Problem und Ausgangssituation
Nach der Einführung der ersten vernetzten PC-Arbeitsplätze in einem mittelständischen Unternehmen Mitte der 90er Jahre wurde die interne IT-Architektur über die Jahre in regelmäßigen Abständen umgebaut und erweitert. Zuerst wurden ein zentraler Fileserver und ein E-Mail System eingeführt, es folgten weitere Server für verschiedene Applikationen zur Unterstützung der Geschäftsprozesse und dem Informationsaustausch mit externen Partnerunternehmen.
Heute steht nahezu jedem der 800 Mitarbeiter ein Computerarbeitsplatz zur Verfügung, über den er Zugriff auf eine Fülle verschiedenster Dienste und Applikationen hat, auf Internet-Angebote zugreifen kann und gemeinsam mit per VPN über Internet angebundenen externen Partnern Informationen austauscht. Verwaltet wird die IT-Infrastruktur von drei festangestellten Mitarbeitern, die neben dem Systembetrieb auch für den Anwendersupport verantwortlich sind.
Aufgrund der vermehrten Berichterstattung über die zunehmende Bedrohung von Unternehmen kleiner und mittlerer Größe durch Wirtschaftsspionage machte sich die Geschäftsführung Gedanken über die Sicherheit der eigenen IT-Systeme. Man suchte nach einem Dienstleister, der mit überschaubarem Aufwand eine fundierte Experteneinschätzung über die bestehende Sicherheitslage erstellen kann, in der notwendige Maßnahmen entsprechend aufbereitet sind um der Geschäftsleitung als Entscheidungsgrundlage dienen zu können.
Analyse und Feststellung
In einem ersten Schritt wurde in Abstimmung mit den IT-Verantwortlichen des Unternehmens auf Basis der bestehenden Dokumentation zur Orientierung ein erstes Lagebild erstellt. Im Anschluss daran wurde beim Unternehmen vor Ort ein Workshop durchgeführt und dabei eine Schutzbedarfsanalyse erstellt. Zusammen mit den fachlichen Ansprechpartnern wurde dabei im Rahmen eines halben Tages eine Aufstellung über alle schützenswerten Systeme und Datenbestände (sog. „Assets“) des Unternehmens zusammengestellt. Auf Basis dieser Aufstellung konnte danach in gemeinsamer Diskussion für jedes Asset der nötige Schutzbedarf anhand der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität ermittelt werden.
Im Anschluss an die Schutzbedarfsanalyse wurde zusammen Zusammen mit den technischen Ansprechpartnern folgte eine Bestandsaufnahme der IT-Systeme und deren Konfiguration im Hinblick auf sicherheitsrelevante Aspekte. Auch die sensiblen Gebäudebereiche (Serverräume, Etagenverteiler, Administratorbüros, etc.) wurden einer Inspektion unterzogen. Die Ergebnisse wurden mit den Informationen aus der Dokumentation abgeglichen und an ausgewählten Stellen durch manuelle Prüfungen ergänzt.
Den Abschluss der Informationssammlung bildete eine Wirksamkeitsprüfung der bestehenden Schutzmaßnahmen. Die dazu notwendigen Informationen wurden von den IT-Verantwortlichen des Unternehmens auf Basis einer von Corporate Trust erstellten Checkliste in Eigenregie gesammelt. Ein parallel durchgeführter Penetrationstest aus Richtung des Internets ergänzte die Einschätzung hinsichtlich externer Angreifer.
Die gesammelten Informationen wurden von den Experten von Corporate Trust ausgewertet und den Anforderungen aus der Schutzbedarfsanalyse gegenüber gestellt. Dabei zeigte sich, dass in der IT-Architektur des Unternehmens zwar schon etliche Schutzmaßnahmen implementiert sind, diese jedoch hauptsächlich auf die Eigeninitiative der IT-Verantwortlichen zurückzuführen sind. Dadurch besitzt das Unternehmen zwar an vielen Stellen ein gutes Schutzniveau (beispielsweise eine umfangreiche Segmentierung der verschiedenen Bereiche des internen Netzes durch Firewall-Systeme), jedoch fehlen auch viele elementare Dinge wie beispielsweise ein unternehmensweites Sicherheitskonzept oder eine einheitliche Kennwortrichtlinie für alle Applikationen und Systeme.
Es zeigte sich auch, dass für einige Unternehmensbereiche eine besonders hohe Verfügbarkeit der von ihnen genutzten Anwendungen wichtig ist, im Falle eines Hardwaredefekts jedoch oft keine geeigneten Ersatzsysteme für die zugehörigen Applikationsserver vorhanden waren. Viele leitende Angestellte speichern zudem regelmäßig wichtige Daten auf ihren mobilen Computern, die laut der Schutzbedarfsanalyse ein hohes Maß an Vertraulichkeit erfordern, ohne dass diese Geräte mit den dafür erforderlichen Schutzmaßnahmen wie beispielsweise einer Festplattenverschlüsselung ausgerüstet sind.
Handlung und Erfolg
Im Rahmen des Prüfberichts stellte Corporate Trust die festgestellten Mängel sowie die gefundenen Diskrepanzen zwischen dem ermittelten Schutzbedarf und den aktuell implementierten Schutzmaßnahmen dar. Jede Feststellung wurde dabei erläutert, anhand ihrer Dringlichkeit klassifiziert und mit entsprechenden Handlungsempfehlungen versehen.
Durch den geringen Zeitaufwand dieses Prüfungsvorgehens wurde die Geschäftsleitung in die Lage versetzt, sich mit überschaubarem Aufwand ein fundiertes Bild über die IT-Sicherheitslage des Unternehmens zu verschaffen. Durch die im Bericht enthaltene, priorisierte Liste empfohlener Maßnahmen stand ihr darüber hinaus direkt eine konkrete Entscheidungshilfe für das weitere Vorgehen zur Verfügung.
Auf Basis der Ergebnisse des Prüfberichts und der dort enthaltenen Handlungsempfehlungen beauftragte die Geschäftsleitung die IT-Verantwortlichen mit der Ausarbeitung geeigneter Konzepte zur Umsetzung der wichtigsten Maßnahmen der priorisierten Liste. Darüber hinaus wurde das interne IT-Team personell verstärkt, um für das Tagesgeschäft weiterhin genügend Ressourcen zur Verfügung zu stellen. Die Experten von Corporate Trust begleiteten die Konzeptionsphase durch zeitnahe Verfügbarkeit bei allen auftretenden Fragestellungen.
Parallel wurde im Unternehmen die Position eines IT-Sicherheitsverantwortlichen geschaffen, dessen vorrangige Aufgaben die Etablierung einer unternehmensweiten Sicherheitspolitik, die Erstellung entsprechender Sicherheitskonzepte sowie die Koordination der verschiedenen Sicherheitsmaßnahmen sind und der direkt der Geschäftsleitung unterstellt ist. Corporate Trust unterstützte das Unternehmen hier bei der Suche und Auswahl geeigneter Bewerber.