Ein Projekt von:

Institut für Internet-Sicherheit - if(is)

Vertrauenswürdigkeits-Aspekt Sicherheit

Unter anderem haben die folgenden Faktoren im Kontext der IT-Sicherheit eine hohe Relevanz – aufgrund nachvollziehbarer Gründe sollten die hier beschriebenen Maßnahmen jedoch nicht frei zugänglich sein, sondern auf Nachfrage zur Verfügung gestellt werden: Darstellung der verwendeten IT-Sicherheitsmaßnahmen: Hier sollten die Hersteller aufzeigen, was sie tun, um sowohl die jeweilige IT-Lösung als auch ihr eigenes Unternehmen vor IT-Sicherheitsrisiken zu schützen. Anders als beim „Beipackzettel IT-Sicherheit“ des Vertrauenswürdigkeits-Asepkt „Transparenz“ können Beschreibungen und Hintergrundinformationen hier detaillierter ausfallen. Zertifizierung der IT-Lösung und des Unternehmens: Die Zertifizierung von Qualität und Vertrauenswürdigkeit der IT-Lösungen und Unternehmen müssen durch qualifizierte unabhängige Organisationen erfolgen, die nach definierten Kriterien überprüfen und testieren. Die Zertifizierungen unter verschiedenen Perspektiven sind eine wichtige Maßnahme zur Vertrauensbildung. Regelmäßige Überprüfung der IT-Lösungen und des Unternehmens: Das Ziel hierbei ist, Schwachstellen aktiv und kontinuierlich mithilfe von Penetrationstests, Red-Teams und Bug-Bounty-Programme zu identifizieren, damit Sicherheitslücken so schnell als möglich durch Updates eliminiert – und somit nicht für Angriffe verwendet – werden können. Dies gilt sowohl für die angebotenen IT-Lösungen als auch für die Unternehmen und deren Zulieferer. Dadurch lässt sich ein – für den Nutzer jederzeit nachweisbares – hohes IT-Sicherheitsniveau im laufenden Entwicklungsprozess und der Nutzung der IT-Lösung erreichen. IT-Sicherheitsstrategie: Eine IT-Sicherheitsstrategie ist ein längerfristig ausgerichtetes, planvolles Vorgehen mit dem Ziel, die vorhandenen Risiken eines Angriffes auf digitale Werte des Unternehmens so gering wie möglich zu halten. Da deren Darstellung die Vertrauenswürdigkeit eines Unternehmens erhöht, sollte die prinzipielle Strategie auch nach außen kommuniziert werden. In diesem Rahmen ist es möglich darzulegen, wie durch Vermeiden und Entgegenwirken von IT-Angriffen die vorhandenen Risiken reduziert sowie mit Erkennen von und Reaktion auf IT-Angriffe die verbleibenden Risiken behandelt werden. – It’s all about Trust! –