
Worum geht es?
Insgesamt ist es eine nicht zu unterschätzende Herausforderung, IT-Sicherheit qualifiziert zu managen und entsprechende Konzepte zu erstellen. Man kann sich diese Aufgabe aber auch unnötig schwer machen. Es gibt viele Seiten im Netz die Ratschläge oder Vorschläge in dieser Richtung verbreiten. Aus meiner Sicht ist es das Wichtigste, dass man die Realität nicht aus den Augen verliert! Diese Realität sieht oft so aus, dass zu irgendeinem Zeitpunkt eine gewisse Begeisterung und Motivation für das Sicherheitsthema vorhanden waren. Es wurden auch einige wichtige Schritte in die richtige Richtung unternommen. Sollte es aber ein umsetzbares Sicherheitskonzept gegeben haben, wurde dieses später nicht weiter verfolgt, bzw. umgesetzt. Hier muss man einhaken und von vorneherein deutlich machen: Sicherheit ist kein Zustand, den man irgendwann erreicht und dann vergessen kann, sondern eine permanente Aufgabe, bei der sich - wenn richtig organisiert - der Arbeitsaufwand und die Kosten in Grenzen halten.Werfen Sie noch einen Blick auf die nächste Grafik, die den Zusammenhang zwischen Aufwand und gewonnener Sicherheit darstellt. Es ist mit relativ geringem Aufwand eine deutliche Steigerung der Datensicherheit zu erreichen. Will man aber an die letzten 10% - soweit man von 90%-iger oder 100%-iger Sicherheit sprechen kann - so steigt der Aufwand enorm an!

Grundregeln
Zuerst einige Grundregeln, die unabhängig von der Art der Organisationen oder Personen fast immer angewendet werden können. Wenn diese Grundregeln beachtet werden, so ist ein erster (großer) Schritt in die richtige Richtung gemacht!- Software auf dem aktuellen Stand halten
- Aktuellen Virenscanner verwenden
- Daten mit einer Firewall schützen
- Sichere Passwörter verwenden (und sicher speichern, ablegen, aufbewahren!)
- Nicht mit Administratorrechten arbeiten
- Vorsicht bei unbekannten E-Mail-Anhängen
- Daten regelmäßig sichern
- Sensible Daten durch Verschlüsselung schützen
- Sensible Informationen nicht leichtfertig preisgeben
- Aufmerksam, kritisch und informiert bleiben
Notwendige Organisatorische Richtlinien
Einige organisatorische Richtlinien halte ich für notwendig, um Daten aus Ihrem IT-Umfeld sinnvoll zu schützen. Ich gebe Ihnen hier eine Aufzählung, die man als "Basis-Regelwerk" ansehen kann.Zugriffskontrolle Es versteht sich im Normalfall von selbst, dass nicht jede Person oder Mitarbeiter Zugang zu allen Datenbeständen bekommen sollte! Natürlich müssen die Zugriffe durch gewisse Regeln vorgegeben, und diese auch auf Wirksamkeit hin überprüft werden! Der Zugriff sollte so geregelt werden, dass jeder Anwender auf die für seine Aufgabe notwendigen Datenbestände zugreifen kann - und nur auf diese Datenbestände.
Weitergabekontrolle Allgemein ausgedrückt, sind unter "Weitergabekontrolle" die Regeln zum (Weiter)Transport der Daten zu verstehen. Dieser "Transport" muss nicht zwangsläufig auf elektronischem Wege durchgeführt werden, was im Allgemeinen aber der Fall sein wird. Je nach Flussrichtung müssen bestimmte Sicherheitsvorkehrungen getroffen werden:
- Verschlüsselung der Daten
- Virtuelle Private Netzwerke (VPN)
- Sicherer Transport von Datenträgern
Nachvollziehbare Eingabekontrolle Es ist unbedingt zu gewährleisten, dass eine Änderung / Löschung / Eingabe von Daten einem bestimmten Anwender zuzuordnen ist!
Angemessene Verfügbarkeitskontrolle Alle vorab aufgeführten Regelungen nutzen wenig, wenn Systeme ausfallen, oder durch andere widrige Umstände nicht zur Verfügung stehen. Ausreichender physischer Schutz ist hier ebenso wichtig wie ein vernünftiges Backup-System . Natürlich muss bei diesen Maßnahmen ein gewisses Augenmaß gewahrt bleiben! So ist z.B. das Aufwand- Nutzen-Verhältnis einer ausfallsicheren Stromversorgung für einen einzelnen Bürorechner zweifelhaft!
Technische Richtlinien
Zu den aufgezeigten organisatorischen Richtlinien gehören immer auch einige grundsätzliche technische Richtlinien. Es nutzt z.B. nur wenig, wenn Nutzer zwar ein Passwort eingeben müssen, dieses aber aus zwei Zeichen bestehen darf! Nachfolgend aufgeführte Maßnahmen sind dringend zu empfehlen:Passwortzwang Das Passwort sollte eine ausreichende Stärke besitzen und regelmäßig ausgetauscht werden.
Verschlüsselung Es ist eine angemessene und starke Verschlüsselung zu wählen. Es sollte auch in unregelmäßigen Zeitabständen überprüft werden, ob die gewählte Verschlüsselungsmethode auch ordnungsgemäß angewendet wird.
Virenscanner Ein Virenscanner gehört zur "Grundausstattung". Die Viren-Definitionen sollten ausreichend aktuell sein.
Firewall Wie ein Virenscanner gehört auch eine Firewall zur Grundausstattung. Die Regeln der Firewall sollten regelmäßig auf Aktualität überprüft und getestet werden.
E-Mail Die Mitarbeiter / Anwender sollten beim Umgang mit E-Mails - in Bezug auf Sicherheit - entsprechend geschult sein.
WLAN-Sicherheit Wenn Sie WLAN nutzen, muss der Zugang entsprechend abgesichert sein. Die Zugangsberechtigungen sollten mit Bedacht vergeben werden.
Soziale Netzwerke Sind Soziale Netzwerke Bestandteil des Unternehmensgegenstandes, so sind die eingebrachten Beiträge ( vor Veröffentlichung! ) zu überprüfen, damit keine sicherheitsrelevanten internen Informationen nach ausen gegeben werden.
Datensicherung Eine funktionierende Datensicherung ist in einem Unternehmen ein MUSS ! Selbstverständlich sollte ein Datensicherungssystem daraufhin getestet werden, ob evtl. verlorengegangene Daten in angemessener Zeit wieder hergestellt werden können. Ein solcher Test sollte zufällig stattfinden, den ein Systemausfall wird sich auch nicht (zumindest selten!) 2 Wochen im Voraus anmelden!