10 IT-Prinzipien
Grundsätze für den sicheren IT-Betrieb
Warum?
Die Organisation der IT ist in vielen Unternehmen sehr unterschiedlich stark ausgeprägt. Überraschenderweise kommt den einfachen Grundlagen oft nicht die Priorität zu, die sie verdienen. Die folgenden „10 IT-Prinzipien“ sind für jedes IT-System anzuwenden. Das ist der Fokus. Es geht hier also nicht um den Betrieb, sondern die einzelnen Systeme. Dabei kann es sich um einen Server, Arbeitsplatz-PC, Netzwerkswitch, Drucker, Smartphone oder eine Webanwendung handeln.
Zehn Grundsätze, die für jedes System erfüllt sein müssen, um die Basis für den sicheren Betrieb zu schaffen. Suchen Sie sich ein beliebiges System in Ihrem Verbund aus und fragen Sie sich, ob Sie zu allen Grundsätzen eine positive Antwort geben können...
1. Inventarisierung
Was ist zu tun?
Alle IT-Assets sind inventarisiert, sowie Verantwortliche bzw. Eigentümer zugeordnet. Das umfasst Server, Speichergeräte und alle Computer. Aber auch Netzwerkswitche und Serverräume inkl. Klimageräte und USVs, Applikationen auf den Servern, Anwendungen auf den PCs, virtuelle Maschinen, Notebooks, Smartphones usw.
Was bringt das?
- Sie finden die Objekte in Ihrem Verzeichnis schnell wieder
- Sie haben eine Übersicht über ihre Assets
- Zuständigkeiten sind geregelt
- fehlende Redundanzen können festgestellt werden
- Basis für Kapazitäts- und Notfallmanagement
Woher kommt das?
DIN ISO/IEC 27001, Maßnahmen A.8.1.1, A.8.1.2
2. Konfiguration
Was ist zu tun?
Die Einstellungen Ihrer Systeme sind so konfiguriert, dass nicht benötigte Funktionen oder Dienste deaktiviert sind. Sie haben Mindestanforderungen zur Sicherheit festgelegt, die auf jedes Gerät angewendet werden. Dazu sind Hinweise des Herstellers berücksichtigt. Änderungen an den Einstellungen werden vorher koordiniert und anschließend dokumentiert. Sie können die System-Konfiguration und Nutzdaten voneinander trennen.
Was bringt das?
Grundsätzlich stellen aktive Funktionen und Dienste (z.B. aktiviertes Bluetooth) eine Schwachstelle dar. Durch die Deaktivierung von ungenutzten Funktionen und Diensten kann man sich den drohenden Ärger von außen sparen.
Woher kommt das?
DIN ISO/IEC 27001, Maßnahmen A.14.1.1, A.14.2.1
3. Wiederherstellung
Was ist zu tun?
Sie führen regelmäßig Sicherungen von Daten und Systemen durch. Welche Daten das sind, haben Sie vorher sorgfältig identifiziert. Sie sichern nicht nur Daten, sondern auch Konfigurationen von Systemen. Die Backupmedien sind vor ungewollter und unbefugter Veränderung geschützt. Die Wiederherstellung wird regelmäßig geübt und die Daten verifiziert. Für den Fall eines Datenverlustes haben Sie festgelegt, für welchen Zeitraum Sie auf Daten verzichten können und welche Wiederherstellungszeit für Ihr Tagesgeschäft angemessen ist.
Was bringt das?
- Eine gute Datensicherung schützt im Fall der Fälle vor Datenverlust.
- Regelmäßige Wiederherstellungstests stellen sicher, dass vor allem relevante Daten verfügbar sind und eine Wiederherstellung auch funktioniert.
- Ein Datenverlust kann für ein Unternehmen existenzbedrohend sein, daher ist die folgende Frage keine Kür, sondern eine Pflicht: „Wie lange kann ich auf welche Daten verzichten und wie aktuell müssen die Daten, beispielsweise vor einer Löschung, gewesen sein?“
Woher kommt das?
DIN ISO/IEC 27001, Maßnahmen A.12.3.1, A.18.2.3
4. Aktualisierung
Was ist zu tun?
Sie stellen sicher, dass alle von Ihnen betriebenen Systeme (dazu gehören Betriebssysteme und Anwendungen gleichermaßen) mindestens monatlich mit Aktualisierungen der Hersteller versorgt werden. Bei Systemen, die direkt mit dem Internet verbunden sind, führen Sie dies täglich durch. Dazu sind im Idealfall Automatismen, mindestens jedoch Verantwortlichkeiten und Zeitpläne festgelegt. Probleme werden nachverfolgt und dokumentiert sowie das Update nachgeholt.
Was bringt das?
Bekannte Schwachstellen, die ungepatcht bleiben, sind ein ideales Einfallstor für Angreifer. Ein Großteil erfolgreicher Angriffe bedienen sich fehlender Patches.
Woher kommt das?
DIN ISO/IEC 27001, Maßnahmen A.12.5.1, A.12.6.1
5. Härtung
Was ist zu tun?
Ihre Systeme sind robust gegen Angriffe von außen. Sie haben alle Möglichkeiten umgesetzt, um das System sicher zu konfigurieren. Sie verwenden nach Möglichkeit für eine Funktion nur einen Server. Sollten Lösungen gegen Schadsoftware für Ihr System vorhanden sein, haben Sie diese eingeführt und konfigurieren sie zentral. Sie haben Tests durchgeführt oder durchführen lassen, ob Ihre Systeme sicher vor unbefugtem Zugriff sind.
