Die Erstellung einer Firewall wird von vielen auf das Aufstellen eines Routers und Einrichten von Filterregeln beschränkt. Sie ist jedoch nur ein Werkzeug von vielen, die verwendet werden können. Grundlage eines effektiven Einsatzes beliebiger Sicherheitsmechanismen ist eine sauber ausgearbeitete (Informations-) Sicherheitspolitik. Sie ist der Ursprung jeglicher Standards, Verfahren und Richtlinien, die im Unternehmen zum Einsatz kommen.
Die Sicherheitspolitik einer Institution umfasst alle Aspekte der Sicherheit. In dieser Arbeit wird eine eingeschränkte Form, die IT-Sicherheitspolitik, behandelt. Diese adressiert nur jenen Aspekt der Sicherheit, die maschinell verarbeitete Informationen betrifft. Sie umfasst sowohl physikalische Aspekte wie Katastropenschutz oder Zugangskontrolle als auch Datentechnische wie Verschlüsselung, Authentizität, etc. In ihr wird festgelegt wo die Verantwortlichkeiten und Rechte für Daten liegen und in welcher Weise diese Anforderungen umgesetzt werden.
Wie weit eine Security Policy ins Detail geht hängt i.a. von den Sicherheitsanforderungen der jeweiligen Institution ab. Ihr Umfang variiert von einer Seite mit kurzen Statements bis zu mehrseitigen, sehr detaillierten Abhandlungen. Das Ausarbeiten einer Security Policy umfasst mehrere Schritte4, die auch in verschiedenen Organisationsebenen der Institution ablaufen:
Das Sicherheitsniveau einer Institution hängt von verschiedenen Faktoren ab. Die wichtigsten Kriterien sind der Grad der Vertraulichkeit der eigenen Daten und deren Integritätsanforderungen.
Als Erstes muss festgestellt werden, welche Art von Daten erfasst und bearbeitet werden. Hierbei gibt es Daten, deren Verlust allenfalls ärgerlich ist. Dies sind z.B. temporäre oder redundante Dateien. Andere aber kosten Zeit, Arbeit, oder auch Geld wenn sie verloren gehen bzw. verändert werden. Zu ihnen gehören u.a. Produktdatenbanken, Personalinformationen und Daten aus der Zeitverwaltung. Ein ebenfalls wichtiger Punkt ist die Geheimhaltung, damit weder Konkurrenten neue Entwicklungen noch eigene Mitarbeiter z.B. Lohndaten ohne Autorisierung einsehen.
Um die Daten angemessen schützen zu können, muss man sich ihrer Wichtigkeit im Ablauf der täglichen Arbeit und Entscheidungen bewusst sein. Werden sie bei strategisch wichtigen Beschlüssen zu Grunde gelegt, ist ein sehr hohes Mass an Sicherheit dafür zu fordern. Haben fehlende bzw. fehlerhafte Daten einen wesentlichen Zeitlichen Verzug für die Institution zur Folge, jedoch keinen fatalen Einfluss auf den Betrieb, so wird man ein mittleres Sicherheitsniveau veranschlagen. Sind die Fehler jedoch zu tolerieren oder mit minimalem Aufwand zu beseitigen, so genügt ein niedriges Niveau.
Beim festlegen auf das letztendlich geforderte Sicherheitsniveau sollte man unbedingt beachten, dass der Aufwand, der mit dem Erreichen eines entsprechend hohen Niveaus verbunden ist, exponentiell ansteigt, und absolute Sicherheit nur mit gezogenem Netzstecker realisiert werden kann.
Das weitere Vorgehen beim Erstellen der Sicherheitsarchitektur wird von dem zu bestimmenden Sicherheitsteam ausgeführt. Der Umfang des Teams richtet sich nach der Phase der Einführung. Während der Planung und Realisierung werden je nach Netzwerk- und Firmengröße eine oder mehrere Personen durchgehend abgestellt. Nach erfolgreichem Start können sich in der Regel nur sehr große Firmen einen Vollzeit Sicherheits-Manager leisten, jedoch ist es nicht anzuraten, eine Firewall ohne spätere Kontrolle zu betreiben.
Das Sicherheits Management - Team hat die gesamte Planung, Durchführung und den Betrieb der Sicherheitseinrichtungen zu Überwachen, wobei die Gesamt- Sicherheitsverantwortung in der oberen Führungsebene bleibt. Zu seinen Aufgaben gehört das ständige Überdenken der Sicherheitspolitik, deren Änderung und das Anpassen der technischen Umgebung. Regelmäßige Kontrollen der Integrität des LANs und Berichte und Logs darüber sind zu erstellen, um Sicherheitslöcher frühzeitig zu erkennen.
Diese Schritte werden im folgenden etwas genauer beleuchtet.
Sicherheitsniveau
Sicherheitsteam Etablieren