Sicherheit per Gesetz: Wie es Unternehmen gelingt, gesetzliche Sicherheitsauflagen an die IT zu erfüllen

Seite 1 von 4 Gastbeitrag August 2005 Sicherheit per Gesetz: Wie es Unternehmen gelingt, gesetzliche Sicherheitsauflagen an die IT zu erfüllen Autor: Achim Deboeser, Vice President EMEA Central Region, Symantec Unternehmen in Deutschland sehen sich einer zunehmenden Zahl von Gesetzen gegenüber, die aktive Maßnahmen für das Risikomanagement zwingend vorschreiben. Das KonTraG beispielsweise, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, verpflichtet börsennotierte Unternehmen dazu, ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten. Zu den Beobachtungsbereichen gehören auch die IT und ihre Sicherungssysteme. Mit dem Gesetz sollen Anleger vor spektakulären und nicht vorhersehbaren Firmenpleiten geschützt werden. Eine ganz ähnliche Stoßrichtung hat der Sarbanes Oxley Act, nach dem sich in den USA notierte Kapitalgesellschaften und deren (deutsche) Tochterfirmen richten müssen. Aber nicht nur börsennotierte Firmen müssen ihre Offenlegungsplichten erfüllen und interne Kontrollsysteme einrichten. Auch mittlere und große Mittelständler tun gut daran, regelmäßig Risikoberichte zu erstellen und ein System zum Risikomanagement einzurichten. Denn seit Basel II ist eine belastbare Sicherheitsinfrastruktur ein wichtiges Kriterium, das Banken heranziehen, um bei der Kreditvergabe die Bonität eines Unternehmens zu beurteilen. Nicht nur der Gesetzgeber verpflichtet Unternehmen zu proaktivem Sicherheitsmanagement. Unverkennbar zeichnet sich eine Tendenz zur Selbstverpflichtung auf privatwirtschaftlicher Seite ab, internen Risiken systematisch zu begegnen: Branchenstandards wie ISO 17799 oder die Richtlinien von VISA CISP dienen nicht nur der Absicherung des eigenen Unternehmens, sondern vor allem dem Schutz sensibler Kundendaten. Unternehmen, die freiwillig anerkannte (Sicherheits)standards erfüllen, haben verstanden, dass Vertrauenswürdigkeit ein starker Wettbewerbsvorteil ist. Seite 2 von 6 August 2005 Schließlich gibt es auf europäischer Ebene einige Bestimmungen, die die elektronische Kommunikation und den Umgang mit vertraulichen Daten betreffen. Die EU- Datenschutzrichtlinie zum Schutz der elektronischen Kommunikation zielt auf eine Art digitalen Verbraucherschutz ab: Die Richtlinie, die in den einzelnen Mitgliedstaaten in nationale Gesetze umgemünzt wird, hat ein europaweites Spamverbot verfügt und die rechtliche Grauzone „Spyware“ geregelt. Letztlich will sie die Akzeptanz elektronischer Medien fördern. „Tun wir nicht schon genug für die Sicherheit?“ Um für dauerhafte und nachprüfbare Sicherheit zu sorgen, genügt die bloße Installation leistungsfähiger Sicherheitsprodukte noch nicht – wenn sie auch für die Sicherheit im Unternehmen unabdingbar ist und einen großen Schritt in die richtige Richtung darstellt. Im Rahmen des per Gesetz geforderten Risikomanagements ist ein aktives Sicherheitsmanagement erforderlich, das regelmäßige Risikoberichte ebenso beinhaltet wie die Prüfung der gesamten Infrastruktur auf Schwachstellen und Abweichungen von Sicherheitsrichtlinien, gesetzlichen Bestimmungen und Branchenstandards. Was ist mit aktivem Sicherheitsmanagement gemeint? Jedes Unternehmen erstellt seine ihm gemäße Sicherheitsinfrastruktur, die auf einer Kombination von Richtlinien, Verfahren und Technologien basiert. Die gut dokumentierten technischen Richtlinien können die Basis für ein aktives, automatisiertes Sicherheitsmanagement darstellen. Eine Lösung, die darüber wacht, dass die technischen Sicherheitsrichtlinien eingehalten werden, kann zum effizienten Sicherheitsmanagement genutzt werden. Sicherheitsmanagement besteht darin, die enorme Datenmenge, die von Virenschutz-, Firewall- und Intrusion Detection-Sensoren sowie von Produkten zur Schwachstellenanalyse geliefert werden, aufzubereiten, nach Relevanz zu gewichten, miteinander