Security ?

Warum das Fragezeichen?

Weil viele Leute mit dem Wort nichts anzufangen wissen. Es gibt immer mehr Consultands welche auf den Zug aufspringen. Tatsaechlich haben wenige von diesen Beratern ein richtiges Verstaendnis fuer das Thema!
Natuerlich will ich mich hier nicht ueber die Kollegen erheben und nun ueber Fehler dieser auslassen! Vielmehr sollten hier einige Hinweise oder Denkanstoesse aufgefuehrt werden.
Security ist ein Prozess
Ein Zusammenspiel verschiedenster Komponenten.
Mit den Komponenten ist nicht nur die Hardware gemeint. Sondern auch das Umfeld, also Firma, Personen, umgang mit verschiedensten Anforderungen.
Beispiel:
Wenn sich eine Firma entschliesst, Daten zu sichern, wird oft nicht entschieden, wer konkret dafuer zustaendig ist.
Es wird nicht entschieden, was zu sichern ist.
Es wird nicht getestet, ob das Backup funktioniert, z.B. durch die Wiederherstellung der Daten zum Test

Wer entscheidet welcher Rechner kritisch ist? Und wie verfahren wird, wenn der Rechner Probleme hat wie: Einbruch, Diebstahl, HW Defekt, SW Defekt. Der Anfang eines sicheren Netzwerkes ist das Sicherheitsmanagement! Nicht die Implementierung eines Produktes!

Die Phasen sind folgende. Planung und Konzeption, Beschaffung, Umsetzung, Betrieb, Aussonderung und Notfallvorsorge. Nach dem ISO-Standard 27001: PLAN, DO, CHECK und ACT. Ein vernuenftiges Change Management muss auch implementiert werden. In der heutigen Zeit, mit Virtualisierung sollte es moeglich sein, aehnliche Rechner mit dummy Daten zur verfuegung zu haben, auf den diverse Patches etc. vor der Implementation getestet werden. Adminitratoren muessen sich umstellen und anfangen ihre Konfigurationen zu dokumentieren. Aenderungen muessen dokumentiert werden und Risiken muessen vorher eroertert werden.
Dies bringt fuer alle Beteiligten Vorteile und Geldersparnis.