen
(Dr. Markus a Campo)

Erörtert wurde im Gespräch auch, weshalb das Sicherheits- und Notfallmanagement auch für Organisationen und Verwaltungen wesentlich sind, welche Konsequenzen ein unausgereiftes Sicherheitsmanagement haben kann und wo es am häufigsten Defizite gibt.

ITB: Sie referieren am ersten Seminartag des BSI Campus 2013 über die BSI-Grundschutzkataloge und die Standards BSI 100-1 bis -3. Warum ist eine Ausrichtung an diesen wesentlich?

Campo: Mittlerweile gibt es für Firmen und Behörden zahlreiche Gesetze und Richtlinien, die sich unter dem Stichwort „Compliance“ zusammenfassen lassen. Darunter fallen nicht nur Anforderungen an den Datenschutz, sondern auch die Verpflichtung des Managements zum Risikomanagement- und -controlling. Die Erfüllung dieser Vorgaben erfordert eine intensive Beschäftigung mit dem Thema „Informationssicherheit“. Es ist sinnvoll und spart Zeit als auch Geld, wenn man sich hier an etablierten Standards vom BSI orientiert.

ITB: Wie helfen die Standards konkret, die Informationssicherheit herzustellen?

Campo: Die BSI-Standards behandeln alle Aspekte der Informationssicherheit, angefangen von einer Organisationsstruktur für Informationssicherheit über ­Risikoanalysen bis hin zum Einsatz der BSI-Grundschutzkataloge. In den Grundschutzkatalogen werden ganz konkrete Vorgaben gemacht, wie beispielsweise ein Windows-Server abzusichern ist oder eine Strategie zum Virenschutz entwickelt und umgesetzt wird.

ITB: Was sind die Folgen, wenn das Sicherheitsmanagement von Organisationen unausgereift ist?

Campo: Ein schlechtes Sicherheitsmanagement hat immer zur Folge, dass Sicherheitslücken aufreißen. Diese eröffnen Möglichkeiten, die Informationssicherheit zu beschädigen, indem etwa Daten ausgespäht oder Trojaner in das Netzwerk eingeschleust werden. Ein gutes Sicherheitsmanagement begreift die Informationssicherheit als einen Prozess der ständigen Überprüfung und Verbesserung. Wie die Praxis zeigt, entstehen ohne diese dynamische Vorgehensweise früher oder später immer Sicherheitslücken mit oft fatalen Folgen.

ITB: Aus Ihrer Erfahrung als vereidigter IT-Sicherheits-Sachverständiger: Wo gibt es am häufigsten Defizite?

Campo: Häufige Probleme entstehen beim Patch-Management. Besonders schwierig wird es bei Java, PDF-Readern oder Flash-Playern, deren Updates sich nicht so leicht automatisch verteilen lassen. Deshalb entsteht hier das größte Angriffspotenzial, etwa durch Client-Site-Attacks über manipulierte PDF-Dateien. Eine andere Baustelle ist in vielen Firmen und Behörden die Frage nach der Verantwortung des Benutzers. Nur mit Technik und organisatorischen Vorgaben lässt sich heutzutage keine wirkliche Sicherheit mehr erzielen. Eine ganzheitliche Betrachtung ist nötig, zu der die BSI-Standards wertvolle Anregungen liefern.

ITB: Wie ist mit Restrisiken umzugehen?

Campo: Restrisiken kann man ignorieren, sich dagegen versichern oder aber mit geeigneten Maßnahmen weiter verkleinern. Welche dieser Möglichkeiten genutzt werden soll, ist im Einzelfall oft schwierig zu entscheiden. Werden zu große Risiken getragen, entsteht im Ernstfall vielleicht ein Organisationsverschulden. Versucht man aber, alle denkbaren Risiken zu verhindern, explodieren die Kosten für die Informa­tionssicherheit. Mit Hilfe der BSI-Standards kann hier ein praktikabler Mittelweg gefunden werden.

Termine und Anmeldung
  • 12./13.11.2013 in Hamburg
  • 20./21.11.2013 in Frankfurt/ M.
  • 27./28.11.2013 in Düsseldorf
  • 03./04.12.2013 in Starnberg

Teilnahmebetrag: beide Tage 1.250 Euro; ein Tag 750 Euro (jeweils zzgl. MwSt.)

Registrierte Leser von eGovernment-Computing.de erhalten bei Angabe des Registrierungscodes „GOVCOM-BSI“ einen Rabatt von zehn Prozent.

www.bsicampus.de

(ID:42353551)

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung