Vertraulichkeit

Sicherheit von Servern

Wieviel Geld sollte ich in die Sicherheit unserer Server investieren?

Ich behaupte so viel wie nötig und so wenig wie möglich. Ein Spagat? Absolut!

Der Invest in Sicherheits­maßnahmen hängt in erster Linie von den Aufgaben ab die ein Server für den Betrieb erfüllt. Außerdem hängt es natürlich von dem Wert der Informationen ab die auf diesem Server abgelegt werden.

Wie kann man diesen Wert bestimmen?

Es gibt sicherlich mehrere Möglichkeiten das heraus zu finden.

Man könnte davon ausgehen dass 100%ige Sicherheit durch maximal hohe Investitionen erreicht wird. Das ist ein Trugschluß! Totale Sicherheit wird es niemals geben (grüne Kurve).

Einleuchtend ist auch dass Kosten durch Schäden je höher ausfallen umso niedriger das Sicherheitsniveau ist (blaue Kurve). Beide Kurven schneiden sich in einem Punkt bei dem Investitionskosten genauso hoch sind wie die Kosten die durch Schäden entstehen würden. Dieser Schnittpunkt stellt den Punkt der niedrigsten Ausgaben dar. Ob er nun bei einem Sicherheitsniveau von 30% oder von 60% optimal ist, hängt vom eigentlichen zu schützenden Sicherheitswert ab.

Was ist ein Sicherheitswert?

Bei einem Serverausfall lässt sich die zu erwartende Schadenshöhe von dem entgangenen Gewinn ableiten. Der Sicherheitswert ist in diesem Fall „Verfügbarkeit„. Sofern der besagte Server nicht verfügbar ist kann er nicht mehr in der Produktion verwendet werden. Eine SachbearbeiterIn könnte ihre Aufgabe nicht mehr erfüllen und folglich ihren Auftrag nicht erfüllen. Die Schadenshöhe könnte daraus abgeleitet werden.

Veränderte Zahlen oder verfälschte Meßergebnisse können zu falschen Schlussfolgerungen führen. Im schlimmsten Fall führt dies sogar zu fehlerhafter Produktion die unter Umständen zu Problemen beim Endkunden führen kann. Der Sicherheitswert in diesem Fall ist die „Integrität

Der dritte Sicherheitswert ist die „Vertraulichkeit“ der Daten auf dem besagten Server. Die Kosten die entstehen, wenn ein geheimes Rezept, ein Konstruktionsplan oder eine neue Software in falsche Hände gerät, könnten ein Unternehmen bis in die Insolvenz führen.

Weitere unter Umständen schützenswerte Sicherheitswerte sind „Authentizität“ bzw. „Echtheit“ und „Verbindlichkeit“. Unter Authentizität versteht man z.B. das Vertrauen in die Identität einer Person die sich durch einen Ausweis oder ein Zertifikat ausweisen muss. Verbindlichkeit kann durch eine digitale Unterschrift erzeugt werden. Dadurch kann eine rechtskräftige Absichtserklärung erfolgen. Wurde ein digitales Zertifikat bzw. ein privater Schlüssel von einem Angreifer abgefangen, so kann der digitalen Unterschrift nicht mehr vertraut werden bzw. keine Verbindlichkeit garantiert werden.

Unklar bleibt jedoch welcher der Werte welche Relevanz für Ihr Unternehmen hat. Vielleicht ist es auch eine Kombination der Werte die für Ihren Betrieb eine Rolle spielen. Man kann demnach nicht erkennen wie genau investiert werden muss.

Konkrete Maßnahmen durch Risikoanalyse

Helfen kann eine Risikoanalyse mit deren Ergebnis die Investitionen richtig verteilt werden könnten. Das Ergebnis zeigt wie wichtig ein Server, ein System, ein Netzwerk, eine Maschine, ein Mensch oder auch ein Prozess ist. Daraus ergeben sich Sicherheits-Maßnahmen welche die gefundenen Schwachstellen kosteneffizient mindern. Das Ergebnis einer Risikoanalyse bietet weitaus mehr als nur einen Hinweis wieviel Geld „investiert“ werden sollte.

Risiko überwachen durch Risikomanagement

Wer eine Risikoanalyse erstellt, davon Maßnahmen ableitet und umsetzt, erlebt anschließend ein verändertes Risikoprofil. Deswegen bewertet man Risiken erneut nach Anwendung von Maßnahmen (siehe hierzu auch Deming Cycle: Plan, Do, Check, Act). Schließlich ändert sich auch der Markt, die Ansprüche oder die Produktionsgeschwindigkeit. Der Anspruch an Vertraulichkeit von Daten nimmt eventuell mit der Zeit sogar ab oder die Integrität eines Konstruktionsplanes ist nicht mehr so wichtig nachdem die Produktion selbständig funktioniert. Die Sicherheit bzw. die Risiken werden regelmäßig neu bewertet. Dazu führen wir einen so genannten Lebenszyklus bzw. ein Lifecycle von Risikoanalysen ein – genannt Risikomanagement.

Professionalität ist also angesagt bei der Betrachtung und Behandlung von Sicherheitsrisiken. Werkzeuge dazu sind bekannt – wir Sicherheits-Manager wenden diese regelmäßig an um Betriebe sicherer zu machen.

Neugierig geworden? Wir kommen gerne zu Ihnen und erklären wie wir IT-Sicherheit für Sie aufrecht erhalten werden. Wir helfen bei der Implementierung der ermittelten Sicherheitsmaßnahmen, kontrollieren regelmäßig auf Funktion, berichten dem Management und helfen dabei Ihre Serversicherheit zu erhalten.

ANFRAGE STELLEN