Wir stellen vor: Unsere Informationssicherheit

11. Juni 2019

Bei meinem letzten Besuch im HÄVG Rechenzentrum war ich in einer recht kleinen, aber trotzdem sehr bedeutsamen Abteilung: In der Informationssicherheit. In Empfang genommen hat mich Christian Kierdorf, der Informationssicherheitsbeauftragte, dessen Ziel es ist IT-Sicherheit in der Firma zu verankern und durchzuführen. „Wir arbeiten hier auch mit dem CIA-Prinzip.“, grinst er. Dabei geht es nicht um den US-amerikanischen Geheimdienst, sondern um wichtige Prinzipien, deren Verhältnis abgestimmt werden muss, um Sicherheit und gleichzeitige Wirtschaftlichkeit in einem Unternehmen zu garantieren: Confidentiality, Integrity, Availability oder zu deutsch Vertraulichkeit, Integrität, Verfügbarkeit.

Vertraulichkeit, Integrität, Verfügbarkeit

Vertraulichkeit betrifft den Zugriff auf die Daten und den Zutritt zu Räumlichkeiten. Hier arbeitet das Rechenzentrum im Sinne des „Need-to-know“-Prinzips. Wer muss wirklich Zugriff auf welche Daten haben, um seine Arbeit zu erledigen? „Für den Workflow wäre es natürlich am einfachsten, wenn jeder Zugriff auf alles hätte. Das ist bei uns aber nicht erwünscht, da die Vertraulichkeit der Daten an erster Stelle steht.“, erklärt Christian. So hat zum Beispiel auch nicht jeder das Recht, alle Räume einfach zu betreten. Ein Beispiel ist der Serverraum. „Hier darf auch ich nicht alleine ohne einen der Systemadministratoren herein.“

An zweiter Stelle steht die Integrität. Diese meint die Vollständigkeit und Richtigkeit der Daten. Gerade im Kontext von Gesundheitsdaten ist auch deren Integrität entscheidend, denn durch einen Systemfehler oder einer falschen Eingabe könnte schließlich eine falsche Diagnose an die Krankenkasse übermittelt werden, die dann später zu einer Fehleinschätzung bei der Kasse führt wird. Das gilt es natürlich zu vermeiden, denn hier geht es nicht nur um monetäre Einbußen, sondern um Risiken für die PatientInnen. „Deshalb werden bei Hackerangriffen heutzutage auch oft Daten nicht gelöscht, sondern manipuliert. Davor sichern wir uns ab.“, erzählt Christian.

Schließlich ist auch die Verfügbarkeit zentral, denn fällt das System aus, kann das Rechenzentrum nicht mehr arbeiten und es droht Datenverlust. Dafür werden dementsprechend viele Back-Ups der Daten erstellt und das System nach Bedarf ausfallsicher aufgebaut. Hier spielt auch der wirtschaftliche Aspekt eine Rolle: „Würde zum Beispiel das Serversystem von Amazon ausfallen, und auch nur für eine Stunde, würde das Millionen Euro an Verlust bedeuten. Das ist bei uns zum Glück nicht der Fall. Aber ein Datenverlust würde uns hart treffen.“, meint Christian.

Das CIA-Prinzip: Confidentiality, Integrity, Availability.

Das tägliche Brot

Zusammen mit der Geschäftsführung hat Christian deswegen eine Informationssicherheits-Leitlinie erarbeitet, die Vertraulichkeit, Integrität, Verfügbarkeit in ein Verhältnis setzt. „Daraus leitet sich zum Beispiel auch ab, welche Investitionen wir im welchem Bereich tätigen. Was hat Vorrang? Und welche gesetzlichen Anforderungen gibt es außerdem in unserer Branche?“ Das daraus entstandene Management-System entspricht der ISO 27001 und ist somit vom TÜV zertifiziert, muss aber regelmäßigen neuen Prüfungen unterzogen werden. Oder wie Christian sagt: „Sicherheit ist kein Zustand, sondern ein Prozess.“ Deshalb arbeitet er auch eng mit der Datenschutzbeauftragten der HÄVG AG zusammen, mit der er sich regelmäßig zu Meetings trifft.

Seine tägliche Arbeit besteht deswegen auch aus dem sogenannten Risk-Management: Mögliche Risiken für die IT-Sicherheit erkennen, sie reduzieren, abschaffen oder auch akzeptieren. Dabei steht Christian immer in engem Austausch mit den betroffenen Abteilungen und je nach Risikolevel auch mit der Geschäftsführung, denn er kann nicht alle Maßnahmen alleine entscheiden. Auch das ist Teil des Sicherheitskonzeptes. Außerdem muss er zwischen den inneren und externen Gefahren, den sogenannten Angriffsvektoren, unterscheiden. Diese unterliegen natürlich ständigen Wandel, deswegen wird Christian aus den Abteilungen regelmäßig über Veränderungen in Kenntnis gesetzt.

