Standardisierungen für CSOs

IT-Sicherheit mit ITIL

10. Mai 2005
Für CIOs gehört der Einsatz von ITIL (IT-Infrastructure Library) schon fast zum Alltag. Für die IT-Sicherheitsexperten ist die Standardisierung dagegen oft noch ein Buch mit sieben Siegeln. Welche Chancen der Einsatz von ITIL im Zusammenspiel von IT-Sicherheitspolitik und Service Management bietet, zeigt eine Studie des Bundesamts für Sicherheit in der Informationstechnik.

Die frühzeitige Einbindung des Sicherheits-Managements bei der Implementierung von IT-Service-Management-Prozessen ist demnach in finanzieller und in sicherheitstechnischer Hinsicht "mehr als sinnvoll". Andererseits kann IT-Sicherheit nur dann wirksam eingebunden werden, wenn sich alle Sicherheitsmaßnahmen auf klar definierte Prozesse und Service-Anforderungen beziehen, heißt es in der Studie. In alle ITIL-Themen sollte das Sicherheits-Management mit einbezogen werden. Mit der StandardisierungStandardisierung können Einzelaufgaben institutionalisiert und als unterstützende Prozesse für die gesamte IT etabliert werden. Alles zu Standardisierung auf CIO.de

ITIL-Prozesse und IT-Grundschutzhandbuch zeigen zahlreiche Übereinstimmungen. (Quelle: BSI)
ITIL-Prozesse und IT-Grundschutzhandbuch zeigen zahlreiche Übereinstimmungen. (Quelle: BSI)

Ein Beispiel dafür ist das Zusammenspiel zwischen Service Support und Sicherheits-Management. Das von ITILITIL im Rahmen des Service Support Managements empfohlene Service Desk kann gleichzeitig als zentrale Anlaufstelle für die Anwenderunterstützung und als so genanntes SecuritySecurity Front Office dienen. Es sollte firmenintern und unabhängig von einer zentralen oder dezentralen Organisation für die Annahme und Erfassung von Sicherheitsvorfällen, für die Feststellung von Störungen, die Dokumentation und die Alarmierung von Verantwortlichen zuständig sein. Alles zu ITIL auf CIO.de Alles zu Security auf CIO.de

Störungs-Management

Wie notwendig die Verknüpfung von Service- und Sicherheitsmanagement zu einem gemeinsamen Störungs-Management ist, zeigt die Studien am Beispiel von Intrusion-Detection-Systemen (IDS). Einer der häufigsten Fehler der IT-Sicherheitsexperten ist nämlich, dass sie IDS ohne prozessuale und organisatorische Einbindung etablieren. Die oft hohen Investitionskosten verpuffen allerdings sinnlos, weil Probleme für den IT-Betrieb entweder nicht erkannt werden oder weil die Verantwortlichen nicht entsprechend darauf reagieren.

Ganz anders ist das beim Einsatz von ITIL. Störungen werden hier nach Prozessvorgaben zentral gemeldet und erfasst. So können sie automatisiert bearbeitet und überwacht werden. In gleicher Weise lassen sich Überwachungssysteme in das Störungs-Management einbinden. Sicherheitsvorfälle können so durch das Service Desk und entsprechende Spezialisten bearbeitet werden.