Beim Umgang mit Informationen bietet das Thema Sicherheit großes Diskussionspotential, denn die Gefahr für Wirtschaft und Gesellschaft wächst im digitalen Zeitalter stetig. Für Schutz sorgen Entwickler und Nutzer von Softwarelösungen mittels verschiedener Maßnahmen.
Cyberkriminalität ist ein düsteres Anhängsel des digitalen Wandels: Es wird immer einfacher, virtuell in Unternehmen einzubrechen. Meist zielen Kriminelle dabei auf finanziellen Gewinn ab, doch auch das Vertrauen ins Unternehmen leidet. Dass Datenschutz im digitalen Zeitalter höchste Priorität hat, offenbart der Sicherheitsrahmen der EU-Datenschutz-Grundverordnung (EU-DSGVO): Er gibt vor, dass Unternehmen sensible Daten nachweislich schützen müssen. Auch Softwareanbieter stehen in der Verantwortung und müssen bei Verstoß gegen die EU-DSGVO Bußgelder leisten. Zu den relevanten Kriterien des Sicherheitsrahmens zählen Menge und Art der zu verarbeitenden Informationen, deren Speicherfrist sowie die Zugänglichkeit.

Die EU-DSGVO gibt außerdem vor, dass die Hard-und Software bereits während des Entwicklungsprozesses auf Schwachstellen getestet werden sollte, um Sicherheitslücken zu minimieren. Nach den Methoden „Security by Design“ und „Privacy by Design“ sollten also spezifische Schutzmaßnahmen eingehalten werden, bei denen Vertraulichkeit, Verfügbarkeit und Integrität von Informationen die drei Security-Kernprinzipien bilden. Sensible Daten müssen vor unberechtigten Zugriffen, Manipulation und Löschung genauso geschützt werden wie die eigentlichen Informationssysteme.

Das Layered Security Framework

Um es Hackern schwer zu machen, hat sich bei der Softwareentwicklung das Layered Security Framework von Alex Berson und Larry Dubov bewährt: ein mehrschichtiges Modell für den sicheren Umgang mit Informationen. Dabei gelten für jede Schicht der Softwarearchitektur (Data, Application) und der technischen Infrastruktur (Platform, Network, Perimeter) eigene Sicherheitsmaßnahmen. Von innen nach außen bauen sie aufeinander auf; die jeweils überlagernde Schicht kompensiert die Sicherheitslücken der unteren.

Die Softwarearchitektur

Um Daten (Data) und Anwendungen (Application) als Schichten der Softwarearchitektur zu sichern, ist eine zweistufige Authentifizierung und Autorisierung bedeutsam: Wer ist wozu berechtigt? Dies steuert das Identity Access Management zentral und gibt Unternehmen einen Rahmen, in dem sie geschützt in einer Private- oder Public-Cloud arbeiten können. Wichtig ist zudem der begrenzte Datenzugang durch ein Data-Visibility-Konzept mit entsprechenden Sicherheitszertifikaten. Darüber hinaus sollten Web-Lösungen mithilfe der führenden Sicherheitsrichtlinien des Open Web Application Security Project auf Schwachstellen untersucht worden sein.

Die technische Infrastruktur

Die technische Infrastruktur teilt sich in die internen Schichten Platform und Network sowie in die übergreifende Perimeter-Schicht: Zur Platform zählen Betriebssysteme, Web- bzw. Application-Server sowie Datenbanken und Dateisysteme. Die Verbindungen zu ihnen via Kabel oder WLAN können unterschiedlich geschützt werden: durch verschlüsselte Datenspeicher, die richtige Port-Konfiguration, aktuelle Updates, blockierte Systeminformationen sowie strenge Autorisierungsmaßnahmen.

Weitere Präventivmaßnahmen innerhalb des lokalen Netzwerks (Network) sind die Verschlüsselung der Datenübertragung anhand von Transport Layer Security sowie die sichere Konnektivität durch Firewalls. Diese Perimeter-Schicht ermöglicht die Verbindung zwischen einem geschlossenen und einem öffentlichen Netzwerk und wird etwa durch ein Virtual Private Network (VPN) sowie VPN-fähige Firewalls geschützt. Ein Access Point sorgt wiederum für eine sichere WLAN-Umgebung; ein Security Information Event Management erkennt, wann und wo der Umgang mit Daten von geltenden Compliance-Vorschriften abweicht.

Weitere Sicherheitsmaßnahmen

Für ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) sollten Unternehmen zudem organisatorische und verfahrenstechnische Maßnahmen treffen. Ein ISMS berücksichtigt besonders die Privatsphäre und die drei Security-Kernprinzipien. Obwohl in der ISO-Norm nicht explizit erwähnt, gibt es zudem die physische Sicherheit, die den Zutritt zu Serverräumen, aber auch Netzwerkkabel oder die Reichweite der WLAN-Verbindung betrifft. Für cloudbasierte Arbeitsumgebungen sind Cloud-Provider, deren Rechenzentren nach ISO 27001 zertifiziert sind, die richtigen Sicherheitspartner.

Fazit

Informationssicherheit ist von großer Bedeutung, wollen sich Unternehmen vor unbefugtem Zugriff auf ihre Daten schützen. Diese Sicherheit liegt auch in der Verantwortung der Software- sowie Cloud- Anbieter, mit denen sie zusammenarbeiten. Dabei stehen Vertraulichkeit, Integrität und Verfügbarkeit der Informationen im Fokus. Um finanziellen wie immateriellen Schäden durch Hacker vorzubeugen, bedarf es Zeit und Geld – angesichts des steigenden Sicherheitsbewusstseins von Kunden, Lieferanten und Partnern eine wichtige Investition.