Informationssicherheit – ein unsichtbares Gut

Dass die Cyber-Kriminalität keine bloße Theorie ist, zeigt ein aktueller Sicherheitsvorfall im Klinikum Fürstenfeldbruck. Am 8. November 2018 wurden alle Rechner des Klinikums durch einen Trojaner verschlüsselt. Der gesamte Betrieb wurde derart lahmgelegt, dass sogar eine Abmeldung von der Rettungsleitstelle notwendig war. Das Einfallstor war, wie so oft, ein unachtsam geöffneter Anhang einer E-Mail. Dabei war das Klinikum scheinbar gar nicht das Ziel der Angreifer, denn es erfolgte anschließend keine Lösegeldforderung, um die Systeme wieder zu entschlüsseln.

Interessanterweise hatte der Klinikvorstand die IT-Sicherheit der Klinik vor diesem Vorfall als gut wahrgenommen. Solange nichts passiert, tendieren viele Verantwortliche zu der Annahme, dass man besonders sicher aufgestellt sei. Das ist leider ein sehr bekannter Trugschluss in der Informationssicherheit. Diese ist eben kein Produkt, welches man in die Hand nehmen, betrachten und schließlich für gut oder ungut erklären kann. Informationssicherheit versteht sich eher als ein Wettlauf mit einem unbekannten Gegner.

Den Vorsprung möglichst klein halten

Das Ziel ist jedoch nicht der  - unerreichbare - 1. Platz, sondern es geht vielmehr darum, den Abstand zu dem Angreifer nicht allzu groß werden zu lassen. Um auf alle möglichen Angriffsszenarien vorbereitet zu sein, wäre ein immenser Einsatz von finanziellen und personellen Ressourcen notwendig. Ein Angreifer kennt jedoch in der Regel den aktuellen Stand der Technik bei den Schutzmaßnahmen und hat damit den Vorteil, seine Angriffswerkzeuge sehr gezielt entwickeln bzw. einsetzen zu können. Genauso kennt sich ein professioneller Wohnungseinbrecher mit den am Markt verfügbaren Schutzmaßnahmen und kann somit sehr fokussiert nach Umgehungsmethoden suchen. Die Sicherheitsindustrie wird erst nach zahlreichen erfolgreichen Einbrüchen auf die entsprechende Schwachstelle aufmerksam und zieht im zweiten Schritt die Schutztechnik nach.

In einer digitalen Welt befinden sich auch Organisationen daher immer in einer Verteidiger- bzw. Anpasser-Rolle. Eine gute Informationssicherheit bedeutet also nicht, immer besser als der Angreifer zu sein, sondern dem aktuellen Stand der Technik möglichst gut zu entsprechen. Und genau hier liegt die Herausforderung, wenn man bedenkt, wie schnelllebig die Informationstechnik doch ist. Die Komplexität der Systeme macht es zudem sehr schwer, den Überblick zu behalten. 

Informationssicherheits-Managementsysteme als Mittel der Wahl

Abhilfe schafft hier eine systematische Vorgehensweise mit Hilfe eines Informationssicherheits-Managementsystems (ISMS). Dieses Modell ist nicht neu, aber es ist sehr effektiv und basiert auf einem regelmäßigen Abgleichprozess der eingesetzten Schutzmaßnahmen mit den Veränderungen im Hinblick auf Prozesse, Umwelt und Stand der Technik.

Der BKK Landesverband Bayern ist sich der Gefahrenlage und der gesetzlichen Anforderungen seit Langem bewusst und setzt künftig auf ein ISMS nach der bayerischen ISIS12-Vorgehensweise, um den Schutz der Sozialdaten weiterhin auf einem hohen Level zu halten.

0 Kommentare

Kommentare zum Blogartikel

Keine Kommentare

Kommentar schreiben

Schreiben Sie einen Kommentar zu diesem Blogeintrag