Erstellen einer Sicherheitspolitik

  Die Anforderungen an die bereitzustellenden Dienste sowie an die Sicherheit der gespeicherten Daten unterscheiden sich von Organisation zu Organisation. Beispielsweise wird eine militärische Organisation deutlich stärkeres Interesse an der Geheimhaltung ihrer Daten haben als eine Universität. Aus diesem Grund ist der erste Schritt bei der Errichtung eines Internet-Zugangs die Erstellung einer Sicherheitspolitik, die festlegt, welche Dienste angeboten werden sollen bzw. welche Dienste ein zu großes Risiko darstellen würden. Die allgemeine Vorgehensweise hierbei ist die folgende:

• Bedarfsanalyse

  Im Rahmen einer Bedarfsanalyse muß festgestellt werden, welche Anforderungen an das Dienstangebot von Seiten der Benutzer vorliegen. Insbesondere muß geklärt werden, welche Dienste benötigt werden sowie auf welche Dienste verzichtet werden kann.

• Risikoanalyse

  Die Dienste, die bei der Bedarfsanalyse als notwendig eingestuft wurden, müssen nun daraufhin untersucht werden, ob sie Möglichkeiten bereitstellen, die es einem Angreifer ermöglichen, nicht-autorisierten Zugang zu Unternehmensdaten zu erlangen, diese zu verändern oder den reibungslosen Netzverkehr zu behindern.

• Aufstellen der Sicherheitspolitik

  Nachdem die Anforderungen sowie die daraus resultierenden Risiken bekannt sind, muß ein Kompromiß gefunden werden, der die Benutzer nicht zu sehr einschränkt, die Sicherheit des Netzes aber ebenso berücksichtigt. Oberster Grundsatz hierbei sollte immer sein: ''Alles was nicht ausdrücklich erlaubt ist, ist verboten.''