Mitglied bei
Basel II und seine Auswirkungen auf das IT-Sicherheitsmanagement
Große Unternehmen und Konzerne, sei es in Industrie oder Finanzdienstleistung,
betreiben bereits seit längerem intensive Anstrengungen zur Gewährleistung
der Sicherheit ihrer Informationsverarbeitung, die Bundesregierung unterstützt
über das Wirtschafts- und Innenministerium Programme zur Sensibilisierung
sowie Entwicklung von bedarfsorientierten Schutzmaßnahmen und das Gesetz zu
Kontrolle und Transparenz in Kapitalgesellschaften (KonTraG) verpflichten
Aktiengesellschaften bereits zur Einleitung von Maßnahmen des IT-Risikomanagements.
Die durch den Baseler Ausschuss für Bankenaufsicht verabschiedeten neuen
Eigenkapitalvorschriften für Banken im Rahmen von Kreditvergaben, bekannt
unter dem Stichwort „Basel II“, fordern nunmehr auch von den Kreditgebern,
sich zur eigenen Absicherung von dem Vorhandensein eines angemessenen Risikomanagement
bei ihren Kreditkunden zu überzeugen, das insbesondere auch die Informationsverarbeitung
einbezieht. Der nachfolgende Artikel zeigt auf, wie diesen Anforderungen durch
Unternehmen geeignet Rechnung getragen werden kann.
Unternehmen setzen in zunehmendem Maße Informationstechnik
zur Unterstützung und Optimierung ihrer produzierenden und verwaltungstechnischen
Geschäftsabläufe ein. Anbindungen an öffentliche Netze -
insbesondere auch an das Internet - zur Kommunikation mit Kunden, Lieferanten
und anderen Geschäftspartnern sind inzwischen fast ein Selbstverständlichkeit.
Hierdurch entstehen oftmals komplexe technische Strukturen, deren vielfältige
Bedrohungen und Risiken durch das Unternehmen selbst als Betreiber oftmals
nur schwer zu beurteilen und damit auch seinen Mitarbeitern nur schwer transparent
zu machen sind.
Ziel sollte es daher sein, ein auf standardisierten Methoden und Vorgehensweisen
basierendes IT-Risikomanagement zu implemen-tieren, dass die rechtzeitige
Erkennung von potentiellen Risiken, deren Bewertung sowie erfolgreiche Bewältigung
ermöglicht.
Initiierende Aktivitäten hierzu sind zum einen insbesondere die Identifikation
des Schutzbedarfes der mit IT unterstützten Geschäftsprozesse
des Unternehmens sowie der hierbei verarbeiteten Informationen durch die
verantwortlichen Business Manager (i. allg. Leiter der Fachabteilungen).
Zum anderen ist zunächst eine Analyse des aktuellen IT-Sicherheitsniveaus
auf der Grundlage der sich aus dem Schutzbedarf ergebenden Anforderungen
sowie allgemein gültiger Standards und best practices durchzuführen,
um sich einen Überblick über ggf. bestehenden Handlungsbedarf
zu verschaffen.
ConSecur hat diese Aktivitäten in ihrem Produkt „Risiko-Kurz-Analyse",
basierend auf der ISO 17799 „Code of Practice for Information Security Management“,
zusammengefasst, das der Unternehmensführung mit geringem Aufwand entsprechende
Informationen bereitstellt. Eine solche Analyse umfasst eine top level-Betrachtung
aller zur Gewährleistung der IT-Sicherheit durch das Unternehmen getroffenen
technischen, organisatorischen und materiellen Maßnahmen und berücksichtigt
die wesentlichen Bedrohungen von Vertraulichkeit, Integrität, Verbindlichkeit
und Verfügbarkeit, wie z. B.
Die Aufgabe eines effizienten, wirtschaftlichen
und sicheren Identity Managements wird durch vielfältige Randbedingungen
beeinflusst. Hierzu gehören insbesondere die etablierten Geschäftsprozesse,
die unternehmensspezifische Aufbau- und Ablauforganisation sowie Struktur
und Heterogenität der betriebe-nen IT-Infrastruktur. Wesentliche Voraussetzung
zur Einführung oder Optimierung eines Identity Management Prozesses
ist eine methodische und strukturierte Herangehensweise, die alle Teilaspekte
des breiten Themenspektrum angemessen berücksichtigt. ConSecur legt
ihrem Vorgehen die folgende logische Gliederung des Identity Managements
zu Grunde:
Die Tolerierbarkeit identifizierter Risiken vor dem Hintergrund zu erwartender
Schäden bildet die transparente Entscheidungsgrundlage für die
Unternehmensführung im Hinblick auf zu treffende IT-Sicherheitsmaßnahmen.
Ziel muss es dabei sein, ein durchgängiges IT-Sicherheitsniveau im
Sinne qualiitativer Mindeststandards zu erreichen.
Neben der Beseitigung bestehender Defizite stellt die regelmäßige Überwachung
und Kontrolle getroffener Maßnahmen (z. B. in Form von Selbst-Audits) einen
weiteren wichtigen Teilprozess zur kontinuierlichen Aufrechterhaltung des
erreichten IT-Sicherheitsniveaus dar, den es im Unternehmen ebenfalls geeignet
zu implementieren gilt. Die Basel II-Vereinbarung bietet damit Unternehmen
zur Absicherung ihrer eigenen Geschäftstätigkeit neben den resultierenden
Forderungen insbesondere auch die Chance, ein internen und externen Anforderungen
genügendes IT-Risikomanagement einzuführen und dient daher nicht
nur der Absicherung des Kreditgewerbes sondern auch der sich im Bereich
des Risikomanagements engagierenden Unternehmen.
© by ConSecur
 |
Datenverluste oder Störungen des IT Betriebes (technische Fehler
oder Viren), |
|
Offenlegung sensitiver Unternehmensinformationen (ungeschützte
eMail-Kommunikation / ungesicherter Speicherung auf Notebooks und PDAs), |
|
unberechtigten Zugang zu IT-Systemen und Daten mit der Möglichkeit
zu deren Manipulation aufgrund unzureichend operationalisierter Passwortverfahren
oder |
|
das Eindringen von Angreifern in lokale Netze über ungesicherte
Netzübergänge (Internet-Zugang, WLAN-Zugänge). |
vonDipl.-Inform. M. Korden
ConSecur präsent
Die ConSecur GmbH präsentierte sich in der
Vergangenheit auf folgenden Tagungen und Messen:
 |
24.03.2011 ikn2020-Kooperationsforum Osnabrück, IT-Sicherheit und Datenschutz für Unternehmen, Vortrag: Norbert Book |
|
28.10.2010 Firmenkontaktmesse Chance, FH Osnabrück, Aussteller |
|
25.06.2009 Happy Birthday, ConSecur! 10jähriges Jubiläum |
Bisher erschienen:
Lesen Sie zu folgenden Themen:
Bestellen
Sie auch unsere Publikationen und White Papers!
 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|