Für die Informationstechnik wird in der Datenschutzgrundverordnung (DSGVO) die Verfügbarkeit, Integrität und Vertraulichkeit als Schutzziel gefordert.

Um diese Schutzziele zu realisieren sind alle Element der IT daraufhin zu

  • konstruieren und implementieren sowie zu
  • betreiben und managen.

Der wesentliche Punkt hierbei ist eine durch das verantwortliche Management steuerbare Informationstechnik aufzubauen. Die Struktur der IT läßt eine Steuerung nur dort zu, wo sie auch systematisch aufgebaut wurde.

Bei vielen Firmen ist die IT leider so konstruiert (natürlich auch historisch gewachsen), dass keine Steuerung stattfinden kann. Folgende Analogie verdeutlicht es ein wenig: ohne strukturiertes Change Management (mit Advisory Board) lassen Sie Eingriffe ins Lenkrad zu – auch durchaus von der hinteren Sitzbank („Wir brauchen mal eben Zugriff auf…“).

Um Ihre IT gezielt zu steuern sind folgende Elemente aus unserer Sicht als Stand der Technik einzusetzen:

  • Am Endgerät eine Endpoint Security-Lösung und ein MDM-System (zum Management von Smartphones)
  • Im Netzwerk eine Lösung für Network Access Control (NAC)
  • Im Rechenzentrum eine gut strukturierte Directory (oft Active Directory) und darin integriert angebundene Firewall- und Sicherheits-Systeme.
  • Werden Cloud-Lösungen eingesetzt bekommt das Identity-Management eine zentrale Rolle. Sie öffnen ihr Directory für Dritte – das ist vielen nicht bewußt. (Es geschieht ja auch „unter der Motorhaube“.)

Wie kommt man nun zu einer IT-Umgebung, die den Anforderungen genügt?

Variante 1: Entweder man entwickelt die bisherige Landschaft weiter mit Delta-Projekten. Dies kann ein gutes Vorgehen sein, wenn die bisherige Landschaft das Potenzial dafür birgt. Es kann sein, das eine zu lange Nutzung von „Altlasten“ das Projekt erheblich verteuern – a) aufgrund der Komplexität des Projektes und b) aufgrund der erhöhten Kosten des Betriebs.

Variante 2: Man implementiert eine komplett neue IT-Landschaft aus sehr viel weniger – dafür hochverfügbaren – Komponenten. In den letzten 15 Jahren hat sich die Virtualisierung als führendes Paradigma etabliert – sie ermöglicht einen hocheffizienten und ausfallsicheren Betrieb. Diese IT ist dann schon so strukturiert, das Governance und Auditierung möglich sind. Außerdem werden Veränderungen in einem Change Management-Prozess gesteuert und anschließend dokumentiert.

Wo sich das Rechenzentrum befindet wird eher durch sekundäre Faktoren bestimmt. Werden durch die Kerngeschäftsprozesse die wesentlichen Daten auf dem Campus erzeugt, ist es sinnvoll auch ein Rechenzentrum auf dem Campus zu betreiben. Wenn Sicherheitsaspekte dafür sprechen (wesentliches Firmen-Know-How soll auf dem Campus bleiben) gibt es ebenfalls keine Alternative.

Sollte aber der Kerngeschäftsprozess sehr Internet-nah sein, so wird eine Option im Service-Rechenzentrum regional zu einer wirtschaftlichen Option. Die Internet-Bandbreite unterliegt von den Kosten her einem Faktor 15 – d.h. es ist 15x teurer eine Internet-Leitung auf dem eigenen Firmengelände zu betreiben als an einem Internet-Knoten (z.B. in Frankfurt, Düsseldorf oder Köln).

Für den gesicherten Betrieb einer IT-Landschaft haben Sie eine abgestufte Palette an Möglichkeiten.

Von 100% alles selbst machen bis hin zu 100% Managed Services (d.h. Ihr Vertragspartner ist verantwortlich für die Verfügbarkeit, Vertraulichkeit und Integrität Ihrer Informationstechnik. In den meisten Fällen wird es ein Mix aus Verantwortlichkeiten geben. Die kleinste Variante (seit Jahrzehnten erprobt) sind Hardware-Wartungsverträge.

Wesentliche Elemente moderner IT

Monitoring und Event-Management

Wenn Sie eine Investition tätigen haben Sie klare Vorstellungen, was damit erreicht werden soll – und Sie prüfen auch mehr oder weniger regelmäßig, ob die Investition sich so entwickelt, wie Sie es geplant haben.

Bei der IT ist es häufig anders: Es wird investiert, aber die Zielrichtung ist nicht ganz klar – hinzu kommt eine rasch sichtbare Komplexität (mit verschiedenen Meinungen) so dass Richtung und deren Überprüfung plötzlich unmöglich erscheinen.

