Die Entwicklung der Informationstechnologie (IT) hat zu einer umfassenden Technisierung der Geschäftsprozesse in Unternehmen geführt. IT ist nicht länger nur ein unterstützendes Werkzeug, sondern hat sich zu einem zentralen Element der gesamten Organisationsstruktur entwickelt. Dies hat weitreichende Implikationen für die Sicherheit der Informationsverarbeitung, die einen kritischen Aspekt der Unternehmensführung darstellt.
Die IT-Sicherheitspolitik eines Unternehmens umfasst die Gesamtheit der Richtlinien, Prozesse und Maßnahmen, die darauf ausgerichtet sind, die Sicherheit der Informationstechnologie zu gewährleisten. Diese Politik spielt eine entscheidende Rolle, da die IT-Infrastruktur und -Systeme essentiell für die Aufrechterhaltung des täglichen Betriebs und den Schutz sensibler Daten sind. Die Entwicklung einer umfassenden IT-Sicherheitspolitik ist nicht nur eine strategische Aufgabe, sondern auch ein zentrales Element der Geschäfts-, Kommunikations- und Dokumentationsprozesse eines Unternehmens.
Gemäß §§ 25a Abs. 1 Nr.2 und 29 Abs. 1 KWG ist die Geschäftsleitung verpflichtet, angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung zu treffen. Dies gilt für alle Unternehmen, die dem KWG unterliegen, und betont die Bedeutung der IT-Sicherheit für den Finanzsektor.
Die FAIT-Standards (Fachausschuss für Informationstechnologie) liefern Richtlinien zur Bewertung und Sicherstellung der IT-Sicherheit, insbesondere im Kontext der Abschlussprüfung.
Diese bieten Orientierung zur Sicherheit und Ordnungsmäßigkeit elektronischer Verarbeitungssysteme.
Der Schutz personenbezogener Daten, geregelt durch Gesetze wie die EU-Datenschutz-Grundverordnung (DSGVO), bildet eine wesentliche Säule der IT-Sicherheitspolitik.
Diese Grundsätze stellen sicher, dass die Buchführung und die Aufbewahrung von Buchungsbelegen den gesetzlichen Anforderungen entsprechen.
Die BaFin gibt Richtlinien zur IT-Sicherheit und zum Risikomanagement in Finanzinstituten heraus.
Das BSI-Grundschutzhandbuch bietet eine Methodik und praktische Hinweise zur Etablierung eines angemessenen Sicherheitsniveaus für die Informationstechnik.
Der Begriff "IT-Sicherheit" ist fundamental für das Verständnis und die Implementierung von Schutzmechanismen in der Informationstechnologie. Er basiert auf vier zentralen Säulen, die zusammen
ein robustes Sicherheitssystem bilden:
Die IT-Sicherheitsziele für Infrastruktur und IT-Systeme sind essenzielle Bestandteile eines umfassenden Sicherheitskonzepts, das auf dem Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) basiert.
Schutz vor Elementarschäden und Sabotage
Gewährleistung der Funktionsfähigkeit der technischen Komponenten
Ausschluss unautorisierten Zutritts/Zugangs
Steuerung und Überwachung der Verfügbarkeit der IT-Systeme
Not- und Ausfallvorsorge
Die Sicherheitsziele für Daten und Anwendungen bilden einen wesentlichen Bestandteil der IT-Sicherheitsstrategie eines Unternehmens. Um diese Ziele zu erreichen, sind strukturierte Maßnahmen und Verfahren erforderlich, die den Schutz und die Integrität der Unternehmensdaten und Anwendungen sicherstellen.
Klassifizierung von Daten und Anwendungen
Zugriffskontrolle
Protokollierung und Überwachung
Zentrale Benutzerverwaltung
Entwicklung und Einführung von Anwendungssoftware
Backup und Verfügbarkeit
Um eine effektive und nachhaltige IT-Sicherheitspolitik zu gewährleisten, ist es entscheidend, dass bei der Entwicklung und Implementierung von Sicherheitskonzepten, -regeln und -aktivitäten bestimmte grundlegende Prinzipien Berücksichtigung finden.
Gesamtheitliche Betrachtung
Sicherheit ist nicht nur eine Frage der Technologie, sondern umfasst auch administrative, organisatorische, operationale und rechtliche Aspekte. Dies schließt das interne Kontrollsystem, das
Prinzip der Funktionstrennung und fachübliche Dokumentationsanforderungen mit ein. Ein gesamtheitlicher Ansatz gewährleistet, dass alle relevanten Sicherheitsaspekte integriert betrachtet und
adressiert werden.
Integration
IT-Sicherheitsmaßnahmen müssen nahtlos in die gesamte Unternehmensstruktur und -kultur eingebettet werden. Dies beinhaltet die Koordination mit Maßnahmen anderer Unternehmensbereiche sowie eine
enge Zusammenarbeit mit externen Dienstleistern und Partnern, um einheitliche Sicherheitsstandards zu etablieren und aufrechtzuerhalten.
Wirtschaftlichkeit
Die Implementierung von IT-Sicherheitsmaßnahmen sollte stets unter Berücksichtigung ihrer Kosten-Nutzen-Relation erfolgen. Die Klassifizierung von Informationen und IT-Systemen nach ihrem
Sicherheitsbedarf ermöglicht eine zielgerichtete Allokation von Ressourcen, sodass der Schutz dem Wert der jeweiligen Information angemessen ist.
Aktualität
Regelmäßige Risikoanalysen sind unerlässlich, um potenzielle Gefahren zeitnah zu erkennen und zu bewerten. Dies ermöglicht es, präventive und reaktive Sicherheitsmaßnahmen kontinuierlich
anzupassen und Risiken effektiv zu managen.
Stand der Entwicklung
Die IT-Sicherheit eines Unternehmens muss stets den aktuellen technischen Möglichkeiten und Standards entsprechen. Die kontinuierliche Anpassung an den neuesten Stand der Technik ist
erforderlich, um gegenüber neuen Bedrohungen und Angriffstechniken widerstandsfähig zu bleiben.
Zeitgerechtigkeit
Mechanismen zur Überwachung und unverzüglichen Meldung von Sicherheitsverletzungen sind essentiell, um auf Vorfälle schnell und angemessen reagieren zu können. Die Reaktionsstrategien müssen
dabei in einem angemessenen Verhältnis zu den identifizierten Risiken stehen.
Überprüfbarkeit
Die Nachvollziehbarkeit von sicherheitsrelevanten Aktionen durch geeignete Protokollierung und Auditierbarkeit ist ein Kernprinzip der IT-Sicherheit. Dies unterstützt nicht nur die Aufklärung und
Analyse von Sicherheitsvorfällen, sondern fördert auch die Transparenz und Rechenschaftspflicht.
Verantwortlichkeit
Eine klare Zuweisung von Zuständigkeiten und Verantwortlichkeiten ist grundlegend für die Wirksamkeit von Sicherheitsmaßnahmen. Die Aufteilung und Trennung von Aufgaben minimiert das Risiko von
Interessenkonflikten und reduziert die Gefahr von Sicherheitslücken durch zu weitreichende Zugriffsrechte.
Ein technisches Sicherheitskonzept wird in der Regel von der IT Entwicklung und insbesondere vom Systembetrieb erstellt. Im Fokus steht hier die Beschreibung der technischen Absicherungsmaßnahmen der Systeme und von erforderlichen Maßnahmen zur Erfüllung der Sicherheitsauflagen.
Die erforderlichen Backup Verfahren (Recovery) müssen mit den bestehenden Betriebsprozessen abgestimmt werden. Des Weiteren sollte hierbei geprüft werden, ob für bestimmte Sachverhalte zusätzlich auch Notfallpläne zu erstellen bzw. in der erforderlichen Aktualität bereits vorhanden sind.