Nicht jeder darf in jeden Raum.

Sicherheitsrichtlinien für jede Abteilung

Jede Abteilung hat also ihre eigene Richtlinie, wie zum Beispiel zur sicheren Softwareentwicklung, die festlegt welche Ziele in diesem Bereich verfolgt werden und was das genau für die einzelnen Arbeitsschritte wie die Entwicklungsumgebung der Programmierer bedeutet. Damit Christian nicht von außen einen Sicherheitsstandard vorschreibt, der zwar theoretisch ganz wunderbar aussieht, das Arbeiten aber in der Realität unmöglich macht, werden diese Richtlinien auch mit den Abteilungsleitern zusammen erarbeitet. So kann auch die Effizienz bei größtmöglicher Sicherheit gewährleistet werden.

Aber dies muss regelmäßig gecheckt werden. Dafür führt Christian dann immer wieder sogenannte interne Audits durch. Dabei wird untersucht, ob der aus der Richtlinie resultierende Arbeitsprozess wie dokumentiert umgesetzt wird und ob er wirklich geeignet ist, die Sicherheitsziele zu erreichen.
„Wir untersuchen dann gemeinsam, ob das definierte Sicherheitsniveau in Aufwand und Häufigkeit dem Schutzbedarf entspricht und ob Veränderungen berücksichtigt worden sind. Also ob der geplante Prozess sich wirklich eignet. Und dann schauen wir uns dessen Umsetzung an, denn vielleicht gibt es auch andere Varianten, die noch nicht beschrieben wurden.“, erklärt mir Christian.

Der Informationsverbund

Dabei hat Christian immer den sogenannten Informationsverbund im Auge: Organisation, Personal, Infrastruktur, Technik, also die Bereiche im Haus, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Organisation meint zum Beispiel Maßnahmen wie die Trennung von Buchhaltung und Einkauf: „Durch so etwas kann Betrug vermieden werden, deswegen wird das in vielen Firmen so gemacht.“ Was das Personal angeht, will er hier vor allem ein Bewusstsein für Gefahren für die IT-Sicherheit schaffen. So bestellt er auch schon einmal einen Hacker in die Personalversammlung, um zu veranschaulichen, wie schnell ein Profi ein schwaches Passwort knacken kann. „Dadurch steigt die Awareness für diese Probleme bei den MitarbeiterInnen besser als wenn ich stundenlange Vorträge halte.“, lacht er.

Security Awareness heißt das Zauberwort.

Sicherheit ist ein Prozess

Auch die Infrastruktur des Unternehmens ist natürlich ein wichtiges Bindeglied für die IT-Sicherheit. Bei einem technischen Ausfall der Server muss zum Beispiel sichergestellt werden, dass das System nicht abbricht und Daten verloren gehen. Dafür gibt es im Rechenzentrum die unterbrechungsfreie Stromversorgung der Server. Diese werden dann ordnungsgemäß heruntergefahren, so dass die Daten gesichert sind. Und schließlich arbeitet Christian eng mit der Systemadministration der IT zusammen, denn natürlich sind auch Technik und Endgeräte Teil des Informationsverbundes. „Da geht es um alles was man so braucht bei der Bedienung des Gerätes: Vom Passwort bis zur Firewall.“ Da muss sich der IT-Sicherheitsbeauftragte auch ansonsten Up-to-Date halten, denn einige Schwachstellen finden sich auch in genutzten Programmen von Drittanbietern oder stellen neue Anforderungen an Christian. „Wenn Sicherheit ein Prozess ist, dann darf auch ich nicht aufhören, immer weiter zu lernen.“

 

Selbst in den Meetingräumen kann nicht einfach jeder ans Netz: Das Gerät muss registriert sein.
Anforderungskatalog Vertragssoftware für das 3. Quartal 2019 - 3. Version Wartungsintervall am Mittwoch, 19.06.2019, ab 18:00 Uhr
Über den Autor
Hannah Buchheister

Hannah Buchheister

Interessante Beiträge

Rückrufservice wir melden uns !

Sie möchten, dass wir Sie zurückrufen? Schicken Sie uns einfach Ihre Telefonnummer und wir rufen Sie so bald wie möglich zurück.