Konzeptionelle IT Security

Was ist das?

Neben den praktischen Teilen der IT Security wie z.B. Penetrationstests, Vulnerability Scanning und Vulnerability Management, gibt es auch den konzeptionellen Part, die konzeptionelle IT Security.

Die Detailtiefe der Konzepte variiert sehr stark je nachdem, ob es um generelle Themen wie einer IT Security Strategie, bei der die groben Bedarfe und Bestandteile ohne konkrete Vorgaben abgesteckt werden, oder um konkrete Implementierungsvorgaben und Blaupausen zu Lösungen geht.

Warum?

Wie so häufig in der IT und im Allgemeinen ist bei der IT Security wichtig sich unabhängig von konkreten Lösungen Gedanken zur adäquaten Absicherung zu machen, um bildlich gesprochen zu vermeiden, das fünfte Schloss an ein Tor  anzubringen, obwohl die Mauer links und rechts bereits nach 3m endet. D.h. Unternehmen benötigen einen Überblick über die Schutzbedarfe und Schutzmaßnahmen  und müssen diese Einklang bringen, wobei die Bedarfe die Maßnahmen bedingen und nicht umgekehrt.

Die Schutzmaßnahmen müssen dann von allgemeinen Vorgaben wie z.B. Sicherheitsrichtlinien heruntergebrochen werden und zunehmend konkreter und detailreicher werden.

Aus Sicherheitsrichtlinien, die ein Unternehmen aufstellt und in Kraft setzt, ergeben sich häufig Implikationen auf den Betrieb von Hard- und Software sowie bereitgestellte Services. Weiterhin kann es verpflichtende Vorgaben und Empfehlungen geben, die ein Unternehmen umsetzen muss oder sollte. Das können z.B. Vorgaben durch PCI DSS, Wirtschaftsprüfer, BSI oder BAFin sein. Dies sind in der Regel allgemeine Vorgaben ohne konkrete Umsetzungsanleitungen. Auch Ergebnisse von Schwachstellenscans und Penetrationstest können sicherheitstechnische Änderungen bzgl. Arbeitsweisen, Infrastruktur, etc. nötig machen, die konzeptionell zunächst zu erarbeiten sind, damit sie auch zum Unternehmen, vorhandener Infrastruktur und Ressourcen passen.