Sichere Prozesse

Torwächter für den Datenverkehr

Von Karl-Heinz Möller · 2017

Big Data, Internet der Dinge (IoT) und globale Digitalisierung stellen neue und erheblich anspruchsvollere Anforderungen an die IT als bisher. Neben enormen Vorteilen stehen vor allem Sicherheits- und Vertrauensaspekte im Fokus der User und Anwender. Digitale Transformation bedeutet ein hohes Maß an Vernetzung. Der dadurch möglich gewordene Austausch von Informationen bietet Unternehmen eine Vielzahl von Vorteilen. Verbesserung der Flexibilität und Kontrolle für verschiedenste Arbeitsschritte, Effizienz und hohe Produktivität sind die Folge. Darüber hinaus vergrößert die Individualisierung von Produkten und Dienstleistungen die Angebotsvielfalt und weckt neue Bedürfnisse.

Die totale Konzentration und der Verlass auf Software, Hardware und deren globale Vernetzung bedeuten jedoch standortübergreifend Sicherheitsrisiken. Diese Risiken müssen die Beteiligten nicht nur erkennen, sondern wirksam managen. Nur wenn Risiken identifiziert, dokumentiert und somit transparent gemacht werden, können sie sinnvoll bewertet und eingegangen werden.

Application Security Management als Lösung für sichere Prozesse

Die Methode des Application Security Management (ASM) beschreibt die notwendigen Prozesse und Richtlinien um sicherzustellen, dass alle Anwendungen und die zugehörigen IT-Systeme innerhalb einer Organisation entsprechend ihrer Wichtigkeit entwickelt und betrieben werden. Die Vorgehensweise definiert sich in der Erarbeitung eines Managementsystems und dessen entsprechende Vorbedingungen, die sich nahtlos in ein bestehendes Information Security Management System (ISMS) nach ISO 27001 integrieren lassen.

So wird sichergestellt, dass Sicherheitsinvestitionen zielgerichtet und angemessen erfolgen. Ziel soll ein effizientes Management des zu entwickelnden Applikationsportfolios unter dem Gesichtspunkt „Security“ sein. In der Verantwortung für die Applikationen stehen Führungskräfte wie CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision, IT-Projektcontroller, Entwicklungsleiter, (Software-) Architekten.

Big Data und Internet der Dinge sind ohne Cloud-Lösungen nicht denkbar. Public, Private und Hybrid Clouds bieten attraktive Speicherlösungen für kleinere und mittlere, aber auch große Unternehmen. Als Vorteile sind unter anderem zu nennen ein hohes Maß an Flexibilität, beispielsweise frei skalierbare Kapazitäten, Zugriff von überall auf der Welt, Unabhängigkeit von Betriebssystemen, Kosteneffizienz. Dagegen stehen Nachteile wie die Herausgabe von Daten in die Hände Dritter (Datenschutz), Änderung der rechtlichen Rahmenbedingungen, siehe Brexit oder Cloud-Anbieter können verkauft werden (beispielsweise in die USA). Die ISO-Normen 27017 und 27018 bilden hier die Leitplanken bei der Umsetzung.

Zugangskontrolle durch Identity & Access Management

IAM (Identity und Access-Management) ist der dringend benötigte „Gatekeeper“ für den rasant ansteigenden Datenverkehr im Zeitalter der Digitalen Transformation. Konkret ist unter IAM die Verwaltung von Zugriffs- und Zutritts-Berechtigungen sämtlicher im Unternehmen aktiver Identitäten einschließlich der Identitäten selbst zu verstehen. Dabei geht es um regelmäßige toolbasierte Rezertifizierung der bestehenden Berechtigungen und Identitäten. IAM sorgt für Transparenz, Dokumentation und Nachvollziehbarkeit der befugten Zugriffsmöglichkeiten auf Anwendungen und Systeme des Unternehmens.

Ziel von IAM ist eine Reduzierung der Gefahren. Ein hohes Risiko für das Unternehmen und ein leichtes Spiel für Angreifer (Hacker) besteht, wenn im Unternehmen nicht bekannt ist, wer auf welchem System berechtigterweise Zugriff haben darf. Automatisierte Provisionierung und Deprovisionierung verschlanken die Beantragungs-Prozesse und verringern die Laufzeit auf bis zu fünf Minuten und weniger. IAM bedeutet auch Beschränkung der Datenspeicherung auf das Wesentliche und eine Definition von Daten, die überhaupt übertragen werden dürfen.

Werden die vielen notwendigen Maßnahmen wie Mosaiksteine richtig zusammengefügt, helfen sie die Vision des Internets der Dinge zu schärfen und eine stärkere Vernetzung bei vertretbarem Risiko zu ermöglichen.