Worum geht es?

Insgesamt ist es eine nicht zu un­ter­schätz­en­de Her­aus­for­der­ung, IT-Sich­er­heit qua­li­fi­ziert zu man­a­gen und ent­sprech­en­de Kon­zep­te zu er­stel­len. Man kann sich diese Auf­ga­be aber auch un­nötig schwer mach­en. Es gibt viele Sei­ten im Netz die Rat­schlä­ge oder Vor­schlä­ge in dies­er Rich­tung ver­brei­ten. Aus mei­ner Sicht ist es das Wich­tig­ste, dass man die Re­al­i­tät nicht aus den Au­gen ver­liert! Die­se Re­a­li­tät sieht oft so aus, dass zu ir­gend­ein­em Zeit­punkt ei­ne ge­wis­se Be­geis­ter­ung und Mo­ti­va­ti­on für das Sich­er­heits­thema vor­han­den wa­ren. Es wur­den auch ei­ni­ge wich­ti­ge Schrit­te in die rich­ti­ge Rich­tung un­ter­nom­men. Sollte es aber ein um­setz­bares Sich­er­heits­kon­zept ge­ge­ben ha­ben, wurde dies­es spä­ter nicht wei­ter ver­folgt, bzw. um­ge­setzt. Hier muss man ein­hak­en und von vor­ne­her­ein deut­lich mach­en: Sich­er­heit ist kein Zu­stand, den man ir­gend­wann er­reicht und dann ver­ges­sen kann, son­dern ei­ne per­ma­nen­te Auf­ga­be, bei der sich - wenn rich­tig or­ga­ni­siert - der Ar­beits­auf­wand und die Kos­ten in Gren­zen hal­ten.
Wer­fen Sie noch einen Blick auf die nächs­te Gra­fik, die den Zu­sam­men­hang zwisch­en Auf­wand und ge­won­ne­ner Sich­er­heit dar­stellt. Es ist mit re­la­tiv ge­ring­em Auf­wand ei­ne deut­li­che Stei­ger­ung der Da­ten­sich­er­heit zu er­rei­chen. Will man aber an die letz­ten 10% - sow­eit man von 90%-iger oder 100%-iger Sich­er­heit sprech­en kann - so steigt der Auf­wand e­norm an!
Verhältnis Aufwand Sicherheit
Ver­hält­nis zwisch­en Auf­wand und ge­won­nen­er Sich­er­heit

Grundregeln

Zu­erst ei­ni­ge Grund­re­geln, die un­ab­häng­ig von der Art der Or­gan­i­sat­i­on­en oder Per­son­en fast im­mer an­ge­wen­det wer­den kön­nen. Wenn die­se Grund­re­geln be­ach­tet wer­den, so ist ein erster (großer) Schritt in die rich­ti­ge Rich­tung ge­macht!
  1. Software auf dem ak­tu­el­len Stand hal­ten
  2. Aktuellen Vi­ren­scan­ner ver­wen­den
  3. Daten mit ein­er Fire­wall schüt­zen
  4. Sichere Pass­wör­ter ver­wen­den (und sich­er speich­ern, ab­le­gen, auf­be­wahr­en!)
  5. Nicht mit Ad­min­is­tra­tor­rechten ar­bei­ten
  6. Vorsicht bei un­be­kann­ten E-Mail-An­häng­en
  7. Daten regelmäßig sich­ern
  8. Sensible Da­ten durch Ver­schlüs­sel­ung schüt­zen
  9. Sensible In­for­ma­ti­on­en nicht leicht­fer­tig preis­ge­ben
  10. Aufmerksam, kri­tisch und in­for­miert blei­ben
Na­tür­lich las­sen sich diese Grund­re­geln noch er­wei­tern. Wenn Sie sich al­ler­dings erst mal an die­se "10 Ge­bo­te" hal­ten, wer­den Sie in Zu­kunft - was das The­ma IT-Sich­er­heit an­be­langt - nicht schlecht fahr­en!

Not­wen­di­ge Or­ga­ni­sa­tor­ische Richt­li­ni­en

Ei­ni­ge or­ga­ni­sa­tor­ische Richt­li­ni­en hal­te ich für not­wen­dig, um Da­ten aus Ihrem IT-Um­feld sinn­voll zu schüt­zen. Ich ge­be Ih­nen hier eine Auf­zäh­lung, die man als "Ba­sis-Re­gel­werk" an­se­hen kann.

Zu­griffs­kon­trol­le Es ver­steht sich im Nor­mal­fall von selbst, dass nicht jede Per­son oder Mit­ar­bei­ter Zu­gang zu al­len Da­ten­be­ständen be­kom­men soll­te! Na­tür­lich müs­sen die Zu­grif­fe durch ge­wis­se Re­geln vor­ge­ge­ben, und die­se auch auf Wirk­sam­keit hin über­prüft wer­den! Der Zu­griff sol­lte so ge­re­gelt wer­den, dass je­der An­wen­der auf die für sei­ne Auf­gabe not­wen­di­gen Da­ten­be­stände zu­grei­fen kann - und nur auf diese Da­ten­be­stän­de.

