IT-Security Grundlagen für Organisationen

Warum IT-Security nicht „Tools“ bedeutet

Security ist ein System aus Prozessen, Technik und Verantwortlichkeiten. Tools sind nur der Vollzug. Entscheidend ist, dass Kontrollen wirksam sind und man das belegen kann – z. B. über Logs, Tests und wiederholbare Baselines.

• Kontrollziele: Vertraulichkeit, Integrität, Verfügbarkeit, Nachvollziehbarkeit
• Schutzschichten: Identität, Endpoints, Netzwerk, Workloads, Daten, Monitoring
• Beweisbarkeit: Before/After-Checks, Retests, Audit-Sets, Change-Historie

Threat Modeling in der Praxis (leichtgewichtig)

Für KMU reicht oft ein pragmatischer Ansatz: Assets, Datenflüsse, Trust Boundaries und die Top-5 Bedrohungen pro System. Ziel: priorisieren, nicht theoretisieren.

• Assets: Identitäten, Secrets, Kundendaten, Admin-Zugänge, Backups
• Datenflüsse: Web → API → DB, VPN → Admin, M365 → SharePoint
• Trust Boundaries: Internet, DMZ, internes Netz, Admin-Zone, Cloud-Tenant

Output: Maßnahmenliste mit Owner, Deadline und Prüfkriterium.

Kontrollen, die fast immer wirken

• MFA/Phishing-resistente Auth (FIDO2) für Admins und Remote Access
• Least Privilege: Rollen, getrennte Admin-Konten, Just-In-Time wo möglich
• Patch- & Vulnerability-Prozess (SLA nach Kritikalität)
• Zentrales Logging (auth, admin actions, firewall, endpoint) + Alarme
• Backups: immutable/offline Kopie + Restore-Test

Messbarkeit: Beispiele für Erfolgskriterien

Definiere Kriterien vor der Umsetzung – dann gibt es nachher keine Diskussion.

• „0 kritische Findings offen“ nach Retest
• „Admin-Aktionen vollständig im SIEM“ (Use-Case: Konto/Gruppe geändert)
• „VPN nur mit MFA“ + „Split-Tunnel Policy dokumentiert“
• „Restore-Test bestanden“ (RPO/RTO dokumentiert)