Informationssicherheitsorganisation: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 14: Zeile 14:
 
*In sehr kleinen Unternehmen kann es auch die Geschäftsführung sein, die diese Rolle selbst übernehmen muss.
 
*In sehr kleinen Unternehmen kann es auch die Geschäftsführung sein, die diese Rolle selbst übernehmen muss.
 
*Fehlt im Betrieb die notwendige Expertise, sollte externer Sachverstand aus vertrauenswürdiger Quelle eingeholt werden.
 
*Fehlt im Betrieb die notwendige Expertise, sollte externer Sachverstand aus vertrauenswürdiger Quelle eingeholt werden.
 +
*Mit geschäftsbezogener IKT verhält es sich letztlich wie mit traditionellen Arbeitsgeräten:
 +
*Kein neuer Mitarbeiter würde ohne Einweisung eine neue Maschine bedienen.
 +
*Genauso sollte es auch im Umgang mit IKT sein.
 +
*Neue Beschäftigte müssen die IKT erklärt bekommen, bevor sie diese verwenden.
 +
*Daneben dürfen Unternehmen aber nicht den übrigen Mitarbeiterstamm vergessen, denn Betriebssysteme und Hardwarestandards ändern sich stetig und schnell.
 +
*Firmen sollten daher regelmäßig Weiterbildungs- und Informationsmöglichkeiten zur IT-Sicherheit anbieten oder sogar verpflichtend machen.
  
Mit geschäftsbezogener IKT verhält es sich letztlich wie mit traditionellen Arbeitsgeräten: Kein neuer Mitarbeiter würde ohne Einweisung eine neue Maschine bedienen. Genauso sollte es auch im Umgang mit IKT sein. Neue Beschäftigte müssen die IKT erklärt bekommen, bevor sie diese verwenden. Daneben dürfen Unternehmen aber nicht den übrigen Mitarbeiterstamm vergessen, denn Betriebssysteme und Hardwarestandards ändern sich stetig und schnell. Firmen sollten daher regelmäßig Weiterbildungs- und Informationsmöglichkeiten zur IT-Sicherheit anbieten oder sogar verpflichtend machen.
+
=Basisschutz – Firewalls, Passwörter und Verschlüsselungen=
 
+
*Virenscanner und eine Firewall sollte auf Ihren Rechnern installiert sein.  
Basisschutz – Firewalls, Passwörter und Verschlüsselungen
+
*Wichtig ist eine regelmäßige Aktualisierung von Virenscanner, Firewall und auch allen übrigen Programme der IKT-Systeme
Unabhängig vom konkreten Risiko im Einzelfallgibt es einige Schutzmaßnahmen, die alle Unternehmen umsetzen müssen. So sollten sie grundsätzlich zumindest einen Virenscanner und eine Firewall auf Ihren Rechnern installieren. Diese Programme zählen zum Basisschutz gegen Schadsoftware wie Viren, Würmer, Trojaner und andere Schadprogramme (sog. „Malware“). Wichtig ist eine regelmäßige Aktualisierung von Virenscanner, Firewall und auch allen übrigen Programme der IKT-Systeme, damit diese stets auf dem neuesten Stand gehalten werden. Diese (Sicherheits-)Updates werden empfohlen, damit eventuelle Sicherheitslücken, die z.B. durch Fehler bei der Programmierung der jeweiligen Software entstehen können, zeitnah geschlossen werden.
+
*Immer Updates durchführen, damit eventuelle Sicherheitslücken, zeitnah geschlossen werden.
 
+
*Zum Basisschutz gehört auch, sichere Passwörter zu wählen
Zum Basisschutz gehört auch, sichere Passwörter zu wählen und sie regelmäßig zu ändern. Klarnamen, Geburtsdaten oder KFZ-Kennzeichen sollten auf keinen Fall verwendet werden.
+
*Ein sicheres Passwort besteht aus einer zufälligen Kombination von mindestens acht Buchstaben, Ziffern und Sonderzeichen.  
 