Was bringt das?
Das Abschalten für den Betrieb unnötiger Funktionen und Optionen sichert die Stabilität und Robustheit Ihrer Systeme. Viele Hersteller geben inzwischen Anleitungen zur Umsetzung heraus.
Woher kommt das?
DIN ISO/IEC 27001, Maßnahmen A.12.6.1, A.14.2.9
6. Berechtigungen
Was ist zu tun?
Sie gehen strikt nach dem Prinzip vor, dass nur derjenige Zugriff auf Daten und Systeme erhält, der dies zur Aufgabenerfüllung wirklich benötigt. Berechtigungen werden beantragt und genehmigt. Dies wird nicht immer die IT sein. Sie trennen Administratorenberechtigungen und normale Benutzerberechtigungen voneinander. Die Benutzerverwaltung erfolgt idealerweise zentral. Nicht benötigte Berechtigungen werden gesperrt oder gelöscht. Sie verwenden 2-Faktor-Authentifizierung wo immer es möglich ist und lassen ausschließlich starke Passwörter zu.
Was bringt das?
Die Berechtigungsvergabe gemäß dem Need-to-know-Prinzip schützt vor unkontrolliertem Informationsabfluss sowie Informationslöschung, Informationseinsicht und Informationsänderung.
Woher kommt das?
DIN ISO/IEC 27001, Maßnahmen A.9.2.2, A.9.4.1
7. Überwachung
Was ist zu tun?
Sie stellen sicher, dass Sie benachrichtigt werden, falls sich ein System anders verhält als normalerweise (z.B. wenn es ausfällt). Die verbrauchten Ressourcen wie CPU, Arbeits- und Festplattenspeicher behalten Sie im Auge und reagieren umgehend. Idealweise bemerken Sie auffälliges Verhalten von Systemen durch host- oder netzwerkbasierende IDS/IPS. Alarmen und Fehlermeldungen gehen Sie nach und handeln angemessen.
Was bringt das?
- Durch Monitoring können z.B. Angriffe auf Ihr Unternehmensnetzwerk schnell erkannt werden.
- Ein Monitoring kann die Verfügbarkeit Ihrer Dienstleistungen (z.B. Onlineshop) sicherstellen bzw. dazu beitragen.
- Ein Monitoring kann auch als Basis für Ihr Kapazitätsmanagement dienen.
Woher kommt das?
DIN ISO/IEC 27001, Maßnahmen A.12.4.1, A.16.1.5
8. Dokumentation
Was ist zu tun?
Sie haben eine pragmatische Lösung, um Ihren IT-Betrieb zu dokumentieren. Administratoren finden schnell die benötigten Informationen. Es wird ausreichend Zeit für eine sinnvolle Dokumentation eingeräumt. Fachkundige Dritte sind in der Lage, mit der Dokumentation den Betrieb fortzuführen. Sie prüfen regelmäßig die Aktualität der Informationen und schulen Andere im Umgang mit den Tools zur Dokumentation.
Was bringt das?
Personal kann z.B. durch Krankheit oder Unfall plötzlich ausfallen. Sind die relevanten Prozesse nicht dokumentiert, kann der Ausfall eines „unersetzlichen Mitarbeiters“ das Tagesgeschäft beeinträchtigen.
Woher kommt das?
DIN ISO/IEC 27001, Maßnahme A.12.1.1
9. Prüfung
Was ist zu tun?
Sie führen regelmäßig Kontrollen durch, ob Ihre Systeme noch die Konfigurationen haben, die gewünscht sind und Ihren eigenen Vorgaben entsprechen. Logfiles werden untersucht und Auffälligkeiten nachgegangen. Sie prüfen, ob Berechtigungen noch dem Soll-Zustand entsprechen und ob Checklisten im IT-Betrieb korrekt verwendet wurden und vollständig sind. Für besonders wichtige Anwendungen und Systeme lassen Sie die Prüfungen von Fachleuten durchführen und mindestens durch jemanden, der nicht regelmäßig mit dem System arbeitet.
Was bringt das?
- Flüchtigkeitsfehler können dadurch gefunden und beseitigt werden.
Betriebsblindheit kann durch eine externe Sichtweise vorgebeugt werden.
Woher kommt das?
DIN ISO/IEC 27001, Maßnahmen A.18.2.2, A.18.2.3
10. Lizensierung
Was ist zu tun?
Sie haben eine Übersicht über alle gekauften (Soll) und alle installierten (Ist) Lizenzen. Im Idealfall stimmen die Ist- mit den Soll-Werten überein. Falls nicht, handeln Sie in angemessenem Zeitraum. Sie werden automatisch darüber benachrichtigt, wenn Lizenzen ablaufen.
Was bringt das?
- Sie bleiben rechtskonform und vermeiden Strafen für Unterlizensierung.
- Eine Lizenzverwaltung dient als Basis des Kapazitätsmanagement.
- Rechtzeitige Informationen über Lizenz-Ablaufdaten schützt vor Beeinträchtigung des Tagesgeschäfts, z.B. kein Stillstand durch abgelaufene Softwarelizenz in der Produktion.
Woher kommt das?
DIN ISO/IEC 27001, Maßnahme A.18.1.2