Die CMDB (Configuration Management Database) als Erfolgsgarant (1 von 2)

27 July 2020

Warum IT-Sicherheitsmanagementsysteme EINE integrierte CMDB nutzen sollten!

Die europäische und nationale Gesetzgebung hat umfassende Regelwerke und Gesetze etabliert, die sicher stellen sollen, dass Unternehmen bei Ausfall unternehmenskritischer IT Komponenten keinen existenzbedrohenden Schaden erleiden. Des Weiteren wird der Schutz der persönlichen Daten eines jeden umfassend sichergestellt.

Der Gesetzgeber hat zum Teil drastische Strafen angedroht, wenn die gesetzlichen Regeln nicht eingehalten werden. Man kann allerdings in der täglichen Praxis den Eindruck gewinnen, als wenn ein Kampf für mehr Datenschutz und Datensicherheit einem Kampf gegen Windmühlenflügel gleicht. 

Organisationsverschulden, also das nicht Einhalten einschlägiger gesetzlicher Regelungen wie:

  • KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)
  • GmbH- und AG-Gesetze
  • UMAG (Gesetz zur Unternehmensintegrität und Modernisierung)
  • sowie die bekannten ISO2700x, ...

 

ziehen die direkte Haftung der Geschäftsführung, der CIO’s und der Systemadministratoren nach sich. Nicht nachvollziehbar ist, dass hier immer noch mi einer gewissen Nachlässigkeit vorgegangen wird.

In einem Kundengespräch mit einem Unternehmer bekam ich vor kurzem, auf den Hinweis das er beim Einsatz von Videokonferenzsystemen die europäischen Datenschutzregeln beachten müsse, folgenden Satz zu hören:

„Der Datenschutz kann mir gestohlen bleiben, das interessiert meine Kunden einen Dreck.“

Dies ist kein Einzelfall. Dabei ist das Einhalten der Vorschriften und Regeln eine Maßnahme, die in kritischen Situationen das Überleben eines Unternehmens sichern kann. 
Betriebe mit einer kritischen Infrastruktur (Finanzdienstleister, Energieversorger, Netzbetreiber, Stadtwerke etc.) unterliegen diversen Aufsichtsbehörden. Banken unterliegen z. B. der Kontrolle der Bafin (Bundesanstalt für Finanzdienstleistungsaufsicht).

Die Bafin macht deutlich, dass Datenschutz und IT-Sicherheit auf eine umfassende Dokumentation der IT angewiesen ist. Sie konkretisiert ihre Anforderungen wie folgt:
Die Komponenten der IT-Systeme sowie deren Beziehungen zueinander sind in geeigneter Weise zu verwalten, und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren.

Zu den Bestandsangaben zählen insbesondere:

  • Bestand und Verwendungszweck der Komponenten der IT-Systeme mit den relevanten Konfigurationsangaben
  • Standort der Komponenten der IT-Systeme
  • Aufstellung der relevanten Angaben zu Gewährleistungen und sonstigen Supportverträgen (ggf. Verlinkung)
  • Angaben zum Ablaufdatum des Supportzeitraums der Komponenten der IT-Systeme
  • Akzeptierter Zeitraum der Nichtverfügbarkeit der IT-Systeme sowie der maximal tolerierbare Datenverlust.

 

Vielfach setzen Unternehmen Software Tools zur Unterstützung der Datenschutz- und IT-Sicherheitsaufgaben ein. Diese Tools sind in ihren Lösungsansätzen oft nicht miteinander kompatibel, was eine konsistente umfassende Dokumentation und die daraus abgeleiteten Sicherheitsanalysen, Notfallpläne und Datenschutzmaßnahmen deutlich erschwert und unmöglich macht.

Vor allem die wichtige Weiterentwicklung der Sicherheits- und Schutzkonzepte (Anpassung an sich verändernde Rahmenbedingungen, die Einführung neuer Prozesse sowie die Integration von neuen Unternehmensteilen) werden zur fast unlösbaren Aufgabe.

Die Lösung liegt ganz eindeutig in einer datenkonsistenten CMDB, die bei Bedarf die Teilaufgaben eines IT Sicherheitskonzeptes, nämlich die Dokumentation, die Überwachung systemrelevanter Komponenten, die Modellierung neuer IT Prozesse und die Verrechnung der IT Services an die Nutzer in einer Softwarelösung abdeckt.

Eine zuverlässige Risikoanalyse setzt fundierte Basisinformationen voraus. Diese umfasst u. a. die Kenntnis über die im Unternehmen vorhandenen IT-Komponenten sowie die dazugehörigen Supportverträge.

Um keine Zeit zur Einleitung von Notfallmaßnahmen zu verlieren, muss regelmäßig und frühzeitig über Unregelmäßigkeiten informiert werden.

Um Unternehmensziele orientiert voranzutreiben, wird eine Kostentransparenz benötigt, die bis zum Verursacher heruntergebrochen wird.

Lesen Sie hier Teil 2 dieses Beitrages: Teil 2