+
*Schließlich wird empfohlen, ein Passwort nicht mehrfach zu verwenden.  
Ein sicheres Passwort besteht aus einer (zumindest scheinbar) zufälligen Kombination von mindestens acht Buchstaben, Ziffern und Sonderzeichen. Sich dieses zu merken, muss gar nicht schwer sein. Wählen Sie einfach einen Satz mit mindestens sechs Wörtern und verwenden Sie deren Anfangsbuchstaben (so wird z.B. aus „Franz jagt im komplett verwahrlosten Taxi quer durch Bayern“ das Passwort „FjikvTqdB“). Ergänzt durch Ziffern (z.B. das Alter des Haustiers) und Sonderzeichen (z.B. #, ? oder !) ist schnell ein sicheres Passwort gefunden. Diese Kennwörter sollten regelmäßig geändert werden. Da dies oft verständlicherweise vom Großteil der Arbeitnehmerinnen und Arbeitnehmer vergessen wird, kann eine automatische Aufforderung zur Passwortänderung eingestellt werden.
+
*Um sich die Menge der infolge dessen anfallenden Kennwörter zu merken, kann ein Passwort-Manager hilfreich sein.
 
+
*Nicht genutzte Geräte, wie PCs, Notebooks, Smartphones und Tablets, sollten grundsätzlich gesperrt werden, selbst wenn die Arbeitspausen nur kurz sind.
Schließlich wird empfohlen, ein Passwort nicht mehrfach zu verwenden. Um sich die Menge der infolge dessen anfallenden Kennwörter zu merken, kann ein Passwort-Manager hilfreich sein. Hierbei ist aber besondere Achtung bei der Wahl eines vertrauenswürdigen Anbieters geboten.
+
*Ein weiteres potentielles Risiko verbirgt sich hinter der Nutzung kabelloser WLAN-Netzwerke.
 
+
*Solche Netzwerke müssen jedoch verschlüsselt werden.
Nicht genutzte Geräte, wie PCs, Notebooks, Smartphones und Tablets, sollten grundsätzlich gesperrt werden, selbst wenn die Arbeitspausen nur kurz sind. Mehr zum sicheren Umgang mit mobilen Endgeräten finden Sie auch beim Thema „Mobiles Arbeiten“.
+
*Unternehmen sollten außerdem darauf achten, dass die Bezeichnung Ihres WLANs keine Rückschlüsse auf sie zulässt.
 
+
*Zusätzlichen Schutz bietet hier das Abschalten der SSID-Kennung.
Ein weiteres potentielles Risiko verbirgt sich hinter der Nutzung kabelloser WLAN-Netzwerke. Diese scheinen dank ihrer Flexibilität und geringen Kosten gerade für kleine Unternehmen vorteilhaft. Solche Netzwerke müssen jedoch in jedem Fall verschlüsselt werden. Die zwei wichtigsten Verschlüsselungsmethoden sind derzeit WPA und WPA-2, wobei letztere den besseren Schutz bietet. Tragen Sie den WPA-2-Schlüssel in Ihren Router und alle damit verbundenen mobilen und stationären Geräte ein.
+
=Fernzugriff=
 
+
*Greifen Mitarbeiterinnen und Mitarbeiter von zu Hause oder unterwegs auf das interne Unternehmensnetzwerk zu
Unternehmen sollten außerdem darauf achten, dass die Bezeichnung Ihres WLANs keine Rückschlüsse auf sie zulässt. So wird möglichen Angreifern erschwert, gezielt speziell ihre Verbindung auf Schwachstellen hin zu untersuchen. Zusätzlichen Schutz bietet hier das Abschalten der SSID-Kennung.
+
*Dies sollte über ein durch VPN- oder SSL-Protokolle verschlüsseltes Netzwerk geschehen.  
 
+
*Anderenfalls werden Daten über das ungeschützte Internet versandt, was grundsätzlich für jeden einsehbar ist.
Greifen Mitarbeiterinnen und Mitarbeiter von zu Hause oder unterwegs auf das interne Unternehmensnetzwerk zu, sollte dies über ein durch VPN- oder SSL-Protokolle verschlüsseltes Netzwerk geschehen. Anderenfalls werden Daten über das ungeschützte Internet versandt, was grundsätzlich für jeden einsehbar ist. Firmen können die sicheren Verbindungen bei ihren Internetprovidern beantragen.
+
*Firmen können die sicheren Verbindungen bei ihren Internetprovidern beantragen.
 
