Österreich
Secure Your Business
 

Good Practice bei EGGER:
“Best of IT-Security – fokussiert,
pragmatisch und nachhaltig“


Kommentar von Michael Danzl, IT-Security-Officer der EGGER Gruppe

 

(NL Sept. 2011) - DanzlInformationssicherheit sowie die entsprechenden Prozesse und Technologien sind kein Geheimnis. Es gibt einfache und pragmatische Wege, um Informationssicherheit im Unternehmen nachhaltig zu verankern. Die geschilderten Praxistipps von IT-Security-Officer Michael Danzl entstammen der Umsetzung von Informationssicherheit nach ISO/IEC 27001:2005 in einem österreichischen Industriebetrieb und spiegelt die persönlichen Erfahrungen des Autors wider. Seit Ende 2010 ist die 100 Mitarbeiter-starke IT-Abteilung der EGGER Gruppe nach ISO/IEC 27001 zertifiziert. Der bekannte Komplettanbieter für Vollholz und Holzwerkstoffe mit Stammsitz in St. Johann/Tirol zählt weltweit mehr als 6.500 Beschäftigte.

 

Bestehendes Wissen nutzen
IT-Sicherheit muss nicht neu erfunden werden – durch bestehende Normen und Best Practices werden die relevanten Themen ausgiebig behandelt. Die Herausforderung besteht viel mehr darin, die richtige Flughöhe für die Orientierung an den Best Practices zu definieren. Auch wenn es sich um klar definierte und auditierbare Normvorgaben handelt, gibt es für die Umsetzung in den meisten Organisationen Spielraum für individuelle Anpassungen. Dies ist seitens des Zertifizierungsstandards ISO 27001 und der Auditoren sogar erwünscht. Interessant als Startpunkte für ein Security-Managementsystem sind erfahrungsgemäß die Themenbereiche Risk Management, Change Management, Security Awareness und Notfall-Vorsorge.

Praxistipp: Mapping der Anforderungen. Wird eine Norm oder ein Framework wie ISO 27001 als führendes System definiert, lässt sich die Beziehung zu Anforderungen anderer Regelwerke über Mappings herstellen, die von den Entwicklern der Standards zur Verfügung gestellt werden. So reduziert sich der Implementierungsaufwand und bestehende Dokumentationssysteme und Ressourcen werden effizient genutzt.

 

Risikomanagement mit mehreren Risikoquellen
Die Identifikation der Risiken ist die Basis für professionelles Sicherheitsmanagementklammeraffe. Neben den in Versicherungen üblichen Kriterien Eintrittswahrscheinlichkeit und Auswirkung, kann es in der IT- und Informationssicherheit ratsam sein, als zusätzliches Kriterium die „Wahrscheinlichkeit der Entdeckung“ eines Problems zu berücksichtigen. Man denke dabei an einen Datenbankfehler, der sich erst nach Monaten bemerkbar macht. Die Abbildung der IT-Services in einer Fehlerbaumanalyse mit allen relevanten IT-Komponenten und Prozessen hat sich bei EGGER als praxisnahe Methode erwiesen, um Risiken zu identifizieren. Dabei können verschiedene Quellen kombiniert werden: ISO-27001-Controls, BSI Grundschutz, interne und externe Audits, Penetration Tests, Brainstorming in Projekten, etc. Zusammengefasst in eine Liste und mit den beschriebenen Kriterien bewertet, wird es leichter, die wichtigsten Maßnahmen zu definieren und für das Budget zu priorisieren.

Praxistipp: Internes Wissen nutzen. Neben der strukturierten technischen Erhebung von Risiken kann es sehr aufschlussreich sein, die Schlüsselpersonen unterschiedlichster Aufgabenbereiche innerhalb der IT nach Ihrem „Bauchgefühl“ zu befragen und die subjektiven Bedenken in der zentralen Risikoliste einzupflegen.

 

Change Management
Change Management für IT-Systeme funktioniert – pragmatisch gesehen – ganz einfach, wenn zwei Vorgaben eingehalten werden: Änderungen an einem kritischen IT-System werden niemals alleine durchgeführt und jede Änderung wird lückenlos dokumentiert. Lässt man sich erklären, wie die Administratoren diese Vorgaben für ihre Systeme umsetzen und definiert man die Changes, die von der Regelung ausgenommen sind, so wird sich in Kombination mit dem 4-Augen-Prinzip die Qualität der Changes signifikant erhöhen.

Praxistipp: Changes mit Helpdesk System. Wenn kein Toolbasiertes Change Management System im Einsatz ist, kann einen Change pragmatisch als ein angekündigter Incident gesehen werden, womit praktisch jedes Helpdesk-System zur Abwicklung von Changes verwendet werden kann.

