Standardisierungen für CSOs

IT-Sicherheit mit ITIL

10.05.2005
Für CIOs gehört der Einsatz von ITIL (IT-Infrastructure Library) schon fast zum Alltag. Für die IT-Sicherheitsexperten ist die Standardisierung dagegen oft noch ein Buch mit sieben Siegeln. Welche Chancen der Einsatz von ITIL im Zusammenspiel von IT-Sicherheitspolitik und Service Management bietet, zeigt eine Studie des Bundesamts für Sicherheit in der Informationstechnik.

Die frühzeitige Einbindung des Sicherheits-Managements bei der Implementierung von IT-Service-Management-Prozessen ist demnach in finanzieller und in sicherheitstechnischer Hinsicht "mehr als sinnvoll". Andererseits kann IT-Sicherheit nur dann wirksam eingebunden werden, wenn sich alle Sicherheitsmaßnahmen auf klar definierte Prozesse und Service-Anforderungen beziehen, heißt es in der Studie. In alle ITIL-Themen sollte das Sicherheits-Management mit einbezogen werden. Mit der Standardisierung können Einzelaufgaben institutionalisiert und als unterstützende Prozesse für die gesamte IT etabliert werden.

Ein Beispiel dafür ist das Zusammenspiel zwischen Service Support und Sicherheits-Management. Das von ITIL im Rahmen des Service Support Managements empfohlene Service Desk kann gleichzeitig als zentrale Anlaufstelle für die Anwenderunterstützung und als so genanntes Security Front Office dienen. Es sollte firmenintern und unabhängig von einer zentralen oder dezentralen Organisation für die Annahme und Erfassung von Sicherheitsvorfällen, für die Feststellung von Störungen, die Dokumentation und die Alarmierung von Verantwortlichen zuständig sein.

Störungs-Management

Wie notwendig die Verknüpfung von Service- und Sicherheitsmanagement zu einem gemeinsamen Störungs-Management ist, zeigt die Studien am Beispiel von Intrusion-Detection-Systemen (IDS). Einer der häufigsten Fehler der IT-Sicherheitsexperten ist nämlich, dass sie IDS ohne prozessuale und organisatorische Einbindung etablieren. Die oft hohen Investitionskosten verpuffen allerdings sinnlos, weil Probleme für den IT-Betrieb entweder nicht erkannt werden oder weil die Verantwortlichen nicht entsprechend darauf reagieren.

Ganz anders ist das beim Einsatz von ITIL. Störungen werden hier nach Prozessvorgaben zentral gemeldet und erfasst. So können sie automatisiert bearbeitet und überwacht werden. In gleicher Weise lassen sich Überwachungssysteme in das Störungs-Management einbinden. Sicherheitsvorfälle können so durch das Service Desk und entsprechende Spezialisten bearbeitet werden.

Sicherheitslücken sind Probleme

ITIL unterscheidet Störungs- und Problem-Managment. Besonders bei letzterem kommen einige der klassischen Aufgaben des IT-Sicherheits-Managements zum Tragen. Dazu gehören die Auditierung von Systemen, um Sicherheitslücken aufzudecken, die Problemanalyse und die Entwicklung von Lösungsvorschlägen.

Ein Service-Management nach ITIL unterstützt das Sicherheits-Management dabei, seine Verfahren zur Problemanalyse, -behebung und -vermeidung prozessorientiert zu gestalten. Ein proaktives Problem-Management kann andererseits vom Sicherheits-Management lernen. So etwa, wie sich über systematische Audits Verletzungen von Sicherheitsrichtlinien frühzeitig erkennen lassen.

ITIL macht für die Herausgeber der Studie "bei konsequenter Integration des Themas IT-Sicherheit in Geschäftsprozesse" sicherheitstechnische Anforderungen transparenter. Zudem lässt sich mit ITIL das Sicherheits-Management frühzeitiger und produktiver in Entscheidungsprozesse einbinden. Darüber hinaus kann "die Verinnerlichung des Servicegedankens" auch im Sicherheits-Management dazu führen, "Sicherheit an sich als Service zu definieren".

Die Studie "ITIL und Informationssicherheit" hat das IT-Beratungsunternnehmen Hisolutions im Auftrag des Bundesamts für Sicherheit in der Informationstechnik erstellt. Sie soll IT-Verantwortliche in Behörden und Unternehmen eine Einführung in ITIL bieten. Anhand von zahlreichen Beispielen erläutert die Studie, welche Synergieeffekte sich durch eine Kooperation von IT-Sicherheit und IT-Services erzielen lassen.