IT-Sicherheit, ISMS, SIEM
Strategie- & Konzeptplanung
Architektur & Sicherheit, IAM
Projektleitung & Interimführung
Restukturierung, Managed IT
Workflows

IT-Security

Informationssicherheit

Viele setzen den Begriff IT-Sicherheit oder IT-Security mit Informationssicherheit fälschlicherweise gleich. IT-Sicherheit beschränkt sich auf technische Systeme. Informationssicherheit umfasst zusätzlich nicht techhnische Systeme. Aus meiner Erfahrung wird sich in Zukunft der Begriff Informationssicherheit weiter durchsetzen. Seit 2015 sind Angriffe massiv angestiegen. Neben Verantwortung der einzelnen Mitarbeiter, tragen vor allem die IT-Fachbereichsleiter eine hohe Verantwortung. Der Mensch gitl als größte Schwachstelle. Konzepte müssen daher auch höhere Positionen (z.B. Geschäftsfüher, Vorstand) einbeziehen. Diese sollten nur im Notfall Zugang auf gewissen Informationen haben. Die Möglichkeit von Datenverlust oder Passwortverschleierung machen das notwendig. Man sollte sich nicht Gedanken darum machen, welche Passwörter man benutzt. Die Priorität liegt bei der Sicherstellung zu jeder Zeit die Hoheit wiederzuerlangen. Das setzt einen sicheren Passwortalgorhytmus vorraus.

IT-Security mit Planung spart zeit

Vielen mittelständischen Unternehmen ist IAM oder PAM kaum ein Begriff. Einige Anbieter für Systemlandschaften in der IT verwenden auch nicht viel Zeit in den Aufbau solcher Strukturen. An wenigen Anhaltspunkten lässt sich das schnell erkennen. Wir werfen hier nur einige Gedankenanstöße in den Raum. Am sichersten sind Daten, wenn Sie nicht im Passwortmanager gespeichert werden. Hochsensible Informationen werden maxmial auf Papier niedergeschrieben, wenn überhaupt. Wie lassen sich solche Maßnahmen mit der modernen Informatik kombinieren? Die uns derzeit bekannteste Struktur solcher Systeme bilden Bastion Hosts. Diese haben ein vorgelagertes PAM und müssen fachbereichsübergreifend angefordert werden. Dabei hat der Admin über einen Link via Mail eine zeitlich begrenzte Session mit einem Passwort, welches genereiert wurde und dieser nicht kennt. 

Der Zugang lässt sich also zeitlich beschränken und nur über mehrere Abteiliungen bekommt man überhaupt den Link ohne das Wissen über das Passwort. Zusätzlich ist im System der Administrator mit der beantragten Session bekannt und wird zeitlich getrackt. Dadurch wird es einfacher in großen Strukturen alles zu dokumentieren. Man kann nun darüber diskutieren, dass die Arbeit bzw. die Arbeitszeit damit getrackt wird. Allerdings wollen wir IT-Sicherheit herstellen und das bedeutet Kontrolle.