in Beziehung zu setzen, zu analysieren und Handlungsempfehlungen daraus abzuleiten. Ziel eines aktiven Sicherheitsmanagements ist es, rechtzeitig ein umfassendes Bild des Sicherheitszustands im Unternehmen zu geben. Dieses Sicherheitsbild ermöglicht es dem Unternehmen, potenzielle Störungen zu minimieren, die Auswirkungen von Sicherheitsvorfällen auf das Unternehmen zu mildern, sämtliche Betriebsabläufe rasch wiederherzustellen und für die volle Verfügbarkeit aller relevanten Informationen zu sorgen. Seite 3 von 6 August 2005 Symantec Enterprise Security Manager: richtlinienbasierte Sicherheitsbewertung Mit dem Symantec Enterprise Security Manager (ESM) können Unternehmen den Nachweis erbringen, dass ihre unternehmenskritischen Informationssysteme den gesetzlichen Bestimmungen ebenso entsprechen wie den internen technischen Sicherheitsrichtlinien. Die Lösung gewährleistet, dass geschäftskritische Systeme und Anwendungen stets den vordefinierten Sicherheitsrichtlinien, bestimmten Industriestandards oder gesetzlichen Bestimmungen entsprechen. Außerdem wacht ESM darüber, dass das Netzwerk und sämtliche Anwendungen mit den aktuellen Updates und Patches versorgt sind. Mit Hilfe der integrierten LiveUpdate-Technologie von Symantec können Administratoren leicht auf aktuelle Sicherheits- Updates zugreifen und Informationen zum Beispiel über neue Schwachstellen abrufen. Außerdem gibt ESM Sicherheitsmanagern die Möglichkeit, das Unternehmensnetzwerk auf mögliche Bedrohungen zu testen. Hierzu werden mehr als 2.500 spezifische Sicherheitsprüfungen eingesetzt. Sie überwachen, ob unternehmenskritische Informationssysteme den Sicherheitsrichtlinien des Unternehmens entsprechen. Zudem führt die Lösung auf der Basis integrierter Bewertungsvorlagen einen Abgleich mit geltenden gesetzlichen Bestimmungen und Branchenstandards wie Sarbanes-Oxley, HIPAA, NERC und FISMA beziehungsweise VISA CISP und ISO 17799 durch. Außerdem lotet Symantec Enterprise Security Manager anhand SANS Top 20, einer vom SANS-Institut herausgegebenen Liste mit den 20 gefährlichsten Schwachstellen, aus, wo Lücken in der Sicherheitsarchitektur bestehen. Gerade für Unternehmen, die mit einem aussagefähigen Berichtswesen ihre Bemühungen zum Risikomanagement dokumentieren müssen, sind die flexiblen Berichtsfunktionen der Lösung von Vorteil. Sie dienen nicht nur dem Nachweis, dass gesetzliche Vorgaben erfüllt wurden, sondern helfen auch konkret bei der Lösung anstehender Sicherheitsprobleme. Sie machen unternehmensweite Trends sichtbar, die bei der künftigen Sicherheitsplanung eine nützliche Entscheidungshilfe sind. Unternehmen können Adhoc-Berichte für die rasche Momentaufnahme der Sicherheitssysteme erstellen oder regelmäßige hochentwickelte Berichte für aussagefähige Trendanalysen. Wichtig für Unternehmen, die expandieren und die unterschiedliche Netzwerke und Systeme integrieren müssen: Symantec ESM ist skalierbar und kompatibel mit zahlreichen Plattformen und Anwendungen. Darüber hinaus lässt sich Symantec Enterprise Security Manager mit Seite 4 von 6 August 2005 anderen Sicherheitslösungen wie Symantec Incident Manager kombinieren, um ein umfassendes Sicherheitssystem zu schaffen. Mehrdimensionaler Nutzen für Unternehmen Der Nutzen von Lösungen für das richtlinienbasierte Sicherheitsmanagement wie Symantec Enterprise Security Manager geht über die bloße Gesetzeskonformität der IT-Systeme deutlich hinaus: Eine Sicherheitsarchitektur, die von ESM permanent auf Richtlinientreue geprüft wird… • minimiert Risiken und sorgt dafür, dass sich Investitionen in die Sicherheit auszahlen • gewährleistet einen reibungslosen Geschäftsablauf und sorgt somit für Kundenvertrauen • vermittelt Unternehmen Einblicke in den aktuellen Sicherheitsstand, macht Handlungsbedarf deutlich, lässt Trends erkennen und ermöglicht es Unternehmen, die Sicherheitsplanung in der Zukunft zu optimieren.