Der Nutzen eines technischen Sicherheitskonzeptes |
» Technisch sichere Systeme |
Mögliche projektbezogene Aufgaben |
|
» |
Konzeption zur Wiederherstellung sowie zur Archivierung |
» |
Konzeption zum Schutz der eingesetzten IT Systeme |
» |
Konzeption zum Schutz des gesamten Datenverkehrs |
» |
Konzeption zum Schutz der Applikation(en) inklusive der der Beschaffung |
» |
Konzeption zum Schutz der Information |
Wichtige Aspekte aus Sicht der IT Entwicklung sind zum Bespiel: |
» Art der Programmierung |
|
Wichtige Aspekte aus Sicht des Systembetriebes sind zum Bespiel: |
» Technischen Implementierungen und Fragenstellungen (Protokolle, Netzwerkintegration) |
» IT Security Policy Richtlinien |
Beispiel: Liste der betroffenen Anwendungen
Nr. |
APP Nr. |
Applikation |
Art und Umfang der Betroffenheit oder Veränderung |
1 |
|
|
Hier sind projektspezifische Ergänzungen zu dokumentieren |
2 |
|
|
|
... |
|
|
|
Beispiel: Schutzbedarf der betroffenen Anwendungen
Nr. |
Applikation |
Vertraulichkeit |
Integrität |
Verfügbarkeit |
Authentizität |
1 |
|
[_] gering [_] mittel [_] hoch |
[_] gering [_] mittel [_] hoch |
[_] gering [_] mittel [_] hoch |
[_] gering [_] mittel [_] hoch |
2 |
|
[_] gering [_] mittel [_] hoch |
[_] gering [_] mittel [_] hoch |
[_] gering [_] mittel [_] hoch |
[_] gering [_] mittel [_] hoch |
… |
|
|
|
|
|
Einleitung |
|
» |
Bezugsdokumente |
» |
Anwendungsübersicht |
» |
Schutzbedarf |
» |
Abgrenzung des Konzeptumfangs |
|
|
Konzeption zur Wiederherstellung |
|
» |
Datensicherung und Datenwiederherstellung |
» |
Archivierung |
» |
Konzeption zum Systemschutz |
» |
Antivirusschutz |
» |
Server Sicherheit |
» |
Client Sicherheit |
» |
Sicherheit mobiler Endgeräte |
» |
Sicherheit mobiler Endgeräte |
|
|
Konzeption zum Schutz des Datenverkehrs |
|
» |
Netzwerk Sicherheit |
» |
Kryptografie |
» |
Sicherheit der elektronischen Kommunikation oder Kollaboration |
|
|
Konzeption zum Schutz der Applikationen |
|
» |
Applikationssicherheit |
» |
Change- und Patch- Management |
» |
Test und Freigabe |
» |
Content Sicherheit |
|
|
Konzeption zum Schutz der Informationen |
|
» |
Access- und Identity- Management |
» |
Sicherheit im Umgang mit Datenträgern |
» |
Protokollierung |
» |
Sicherheit von Datenbanken |
|
|
Themenübergreifende Konzeptionen |
|
» |
Weitere projektspezifische Konzeptionen |
|
|
Information Security Nachweise |
|
» |
Test- und Prüfkonzeption vor Projektabschluss |
» |
Test- und Prüfkonzeption nach Projektabschluss |
Fachthema |
Neuerstellung |
Anpassung |
Entfällt |
IT-Service |
[_] |
[_] |
[_] |
Datensicherung und -Wiederherstellung |
[_] |
[_] |
[_] |
Archivierung |
[_] |
[_] |
[_] |
Antivirusschutz |
[_] |
[_] |
[_] |
Server-Sicherheit |
[_] |
[_] |
[_] |
Client-Sicherheit |
[_] |
[_] |
[_] |
Sicherheit mobiler Endgeräte |
[_] |
[_] |
[_] |
Netzwerksicherheit |
[_] |
[_] |
[_] |
WLAN-Sicherheit |
[_] |
[_] |
[_] |
Kryptographie |
[_] |
[_] |
[_] |
Sicherheit der elektronischen Kommunikation |
[_] |
[_] |
[_] |
Applikationssicherheit |
[_] |
[_] |
[_] |
Change- und Patch- Management |
[_] |
[_] |
[_] |
Test und Freigabe |
[_] |
[_] |
[_] |
Sicherheit im Umgang mit Datenträgern |
[_] |
[_] |
[_] |
Protokollierung |
[_] |
[_] |
[_] |
Sicherheit von Datenbanken |
[_] |
[_] |
[_] |