Security Analysen - Eine Notwendigkeit im Zeitalter des "UBIQUITOUS COMPUTING"

Die Informationstechnologie dringt in immer mehr Bereiche unserers tägliches Lebens ein, speziell Embedded Systems sind für den Benutzer oft unsichtbare Bestandteile der Geräte unserer vernetzten und immer komplexer werdenden Welt. Sie finden sich in Unternehmen in LAN-Druckern genauso wie in Uhren und Mikrowellen im Haushalt oder in medizinischen Geräten. Dieser omnipräsente Einsatz von Software und Embedded Systems [8] fordert Unternehmen, sich vermehrt mit IT-Sicherheit zu beschäftigen um z.B. kostspieleige Ausfälle der Informations- und Kommunikationsinfrastruktur oder den Verlust von sensiblen Daten zu vermeiden. Dieser Artikel stellt die SecuQuest Methode für die Durchführung von Security Analysen in Unternehmen vor. Für viele Entscheidungsträger in Management von kleinen und großen Unternehmen stellt die Security einen schwer fassbaren Themenbereich dar. Neben der hohen Komplexität und den Schwierigkeiten eines Know-how Aubaus bereitet vor allem die Bewertung von Security Ausgaben in Relation zum erzeugten Nutzen bzw. dem nicht eingetretenen Schaden Shwierigkeiten. Die derzeit häufig verwendeten Methoden im Bereich de Security Analysen schafften hier nur bedingt Abhilfe. Bei der Erarbeitung der SecuQuest Methode wurde besonderes Augenmerk auf die Sensibilisierung der Mitarbeiter und des Managements gelegt. Durch einen höheren Grad an Abstraktion wird nicht direkt auf die konkret vorhandenen Strukturen eingegangenen. Gleichzeitig bringt die SecuQuest Methode Nachvollziehbarkeit von Verbeserungen und hohe Vergleichbarkeit. So können sowohl ganze Unternehmen wie auch Unternehmensteile oder Standorte analysiert und verglichen werden. Die Erstellung der Security Analyse erfolgt in Form eines geführten Assessments mit starker Einbindung der Mitarbeiter. Die Methode erlaubt eine weitgehend von kurzfristigen technischen Veränderungen unabhängige und zugleich qualitativ hochwertige an der BS 7799 bzw. ISO 17799 orientierte Gesamtanalyse. Für die Darstellung der Ergebnisse wurde bewusst eine visuell sehr einfach zu interpretierende Form gewählt, die Anstoß für einen kontinuierlichen Verbesserungsprozess und konkrete Maßnahmen im Security-Bereich sein soll und von hoher Aussagekraft sein soll.