Hier gilt es die geeigneten Strukturen zu schaffen, z.B. in Person eines Service-Managers oder in der Person eines Business-Architekten. Diese Mitarbeiter (intern oder extern) helfen Ihnen in der Übersetzung Ihrer Anforderungen in Informationstechnik. Dann kann auch mal die von der Anschaffung höhere Investition die für Sie geeignete sein. Die Anschaffungskosten von Software sind immer ein Thema – vergessen wird die gesteigerte Produktivität und Einfachheit im Betrieb.

Wenn Sie dann die Richtlinien gesetzt haben gilt es, diese regelmäßig zu auditieren. Hier helfen Programme, die Konsistenz und Veränderungen des Active Directory prüfen – aber genauso helfen Penetrationstests (technisch oder via Social Engineering) oder der Cyber-Sicherheits-Check vom Bundesamt für Sicherheit in der Informationstechnik:

Mit Hilfe dieses Checks haben wir bei einer ganzen Reihe von Firmen Schwachstellen aufgedeckt und beseitigen können. Typischerweise entstehen 6 bis 10 Projekte, die dazu führen, dass eine Reihe von organisatorischen und technischen Sicherheitslücken geschlossen werden.

Bei aller Überprüfung der eigenen IT-Landschaft muss berücksichtigt werden, dass die Verbesserung der IT-Sicherheit einen Prozess darstellt, der die Elemente

  • Organisation
  • Mitarbeiter und
  • Systeme einschließen muss.

Wird eines der Elemente vergessen, eröffnen sich Einfallstore für Cyber-Attacken.

Ungeschulte Mitarbeiter klicken auf Links, die sofort die Verschlüsselung des Zentralservers durchführen. Wir haben in den letzten Jahren eine Reihe solcher Feuerwehr-Einsätze gehabt – oft mit gutem Ende – manches Mal aber auch mit Datenverlust.

Die Überwachung der IT-Landschaft ist elementar wichtig – treten Sicherheits-Events, auf muss entsprechend reagiert werden.

Egal, ob

  • das Antivirus-System des Endgerätes oder
  • die Web-Protection der Firewall oder
  • die E-Mail Protection einen Alarm meldet,

immer geht es darum schnell auf kompetente Service-Kräfte vor Ort (oder Remote) zugreifen zu können, um den Angriff abzuwehren. Unsere Mitarbeiter sind geübt im Vorgehen in verschiedenen Situationen.

Reporting und Change Management

Eine Sicherheits-Strategie beinhaltet reaktiv ein Reporting, das gerade die sicherheitsrelevanten Meldungen behandelt und Aktionen daraus ableitet.

Anbei einige Meldungen aus 2018, die sich auf verschiedene Elemente der IT beziehen. Das Reporting sollte sowohl eine Übersicht über die Systeme als auch eine Übersicht über die Prozesse und Funktionen (z.B. Servicedesk) enthalten.

Mit solch einem Reporting ist das Management in der Lage den Zustand und die Lage des IT-Systems einzuschätzen und entsprechende Maßnahmen einzuleiten. In der Regel lässt sich ein Servicedesk als zugekaufter Service bei mittelständischen Unternehmen sehr wirtschaftlich darstellen. Je kleiner ein Unternehmen, desto weniger rechnet sich der Betrieb eines eigenen professionellen Servicedesks und desto eher lohnt sich der Einkauf der entsprechenden Leistung.

Sind die fundamentalen Services erbracht und hat das Management Freiraum sich um die Zukunft zu kümmern, fängt das Thema „Veränderung“ an. Egal, ob ein großer Kunde einen bestimmten Service nutzen will oder die neue Software eine Öffnung einiger Ports in der Firewall erfordert, immer ist Veränderung am IT-System nötig. Wir diese Veränderung nicht strukturiert durchgeführt entsteht nach kurzer Zeit ein „Wildwuchs“ – nicht mehr dokumentiert und verantwortbar. Von daher wird für wesentliche Änderungen am IT-System der Prozess „Change Management“ genutzt. Dieser ist bei uns in der ISO 9001-2015 beschrieben und wird in Kundensituationen angewandt.

Change Management braucht Geduld.

Um die IT gesichert weiterentwickeln zu können benötigen alle Veränderungen mehr Zeit als technisch nötig (oft sind die mit wenigen Clicks erledigt). Wir diskutieren oftmals mit unseren Kunden über die Frage: „Warum dauert ein Change im Netzwerk so lange?“ Gerade im Netzwerk empfehlen wir die Funktion eines Change Advisory Boards (CAB), um Veränderungen verantwortbar umzusetzen.

Dort sind vertreten:
Kunde: Technisch Verantwortlicher (sofern vorhanden), Kaufmännisch Verantwortlicher

Dienstleister: Fachbereich (z.B. Netzwerk Competence Center), Service-Manager / Account Manager

Das CAB kann sich informell abstimmen, sollte aber eine dokumentierte Entscheidung treffen, die im Change Logbuch festgehalten wird.