18. Dezember 2017

So klappt’s mit der Informationssicherheit

Wenn es um den Umgang mit Informationen geht, bietet das Thema Sicherheit immer wieder ein großes Diskussionspotential. Denn die Gefahren für Wirtschaft und Gesellschaft wachsen im digitalen Zeitalter stetig. Für ausreichenden Schutz sorgen Entwickler und Nutzer von Softwarelösungen mittels verschiedener Maßnahmen.

Cyberkriminalität ist ein düsteres Anhängsel des digitalen Wandels und eine vielschichtige Problematik für Unternehmen: Es wird immer einfacher, gleichzeitig virtuell an verschiedenen Orten einzubrechen. Meistens zielen Cyberkriminelle dabei auf finanziellen Gewinn ab. Doch auch Image und Vertrauen in das Unternehmen werden in Mitleidenschaft gezogen, was im Extremfall sogar zum Konkurs führen kann, bestätigt Laurens van der Blom, Software Architect BCT.

Dass Datenschutz im Zeitalter der Digitalisierung höchste Priorität hat, offenbart auch der von der EU-Datenschutz-Grundverordnung (EU-DSGVO) definierte Sicherheitsrahmen: 2017 eingeführt und bis Mai 2018 vollends geltend gibt er vor, dass Unternehmen nachweislich, etwa durch konkrete Konzepte und regelmäßige Audits, sensible Daten schützen müssen. Dies gilt vor, während und nach der Verarbeitung von Informationen. Bei einem Verstoß gegen die EU-DSGVO müssen sie daher erhebliche finanzielle Sanktionen leisten.

Bei einem Verstoß gegen die EU-DSGVO müssen Unternehmen mit Bußgeldern rechnen. (Quelle: Garsya/iStock)

Die EU-DSGVO gibt außerdem vor, dass die Hard-und Software – kontinuierlich während des gesamten Entwicklungsprozesses – auf Schwachstellen getestet werden sollte, um Fehlerquellen frühzeitig zu erkennen, zu beheben und Sicherheitslücken zu minimieren.

Schicht für Schicht: Das Layered Security Framework

Um es Hackern so schwer wie möglich zu machen, hat sich bei der Softwareentwicklung das Layered Security Framework von Alex Berson und Larry Dubov bewährt: ein mehrschichtiges Modell für einen sicheren Umgang mit Informationen. Von innen nach außen bauen sie aufeinander auf; die jeweils überlagernde Schicht kann die eventuellen Sicherheitslücken der unteren kompensieren und so das Gefahrenrisiko minimieren.

Die Schichten der Softwarearchitektur und der technischen Infrastruktur:

Um Daten (Data) und Anwendungen (Application) als Schichten der Softwarearchitektur zu sichern, ist eine zweistufige Authentifizierung und Autorisierung beim Zugang von hoher Bedeutung: Wer bin ich, wozu bin ich berechtigt? All dies wird mittels Identity Access Management zentral gesteuert. Dieses bildet außerdem einen sicheren und vertrauensvollen Rahmen, in dem Unternehmen geschützt in einer Private- oder Public-Cloud arbeiten können, und entspricht internationalen Standards (WSO2, SAML etc).

Die technische Infrastruktur lässt sich unterteilen in die internen Schichten Platform und Network sowie in die übergreifende Perimeter-Schicht: Zur Platform zählen Betriebssysteme, Web- bzw. Application-Server sowie Datenbanken und Dateisysteme. Die Verbindungen zu ihnen via Netzwerkkabel oder WLAN können anhand mehrerer Einstellungen geschützt werden: Neben der Verschlüsselung der unterschiedlichen Datenspeicher sollten die richtige Port-Konfiguration eingerichtet, stets die letzten aktuellen Updates installiert sowie Systeminformationen blockiert sein.

Weitere Sicherheitsmaßnahmen

Neben den zuvor aufgezeigten technischen Aspekten sollten Unternehmen auch organisatorische und verfahrenstechnische Maßnahmen treffen, um ein ganzheitliches und systematisches Informationssicherheits-Managementsystem (ISMS) einzurichten. Ein ISMS berücksichtigt besonders die Privatsphäre und die vorab genannten drei Security-Kernprinzipien. Obwohl es in der ISO-Norm nicht explizit erwähnt wird, gibt es zudem noch die physische Sicherheit. Diese betrifft den Zutritt zu Gebäuden und Serverräumen, aber auch Netzwerkkabel, Router oder sogar die Reichweite der WLAN-Verbindung.

Entscheidet sich das Unternehmen für eine Cloud-basierte Arbeitsumgebung, muss auch hier der technische und physische Schutz der ausgelagerten Daten garantiert werden. (Quelle: StockFinland/iStock)

Fazit: Vorsicht ist besser als Nachsicht

Informationssicherheit ist von großer Bedeutung, wollen sich Unternehmen vor dem unbefugten Zugriff auf ihre Daten schützen sowie sicherstellen, dass ihre IT-Systeme fehlerfrei und zuverlässig funktionieren. Diese Sicherheit liegt nicht allein in ihrer Verantwortung, sondern auch in der von Software-, Cloud- und weiteren Anbietern, mit denen sie zusammenarbeiten. Dabei stehen Vertraulichkeit, Integrität und Verfügbarkeit der Informationen im Fokus – sowie eine regelmäßige Kontrolle der aktiven Maßnahmen.

 

Quelle Titelbild: Warchi/iStock