25.08.2017
Bedrohungen effizient begegnen
1. Teil: „CIOs müssen Notfallpläne laufend anpassen“
CIOs müssen Notfallpläne laufend anpassen
Autor: David Hauer, Christoph Moser
Rawpixel / shutterstock.com
Der schnelle Wandel in der IT-Architektur stellt eine besondere Herausforderung dar. Sicherheitskonzepte müssen kontinuierlich aktualisiert und angepasst werden.
Dieser Artikel wurde verfasst von David Hauer, Senior Consultant bei BOC Österreich für Unternehmensarchitekturmanagement, und Christoph Moser, Produktmanager für das Unternehmensarchitekturmanagement- und ITSM-Tool ADOIT.
Die digitale Revolution hat alle Branchen erfasst. Mega-Trends wie Big Data, Industrie 4.0 oder mobiles Internet verändern das Geschäftsumfeld rasant. Die Anpassung der Geschäftsmodelle – sei es durch die Digitalisierung von Produkten, die Erschließung neuer Kundenkanäle oder die Automatisierung der Prozesse – erfordert zuverlässige IT-Services. In diesem Zusammenhang gewinnen Szenarien wie Risk Management, Security Management und Business Continuity Management (BCM) noch mehr an Bedeutung. Vereinfacht gesagt gilt es, Bedrohungen im Zusammenhang mit den neuen Geschäftsmodellen zu identifizieren und ihnen effizient zu begegnen.
Nachhaltigkeit durch Integration
Es gilt aber nicht nur, geeignete Kontinuitätspläne zu entwickeln, sondern diese auch laufend zu aktualisieren und zu testen. Die Einbettung in einen geeigneten Managementkreislauf stellt sicher, dass Notfallpläne kontinuierlich aktuell gehalten und kommuniziert werden. BCM versteht sich dabei nicht als eigene Disziplin, sondern als Teil der strategischen, taktischen und operativen Transformationsprozesse. Dadurch können Zeit, Geld und Ressourcen gespart werden.
Die internationale Norm ISO 22301 ist einer der Standards, die die Anforderungen an ein solches Managementsystem spezifizieren. Weitere Hilfen finden sich in der ISO-27000-Normenreihe. Business Continuity und Notfallplanung sind immanenter Bestandteil der IT-Services. Prominente Frameworks und Standards, etwa TOGAF für Enterprise Architecture Management, ITIL für IT Service Management und COBIT für IT Governance, schenken dem Thema viel Beachtung.
Um BCM-relevante Risiken besser einschätzen zu können, muss unter anderem klar sein, in welchen Unternehmensprozessen IT-Services genutzt werden und wie kritisch diese für das operative Geschäft sind. Diese Einschätzung muss gemeinsam mit den Risikoexperten, den Fachbereichen und letztlich durch die Unternehmensführung erfolgen. Ist die Bedeutung der IT-Services erst einmal bekannt, können die Kritikalitätseinschätzungen auf die Anwendungslandschaft übertragen werden, wobei Anwendungen, deren Schnittstellen untereinander und die zugrundeliegenden IT-Infrastrukturen genauer analysiert werden müssen. Große Wichtigkeit kommt dabei auch den Geschäftsobjekten zu – den wesentlichen Datenelementen, die in der IT-Landschaft bearbeitet werden.
2. Teil: „Framework für mehr Sicherheit“
Framework für mehr Sicherheit
Ist ein Notfallplan etabliert, besteht die größte Herausforderung darin, ihn aktuell zu halten. Notfallplanung muss als permanente Tätigkeit verstanden werden. Mit dem Architecture Development Lifecycle (ADM) liefert etwa das Architektur-Management-Framework TOGAF einen Lebenszyklus, in den Sicherheits- und Kontinuitätsanforderungen in verschiedenen Stufen eingepasst werden können.
Architecture Vision: Zu Beginn von Transformationsprojekten erfolgt zwingend eine erste Risikoeinschätzung. Auf Basis dieser initialen Einschätzung lassen sich Schwerpunkte in den nachfolgenden Phasen setzen.
Business Architecture: Schon bei der Ausgestaltung der künftigen betrieblichen Abläufe und IT-Services müssen sicherheitsrelevante Anforderungen klar definiert werden. Das Hauptaugenmerk gilt jenen Geschäftsprozessen, die als unternehmenskritisch eingestuft wurden und kritische Daten (etwa sensible Kundendaten) bearbeiten.
Information Systems & Technology Architecture: In diesen beiden Phasen werden die zukünftigen technischen Anforderungen an die IT-Services definiert. Zusammenhänge mit der bestehenden Architektur sind nachvollziehbar aufzubereiten. Mögliche neue oder geänderte Risiken müssen identifiziert werden. Mit anderen Worten: Die Service-Anforderungen werden mit den Fachbereichen unter Einbeziehung des Security Managers abgestimmt. Referenzkataloge wie die BSI-Grundschutzkataloge sparen hierbei Arbeit. So definieren die Grundschutzkataloge beispielsweise ein umfassendes Set an Bedrohungen, womit sich die neuen IT-Services abwägen und bewerten lassen. Die dort ebenfalls katalogisierten Maßnahmen dienen als Checkliste, um den Grundschutz sicherzustellen.
Opportunities and Solutions: Hier wird die Lösungsarchitektur konkretisiert und das initiale Projektportfolio definiert. Mögliche Lösungsszenarien müssen den Sicherheitsanforderungen entsprechen. Wiederum können die in den öffentlich verfügbaren Grundschutzkatalogen definierten, bausteinartigen Maßnahmen dabei unterstützen, ein ausgewogenes Set an Sicherheitsvorkehrungen zu treffen. Beispiele für derartige Maßnahmen sind: Empfehlungen für Zutritts- oder Zugriffsregelungen, organisatorische Regelungen für das Personal oder technische Sicherungsmöglichkeiten für Gebäude, Hardware oder Software.
Migration Planning: Die Migrationsplanung befasst sich mit der finalen Vorbereitung und Abstimmung zur Implementierung der konzipierten Lösung. Spätestens zu diesem Zeitpunkt sind auch Arbeitspakete zur detaillierten Erarbeitung der Sicherheitsarchitekturen zu definieren und deren Ausführung vorzusehen.
Implementation Governance: In dieser Phase ist dafür Sorge zu tragen, dass die Umsetzung der IT-Services den vereinbarten Sicherheits-Levels entspricht. Die operativen Prozesse für den Betrieb der Services müssen durch Schulungen vermittelt werden. Die erstellten Notfallpläne müssen der Umsetzung der Services entsprechen und ausreichend praktisch erprobt werden.
Architecture Change Management & Requirements Management: Die Verantwortlichen müssen Geschäftsprozesse und etablierte IT-Services laufend auf ihr Gefährdungspotenzial überprüfen. Diese kontinuierliche Analyse und Bewertung muss von Notfalltests begleitet sein. Unzulänglichkeiten werden als Anforderungen definiert und im Rahmen des Requirements Management priorisiert und bewertet. Im Bedarfsfall läuten die Anforderungen wiederum einen neuen Transformationszyklus ein.
Gewappnet für den Ernstfall
Welches Framework auch immer in einem Unternehmen eingesetzt wird, um für den Ernstfall gewappnet zu sein: Die Integration in ein zyklisches Vorgehensmodell zur Durchführung von Business-Transformation-Projekten stellt sicher, dass die BCM-Dokumentation nicht Gefahr läuft, sich als Insellösung im Elfenbeinturm von der tatsächlichen Ist-Architektur zu entfernen.
So wird garantiert, dass die Zusammenhänge zwischen den wesentlichen Gestaltungselementen jederzeit transparent sind und nachvollziehbar vorliegen, die Dokumentation kontinuierlich auf dem Laufenden gehalten werden kann, Verantwortlichkeiten für die Bewertung der Risiken klar definiert sind – und das Business Continuity Management kein zahnloser Tiger ist.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Personalie
CEO Frank Roebers verlässt Synaxon
Er war 32 Jahre bei der Verbundgruppe und hat sie maßgeblich geprägt. Nun tritt der CEO von Synaxon Ende des Jahres zurück – und gründet ein eigenes Unternehmen.
>>