IT-Sicherheit für KMUs (Teil 1) – Grundlagen

Dieser Artikel ist der erste einer Serie von Blog-Artikeln zum Thema “IT-Sicherheit für KMUs”. In einer immer verletzteren Welt und durch die Industrie 4.0 wird die Informations Technologie zum Rückgrat eines jeden Unternehmens, ohne welche dieses nicht mehr lebensfähig wäre. Jedoch ist jedes Unternehmen unterschiedlich stark von einer funktionierenden und sicheren IT abhängig. In diesem Artikel beschäftigen wir und mit den Schutzzielen und wie man das eigene erforderliche Schutzniveau bestimmt.

Schutzziele

Die IT und Informationssicherheit kennt mehrere Schutzziele. Ein Schutzziel ist ein definiertes Ziel zum Schutz von Informationen, Daten und IT-Systemen.

Es werden hier aus meiner Sicht die wichtigsten Schutzziele aufgelistet, deren Kritikalität bestimmt, welches Schutzniveau für ein Unternehmen erforderlich ist:

  • Integrität (Daten können nicht unbemerkt manipuliert werden, alle Änderungen sich nachvollziehbar)
  • Vertraulichkeit (Nur Personen, die Informationen und Daten für ihre Arbeit brauchen haben Zugriff darauf)
  • Verfügbarkeit (Informationen/Daten sind verfügbar, wenn die anfordernde Person/System diese benötigt, in einem akzeptablen Zeitrahmen)
  • Verbindlichkeit (Ein Benutzer kann das Senden und/oder Empfangen von Daten nicht abstreiten)

Für eine genauere Definition der einzelnen Schutzziele wird auf die weitere Literatur verwiesen.

Bestimmung des Schutzniveaus

Als erstes gilt es das Schutzniveau zu bestimmen, bevor man damit beginnt sich über Schutzmaßnahmen Gedanken zumachen.

Zur Bestimmung des Schutzniveaus werden folgende Parameter heran gezogen:

  • Die Schutzziele (Integrität, Vertraulichkeit, Verfügbarkeit und Verbindlichkeit)
  • Art der Angreifer
  • Angriffe in der Vergangenheit, falls welche schon erfolgt und bekannt sind
  • Transparenz für den Angreifer (Kann sich der Angreifer über öffentlich zugängliche Informationen ein sehr gutes Bild über die Organization und ihre Strukturen machen)