 

IT Security Awareness
Security Awareness ist der Schlüssel zur Verankerung des Sicherheitsgedankens in der Organisation und muss de facto auf zwei Ebenen erfolgen. Zum Einen sollten die Anwender verstehen, warum IT- bzw. Informationssicherheit wichtig ist und was der Anwender selbst dazu tun kann. Mit einer professionellen „IT-Security Awareness“-Lösung kann der Inhalt nachhaltig verankert werden und – noch besser – der Inhalt wird dabei meist schon mitgeliefert. Zum Zweiten ist es wichtig, die nötige Awareness auch bei den IT-Mitarbeitern zu schaffen. Die IT-Mitarbeiter sollten verstehen, dass es nicht darum geht, den Arbeitsfluss zu bremsen, sondern schlussendlich auch um den eigenen Schutz. Die Einhaltung von Vorgaben bürokratisiert nicht das Tagesgeschäft, sondern schafft Sicherheit, um an anderer Stelle innovativ arbeiten zu können. Die strikte Trennung von Test- und Produktiv-Systemen inklusive der Berechtigungen dafür mag anfangs einschränkend wirken, wird aber nach unserer Erfahrung langfristig als sinnvoll verstanden. Ein monatriskliches Treffen zum Thema IT-und Informationssicherheit hilft, das Thema evident zu halten.

Praxistipp: Persönlicher Kontakt. Eine Posterkampagne ist schnell wieder vergessen, sobald das Poster nicht mehr sichtbar ist. Wendet man sich hingegen persönlich und interaktiv an die Zielgruppe, erreicht man nachhaltige Verhaltensänderungen. So kann man zum Beispiel den Anwendern in einer interaktiven „Training Company“ erklären, warum Sie komplexe Passwörter verwenden sollten – auch beim privaten Facebook-Account. Alternativ zur Online Schulung wurden bei EGGER auch Präsenz-Schulungen durchgeführt. Je direkter und persönlicher der Kontakt mit IT-Sicherheit stattfindet, desto besser. Wenn der Mitarbeiter verstanden hat, dass ein Brute Force Angriff mit einfachen Passwörtern sehr viel leichter ist, wird er sich gerne ein komplexes Passwort merken.

 

Notfallvorsorge
Was tun, wenn die IT ausfällt? Auch diese Frage kann auf zwei Ebenen beantwortet werden. Erstens müssen gemäß ISO 27001 auf technischer Ebene die Vorbereitungen für einen Notfall getroffen werden: Dazu gehören das Backup von Systemen und Daten inklusive Datenbanken sowie die lückenlose Dokumentation aller Einstellungen inklusive sämtlicher Changes, möglichst offline. Mit der Dokumentation der Installationen und den internen und externen Ansprechpartnern wird das Rüstzeug geschaffen, um im Notfall bestmöglich reagieren zu können. Neben dem Wiederherstellen der Systeme ist es interessant, was die Anwender in der Zeit des Ausfalls machen. Gibt es sinnvolle Tätigkeiten außer Büro-Aufräumen? Sicherlich – wenn gewährleistet ist, dass die während der Ausfallszeit aufgenommenen oder bearbeiteten Daten strukturiert erfasst werden und für den Wiederanlauf der Systeme vorbereitet sind. Ein Notfall-Ordner in jeder Fachabteilung mit vorbereiteten Dokumenten kann Wunder wirken. Möglichst einfache Anweisungen helfen hier, die Geschäftsprozesse soweit wie möglich am Leben zu erhalten. Das Letzte, was ein Mitarbeiter in einem Notfall benötigt, ist daran denken zu müssen, etwas komplett anders zu machen als im „Normalbetrieb“.

Praxistipp: Praktische Tests. Wie lässt sich erheben, wie wichtig IT-Systeme für die Organisation sind? Im Rahmen der Notfallplanung und wenn möglich auch mit einem praktischen Test, wird man die beste Auskunft dazu bekommen. Daraus lässt sich eine professionelle Business Impact Analyse ableiten, die man 1:1 im Risikomanagement einsetzen kann, um letztendlich das Budget für Maßnahmen festzulegen.

Praxistipp: Passwort-Management. Bei Backups von kompletten Systemen wie Datenbanken werden auch Passwörter mit gespeichert. Mit einem Passwort-Management-Tool, das auch alte Passwörter verschlüsselt speichern kann, ist der Zugriff auf Backup-Daten nach der Wiederherstellung gesichert.

 

 

Mag. (FH) Michael Danzl ist IT-Security-Officer der Firma Fritz EGGER, einem international tätigen Holzwerkstoffhersteller mit 6.500 Mitarbeitern. Michael Danzl beschäftigt sich neben IT-Sicherheit mit Notfallplanung, IT-Prozessverbesserung, IT-Wissensmanagement und E-Learning-Systemen. 
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB