IT-Sicherheit für KMUs (Teil 1) – Grundlagen

Dieser Artikel ist der erste einer Serie von Blog-Artikeln zum Thema “IT-Sicherheit für KMUs”. In einer immer verletzteren Welt und durch die Industrie 4.0 wird die Informations Technologie zum Rückgrat eines jeden Unternehmens, ohne welche dieses nicht mehr lebensfähig wäre. Jedoch ist jedes Unternehmen unterschiedlich stark von einer funktionierenden und sicheren IT abhängig. In diesem Artikel beschäftigen wir und mit den Schutzzielen und wie man das eigene erforderliche Schutzniveau bestimmt.

Schutzziele

Die IT und Informationssicherheit kennt mehrere Schutzziele. Ein Schutzziel ist ein definiertes Ziel zum Schutz von Informationen, Daten und IT-Systemen.

Es werden hier aus meiner Sicht die wichtigsten Schutzziele aufgelistet, deren Kritikalität bestimmt, welches Schutzniveau für ein Unternehmen erforderlich ist:

  • Integrität (Daten können nicht unbemerkt manipuliert werden, alle Änderungen sich nachvollziehbar)
  • Vertraulichkeit (Nur Personen, die Informationen und Daten für ihre Arbeit brauchen haben Zugriff darauf)
  • Verfügbarkeit (Informationen/Daten sind verfügbar, wenn die anfordernde Person/System diese benötigt, in einem akzeptablen Zeitrahmen)
  • Verbindlichkeit (Ein Benutzer kann das Senden und/oder Empfangen von Daten nicht abstreiten)

Für eine genauere Definition der einzelnen Schutzziele wird auf die weitere Literatur verwiesen.

Bestimmung des Schutzniveaus

Als erstes gilt es das Schutzniveau zu bestimmen, bevor man damit beginnt sich über Schutzmaßnahmen Gedanken zumachen.

Zur Bestimmung des Schutzniveaus werden folgende Parameter heran gezogen:

  • Die Schutzziele (Integrität, Vertraulichkeit, Verfügbarkeit und Verbindlichkeit)
  • Art der Angreifer
  • Angriffe in der Vergangenheit, falls welche schon erfolgt und bekannt sind
  • Transparenz für den Angreifer (Kann sich der Angreifer über öffentlich zugängliche Informationen ein sehr gutes Bild über die Organization und ihre Strukturen machen)

  

 Schutzziel/Parameter  Wert  Bedeutung des Wertes
Integrität 5 sehr wichtig
  3 wichtig
  1 unwichtig
 Vertraulichkeit 5 sehr wichtig
  3 wichtig
  1 unwichtig
 Verfügbarkeit 5 sehr wichtig
  3 wichtig
  1 unwichtig
 Verbindlichkeit 5 sehr wichtig
  3 wichtig
  1 unwichtig
 Art der Angreifer 0 Hobbyisten
  1 Sicherheitsforscher
  2 Kleinkriminelle
  3 professionelle Kriminelle
  4 Hacktivisten
  5 staatliche Akteure
 Angriffe in der Vergangenheit 0 unbekannt
  3 abgewehrt
  5 erfolgreich
 Transparenz für Angreifer -1 gering
  0 mittel
  1 hoch

 

 

Nach dem die einzelnen Parameter definiert wurden, geht es nun zur Berechnung des erforderlichen Schutzniveaus an Hand eines Beispieles. Bei der Berechnung des Schutzniveaus, zählt der höchste Wert der ersten sechs Parameter. Der letzte Parameter wird mit dem Maximalwert der anderen Parameter verrechnet. Nehmen wir mal hier das Beispiel einer Arztpraxis an.

 

Parameter  Wert
 Integrität 5
 Vertraulichkeit 5
 Verfügbarkeit 3
 Verbindlichkeit 3
 Art der Angreifer 3
 Angriffe in der Vergangenheit 0
 Maximalwert 5
 Transparenz für Angreifer -1
 erforderliches Schutzniveau 4

Wie wir sehen, ist die Vertraulichkeit und Integrität von Daten für die Praxis sehr wichtig. Die Verfügbarkeit der Systeme und Informationen ist wichtig, da es noch Papierakten gibt. Die Verbindlichkeit ist wichtig und die Daten und Systeme der Praxis sind vor allem für die Profi-Kriminellen interessant. Über Angriffe in der Vergangenheit gibt es keine Informationen und die interne IT-Infrastruktur kann über öffentlich zugänglichen Quellen nur schwer bestimmt werden.

Doch was bedeuten nun die einzelnen Schutzniveaus?

Die einzelnen erforderlichen Schutzniveaus haben folgende Bedeutung:

  • 0 = geringer Schutz erforderlich
  • 1 – 3 = mittlerer Schutz erforderlich
  • 4 – 5 = hoher Schutz erforderlich
  • 6 = hoher Schutz mit sofortiger Umsetzung erforderlich

Gehört ihr Unternehmen zum Bereich der kritischen Infrastruktur gilt automatisch das höchste erforderliche Schutzniveau (6).

Was die einzelnen Schutzniveaus genauer beuten behandle ich in den nächsten Blogartikeln.