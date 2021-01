Adobe Stock; Montage iX; Lisa Hemmerling Organisatorische und technische Maßnahmen zum IT-Selbstschutz Aus Fehlern lernen Martin Wundram, Alexander Sigel Trotz vieler Hilfen und Handreichungen wie BSI-Grundschutz und Co. grüßt täglich das Murmeltier der Informations- und IT-Sicherheitsvorfälle. Also alte Schläuche und trotzdem ständig neues Weinen? Das muss nicht sein.

iX-tract Obwohl allgemein bekannt ist, wie angemessener IT-Schutz auszusehen hat, fällt es offenbar schwer, in der Praxis und im Ernstfall hinreichende Resilienz und Wirksamkeit zu erreichen, sodass das Schutzniveau gewahrt bleibt oder Schäden sich zumindest lokal begrenzen lassen.

Bei ganzheitlicher und risikoorientierter Betrachtung von Mensch, Organisation und Technik lässt sich schon mit überschaubarem Aufwand ein deutlich besserer Schutz als vielfach üblich erreichen.

Damit die Systeme nicht wie die Dominosteine fallen, müssen mehrere unabhängige Faktoren aus passivem Schutz, proaktiver Überwachung und Prävention geeignet zusammenwirken.

Es mangelt nicht an Rahmenwerken für die IT-Sicherheit (wie ISO 27001, BSI-Grundschutz, Top 20 CIS Controls, VdS 10000:2018 Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), MITRE ATT&CK), Best-Practice-Empfehlungen, Studien oder Fachartikeln. Zum Teil ist solches „told you so“ seit Jahren oder Jahrzehnten verfügbar.

Aber warum ist deren Umsetzung im Alltag so schwer? Warum werden IT-Systeme und IT-Netze immer wieder erfolgreich angegriffen? Warum fällt das RAID genau dann aus, wenn die Tapes soeben im hochwassergefluteten Keller ertrunken sind? (Nein, ein RAID ist kein Backup-Ersatz. Nein, Online-Backups, die für Verschlüsselungstrojaner erreichbar sind und sich so auch online verschlüsseln oder löschen lassen, sind kein Ersatz für die Lebensversicherung Offline-Backups). Warum versagt die Managementkonsole der Endpoint Protection prompt, während ein Angriff mitten im Gange ist, lief davor aber fünf Jahre (vermeintlich …) so schön unauffällig durch? Sind wir selbst schuld, wenn unsere Systeme, Dienste und Daten kompromittiert werden oder nicht verfügbar sind? Oder anders gefragt: Wie viel Sicherheit brauchen und erreichen wir für unsere IT-Systeme im pragmatischen Alltagschaos?