Analyse Infrastruktur und Sicherheit

Sicherheit: Analyse Infrastruktur und Sicherheit (IT-Compliance und Basel II)

Zielgruppe:

Situation

Auftraggeber ist eine mittelständische Unternehmensgruppe mit 650 Mitarbeitern (Maschinenbau / hoher Exportanteil)
das Unternehmen wächst überdurchschnittlich
die dabei entstehenden Fehler im Bereich Sicherheit und Compliance wurden der Geschäftsführung durch die ITAbteilung bekannt gemacht
durch Mitarbeiterwechsel sind „gewachsene Strukturen“ im Bereich der Informationstechnik nicht mehr transparent
sowohl die Betreuung, als auch die Sicherheit von bestimmten Systemen kann nicht mehr einwandfrei gewährleistet werden
in der nahen Vergangenheit führten Systemausfälle zu spürbaren Kosten
die Geschäftsführung befürchtet weitere „tickende Zeitbomben“

Allgemeines

Geschäftsführer und Vorstände werden seitens des Gesetzgebers für die Einhaltung der gesetzlichen Regelungen persönlich haftbar gemacht
bei Missachtung drohen zivilrechtliche und auch strafrechtliche Sanktionen
der Bereich Informationstechnik ist dabei ein wesentlicher Baustein
spätestens seit Basel II den Finanzinstitutionen weitgehende Prüfungen vorschreibt, besteht Handlungsbedarf zur Umsetzung der IT-Compliance in den Unternehmen
„Compliance“ bedeutet dabei regelkonformes Verhalten, d.h. die Beachtung von Richtlinien, Gesetzen und freiwilligen Verhaltensregeln
die Dokumentation der Arbeiten ist für die Geschäftsführung sehr wichtig (Vorbeugung)
das Bundesdatenschutzgesetz BDSG sieht eine Freiheitsstrafe von bis zu 2 Jahren oder Geldstrafe bei Zuwiderhandlung vor

Ziele

die Geschäftsführung ist sich Ihrer Verantwortung gegenüber Gesellschaftern, Wirtschaftsprüfern und der eigenen Zukunftssicherung bewußt
sie wünscht eine Analyse der bestehenden Infrastruktur und der Arbeitsabläufe von einem objektiven Dritten
dabei ist es ihr wichtig, daß der Blick nicht in die Vergangenheit, sondern nach vorne gerichtet ist
zuerst soll eine Bestandsaufnahme der gesamten ITInfrastruktur inkl. der Anbindung von Außenstellen und mobilen Mitarbeitern stattfinden
ein ganzheitliches Konzept soll darauf aufbauend erstellt werden, welches zugleich sicher als auch bezahlbar ist
das Gesamtkonzept soll aus Sicherheitsgründen von einem zertifizierten IT-Auditor gegengeprüft werden (4-Augen-Prinzip / second opinion)

Lösung

Anmerkung: aus Vertraulichkeitsgründen dürfen keine Details genannt werden
Erstaufnahme (Rundgang mit den Administratoren / Sichtung der bestehenden Dokumentation / bereits bekannte Sicherheitslücken erläutern lassen)
Analyse des Netzwerkes durch Scanner und Sniffer (passiv -> keine Bedrohung der Infrastruktur)
Auswertung und Dokumentation der neu erkannten Schwachstellen (IST-Zustand)
Zusammenfassung für die Entscheider (Ergebnisse / entscheidungsreife Handlungsoptionen inkl. Aufwandsschätzung / Empfehlungen für den SOLLZustand)
Entscheidung seitens der Geschäftsführung, welche Punkte in welcher Priorität abzuarbeiten sind
die Arbeiten konnten zum Großteil durch die internen Administratoren umgesetzt werden -> dies hat den Vorteil, daß die „gelebte Sicherheit“ eher verstanden
und auch in der Zukunft umgesetzt wird (KVP: kontinuierlicher Verbesserungsprozeß)
Überprüfung der Arbeiten durch uns mittels einer erneuten Analyse
bei Bedarf kann auch ein gezielter und aggressiver Angriff (Penetrations-Test) auf die Infrastruktur von innen und außen erfolgen, wie ihn Kriminelle auch einsetzen würden
Vorbereiten der Administratoren und Entscheider auf das IT-Audit auf Basis unserer Erfahrungen (pre-Audit)
abschließend wurde das Konzept dem TÜV Hessen vorgestellt und intensiv geprüft (mit Checklisten und einer Analyse)
das IT-Audit erfolgte ohne Beanstandung und mit Auszeichnung

Fazit

Weitere Infos zum Download