+
=Weitere Risikien=
Daten müssen aber nicht nur vor ungewollten Zugriffen über Netzwerke gesichert werden. Auch die Festplatte eines Rechners kann zum Risiko werden, falls diese verkauft, zur Reparatur gebracht oder unüberlegt entsorgt wird. Sogar manuell gelöschte Dateien können in der Regel noch aufgerufen werden. Durch die Löschung werden lediglich Informationen über den Speicherort, aber nicht die Inhalte entfernt. Dasselbe gilt auch beim Formatieren der Festplatte. Zur sicheren Löschung vertraulicher Daten sollten daher spezielle Programme eingesetzt werden. Diese überschreiben den nicht mehr benötigten Speicherplatz, so dass die Daten unwiderruflich vom Speichermedium entfernt werden. Mehr Informationen dazu finden Sie auch beim Thema „Datenschutz und Datensicherheit“.
+
*Auch die Festplatte eines Rechners kann zum Risiko werden, falls diese verkauft, zur Reparatur gebracht oder unüberlegt entsorgt wird.
 
+
*Sogar manuell gelöschte Dateien können in der Regel noch aufgerufen werden.
Regeln und Notfallpläne im Sicherheitskonzept dokumentieren
+
*Durch die Löschung werden lediglich Informationen über den Speicherort, aber nicht die Inhalte entfernt.
Regeln zum Umgang mit der IKT sollten in einem Sicherheitskonzept schriftlich festgehalten werden. Dort finden Mitarbeiterinnen und Mitarbeiter nicht nur Vorgaben zur Nutzung der IKT, sondern auch wie Passwörter gewählt oder mit Daten verfahren werden sollte. Ein Notfallplan hilft zusätzlich, Schäden durch Ausfall der IKT, versehentliche Datenlöschung oder eine Infizierung mit Viren, Würmern, Trojanern und anderer Malware zu minimieren (siehe dazu auch das Thema „Datenschutz und Datensicherheit“). Schließlich sollte der Zugang zu sensiblen Daten eines Unternehmens, wie persönlichen Daten der Beschäftigten und Kunden oder Geschäftsgeheimnisse, bewusst geregelt werden. Es sollte nur die Person auf diese Daten zugreifen können, die diese auch braucht.
+
*Dasselbe gilt auch beim Formatieren der Festplatte.
 
+
*Zur sicheren Löschung vertraulicher Daten sollten daher spezielle Programme eingesetzt werden.
 +
*Diese überschreiben den nicht mehr benötigten Speicherplatz, so dass die Daten unwiderruflich vom Speichermedium entfernt werden.
  
 +
=Regeln und Notfallpläne im Sicherheitskonzept dokumentieren=
 +
*Regeln zum Umgang mit der IKT sollten in einem Sicherheitskonzept schriftlich festgehalten werden.
 +
*Dort finden Mitarbeiterinnen und Mitarbeiter nicht nur Vorgaben zur Nutzung der IKT, sondern auch wie Passwörter gewählt oder mit Daten verfahren werden sollte.
 +
*Ein Notfallplan hilft zusätzlich, Schäden durch Ausfall der IKT, versehentliche Datenlöschung oder eine Infizierung mit Viren, Würmern, Trojanern und anderer Malware zu minimieren
 +
*Schließlich sollte der Zugang zu sensiblen Daten eines Unternehmens, wie persönlichen Daten der Beschäftigten und Kunden oder Geschäftsgeheimnisse, bewusst geregelt werden.
 +
*Es sollte nur die Person auf diese Daten zugreifen können, die diese auch braucht.
  
 
=Links=
 
=Links=
 
*https://www.it-sicherheit-in-der-wirtschaft.de/ITS/Navigation/DE/Themen/Organisation-der-Informationssicherheit/organisation-der-informationssicherheit.html
 
*https://www.it-sicherheit-in-der-wirtschaft.de/ITS/Navigation/DE/Themen/Organisation-der-Informationssicherheit/organisation-der-informationssicherheit.html

Aktuelle Version vom 31. Mai 2022, 13:29 Uhr

Organisation der IT-Sicherheit

  • Bei IT-Sicherheit kommt es vor allem auf den Menschen an.
  • Es müssen zwar technische Vorkehrungen getroffen werden.
  • Diese allein können die Unternehmens-IT aber nicht hinreichend vor Sicherheitslücken schützen.
  • Entscheidend ist die Sensibilisierung der Mitarbeiter und Mitarbeiterinnen.