Weitergabekontrolle All­ge­mein aus­ge­drückt, sind un­ter "Wei­ter­ga­be­kon­trol­le" die Re­geln zum (Wei­ter)Trans­port der Da­ten zu ver­ste­hen. Dieser "Trans­port" muss nicht zwangs­läuf­ig auf e­lek­tron­isch­em We­ge durch­ge­führt wer­den, was im All­ge­mein­en aber der Fall sein wird. Je nach Fluss­rich­tung müs­sen be­stimmte Sich­er­heits­vor­kehr­ung­en ge­trof­fen wer­den:
  • Ver­schlüs­selung der Da­ten
  • Virtuelle Pri­va­te Netz­wer­ke (VPN)
  • Sicherer Trans­port von Da­ten­trä­gern
Je nach An­wen­dungs­fall kann oder muss die­se Lis­te noch er­wei­tert wer­den.

Nach­voll­zieh­ba­re Ein­ga­be­kon­trol­le Es ist un­be­dingt zu ge­währ­leis­ten, dass eine Än­der­ung / Lösch­ung / Ein­ga­be von Da­ten ein­em be­stimm­ten An­wen­der zu­zu­ord­nen ist!

Angemessene Ver­füg­bar­keits­kon­trol­le Alle vor­ab auf­ge­führ­ten Re­ge­lung­en nut­zen we­nig, wenn Sys­te­me aus­fal­len, oder durch an­de­re wi­dri­ge Um­stän­de nicht zur Ver­fü­gung ste­hen. Aus­reich­en­der phy­si­scher Schutz ist hier e­ben­so wich­tig wie ein ver­nünf­ti­ges Backup-System . Na­tür­lich muss bei die­sen Maß­nahmen ein ge­wis­ses Au­gen­maß ge­wahrt blei­ben! So ist z.B. das Auf­wand- Nut­zen-Ver­hält­nis ei­ner aus­fall­sich­er­en Strom­ver­sorgung für einen ein­zel­nen Bü­ro­rech­ner zwei­fel­haft!

Tech­ni­sche Richt­li­ni­en

Zu den auf­ge­zeig­ten or­ga­ni­sa­tor­ischen Richt­linien ge­hören im­mer auch ei­ni­ge grund­sätz­li­che tech­ni­sche Richt­li­ni­en. Es nutzt z.B. nur we­nig, wenn Nut­zer zwar ein Pass­wort ein­ge­ben müs­sen, die­ses aber aus zwei Zeich­en be­ste­hen darf! Nach­fol­gend auf­ge­führ­te Maß­nah­men sind drin­gend zu em­pfeh­len:

Pass­wort­zwang Das Pass­wort soll­te ei­ne aus­reich­en­de Stär­ke be­sit­zen und re­gel­mäßig aus­ge­tauscht wer­den.

Verschlüs­se­lung Es ist ei­ne an­ge­mes­se­ne und star­ke Ver­schlüs­se­lung zu wäh­len. Es soll­te auch in un­re­gel­mäßi­gen Zeit­ab­stän­den über­prüft wer­den, ob die ge­wähl­te Ver­schlüs­se­lungs­me­tho­de auch ord­nungs­gemäß an­ge­wen­det wird.

Virenscan­ner Ein Vi­ren­scan­ner ge­hört zur "Grund­aus­stat­tung". Die Vi­ren-De­fi­ni­ti­on­en soll­ten aus­reich­end ak­tu­ell sein.

Firewall Wie ein Vi­ren­scan­ner ge­hört auch eine Fire­wall zur Grund­aus­stat­tung. Die Re­geln der Fire­wall soll­ten re­gel­mäßig auf Ak­tu­al­i­tät über­prüft und ge­tes­tet wer­den.

E-Mail Die Mit­ar­bei­ter / An­wen­der soll­ten beim Um­gang mit E-Mails - in Be­zug auf Sich­er­heit - ent­sprech­end ge­schult sein.

WLAN-Sich­er­heit Wenn Sie WLAN nut­zen, muss der Zu­gang ent­sprech­end ab­ge­sich­ert sein. Die Zu­gangs­be­rech­ti­gung­en soll­ten mit Be­dacht ver­ge­ben wer­den.

Soziale Netz­wer­ke Sind So­zi­ale Netz­wer­ke Be­stand­teil des Un­ter­nehm­ens­ge­gen­stan­des, so sind die ein­ge­bracht­en Bei­trä­ge ( vor Ver­öf­fen­tlich­ung! ) zu über­prüf­en, da­mit kei­ne sich­er­heits­re­le­van­ten in­ter­nen In­for­ma­ti­on­en nach au­sen ge­ge­ben wer­den.

Daten­sich­erung Eine funk­ti­o­nier­en­de Da­ten­sich­er­ung ist in ein­em Un­ter­neh­men ein MUSS ! Selbst­ver­ständ­lich sol­lte ein Da­ten­sich­er­ungs­sys­tem da­rauf­hin ge­test­et wer­den, ob evtl. ver­lo­ren­ge­gang­en­e Da­ten in an­ge­mes­sen­er Zeit wie­der her­ge­stellt wer­den kön­nen. Ein solch­er Test soll­te zu­fäl­lig statt­fin­den, den ein Sys­tem­aus­fall wird sich auch nicht (zu­min­dest sel­ten!) 2 Woch­en im Vor­aus an­mel­den!
© hs-bit.de 2020