Es muss nicht immer ein Virenscanner sein

Seit KRITIS-II und NIS-II das Bewusstsein der Entscheider erreicht haben, wird vermehrt auf die Informatiossicherheit, vor allem aber auf die Cybersecurity, geachtet. Die Absicht des Gesetzgebers scheint erreicht. Die strukturkritischen Informationssyteme genießen eine besondere Aufmerksamkeit. In Zeiten der Industrie 4.0 und der fortschreitenden Digitalisierung aller Lebensbereiche ist dieser Schritt unumgänglich.

Die digitale Erpressung mit Hilfe von Ransomware verursacht hohe Schäden sowohl in Privatunternehmen als auch bei staatlichen Einrichtungen. Backups wie z.B. unser Secure online B@ckup sind Vorsorgemaßnahmen mit dem Ziel der Schadensbegrenzung. Doch ein Backup ist nicht das einzige Mittel des Schutzes der IT. Daneben gibt es viele akute und präventive Maßnahmen, die den Verlust oder Leak von Daten begrenzen sollen. Dazu zählt man die Härtung der Systeme (Updates, Firewall, Verzicht auf nicht benötigte Software und Dienste) und die Detektion von Anomalien (Deep Package Inspection in Routern und Firewalls, regelmäßige Netzwerk-Scans und Überwachung auf Virenbefall). Jedes davon begegnet einem bestimmten Risiko, welches in der Schutzziel-Analyse erkannt wurde. Eine solche ist in den meisten Informatonssicherheitsmanagementsystemen (ISMS) enthalten und soll die allgemein gehaltene Anforderung in messbare (vgl. ISO 27001, Punkt 9.1), logisch zusammenhängende Einheiten herunter brechen. (Eine nützliche Liste für eine Analyse und den Umgang mit Risiken bietet BSI-Standard 2003.) Die Maßnahmen müssen dem Risiko angemessen sein. Jedoch welche es sein sollen, muss genau abgewogen werden.

(mehr …)