Das Risiko abschätzen

  • IKT-Qualifizierung und Sicherheit sollten von jedem Unternehmen selbst systematisch organisiert werden.
  • Der erste und wichtigste Schritt einer gut organisierten IT-Sicherheit ist die Einschätzung des Risikos.
  • Nur wer seine Schutzgüter und Abhängigkeiten auf der einen Seite sowie die drohenden Gefahren auf der anderen Seite kennt, kann sich richtig schützen.
  • Um den Handlungsbedarf im IT-Sicherheitsbereich zu ermitteln, ist es also oft hilfreich, zunächst einmal die schutzbedürftigen Unternehmensdaten zu identifizieren und herauszufinden, wo sie gespeichert sind.

Mitarbeiterinnen und Mitarbeiter schulen

  • Um im nächsten Schritt abzuschätzen, welche Schutzmaßnahmen getroffen werden müssen ist es wichtig, im Unternehmen einen Verantwortlichen oder eine Verantwortliche zu benennen
  • Der oder diese sollte sich entweder ohnehin mit Themen der IT-Sicherheit auskennen oder sich einarbeiteten.
  • In sehr kleinen Unternehmen kann es auch die Geschäftsführung sein, die diese Rolle selbst übernehmen muss.
  • Fehlt im Betrieb die notwendige Expertise, sollte externer Sachverstand aus vertrauenswürdiger Quelle eingeholt werden.
  • Mit geschäftsbezogener IKT verhält es sich letztlich wie mit traditionellen Arbeitsgeräten:
  • Kein neuer Mitarbeiter würde ohne Einweisung eine neue Maschine bedienen.
  • Genauso sollte es auch im Umgang mit IKT sein.
  • Neue Beschäftigte müssen die IKT erklärt bekommen, bevor sie diese verwenden.
  • Daneben dürfen Unternehmen aber nicht den übrigen Mitarbeiterstamm vergessen, denn Betriebssysteme und Hardwarestandards ändern sich stetig und schnell.
  • Firmen sollten daher regelmäßig Weiterbildungs- und Informationsmöglichkeiten zur IT-Sicherheit anbieten oder sogar verpflichtend machen.

Basisschutz – Firewalls, Passwörter und Verschlüsselungen

  • Virenscanner und eine Firewall sollte auf Ihren Rechnern installiert sein.
  • Wichtig ist eine regelmäßige Aktualisierung von Virenscanner, Firewall und auch allen übrigen Programme der IKT-Systeme
  • Immer Updates durchführen, damit eventuelle Sicherheitslücken, zeitnah geschlossen werden.
  • Zum Basisschutz gehört auch, sichere Passwörter zu wählen
  • Ein sicheres Passwort besteht aus einer zufälligen Kombination von mindestens acht Buchstaben, Ziffern und Sonderzeichen.
  • Schließlich wird empfohlen, ein Passwort nicht mehrfach zu verwenden.
  • Um sich die Menge der infolge dessen anfallenden Kennwörter zu merken, kann ein Passwort-Manager hilfreich sein.
  • Nicht genutzte Geräte, wie PCs, Notebooks, Smartphones und Tablets, sollten grundsätzlich gesperrt werden, selbst wenn die Arbeitspausen nur kurz sind.
  • Ein weiteres potentielles Risiko verbirgt sich hinter der Nutzung kabelloser WLAN-Netzwerke.
  • Solche Netzwerke müssen jedoch verschlüsselt werden.
  • Unternehmen sollten außerdem darauf achten, dass die Bezeichnung Ihres WLANs keine Rückschlüsse auf sie zulässt.
  • Zusätzlichen Schutz bietet hier das Abschalten der SSID-Kennung.

Fernzugriff

  • Greifen Mitarbeiterinnen und Mitarbeiter von zu Hause oder unterwegs auf das interne Unternehmensnetzwerk zu
  • Dies sollte über ein durch VPN- oder SSL-Protokolle verschlüsseltes Netzwerk geschehen.
  • Anderenfalls werden Daten über das ungeschützte Internet versandt, was grundsätzlich für jeden einsehbar ist.
  • Firmen können die sicheren Verbindungen bei ihren Internetprovidern beantragen.

Weitere Risikien

  • Auch die Festplatte eines Rechners kann zum Risiko werden, falls diese verkauft, zur Reparatur gebracht oder unüberlegt entsorgt wird.
  • Sogar manuell gelöschte Dateien können in der Regel noch aufgerufen werden.
  • Durch die Löschung werden lediglich Informationen über den Speicherort, aber nicht die Inhalte entfernt.
  • Dasselbe gilt auch beim Formatieren der Festplatte.
  • Zur sicheren Löschung vertraulicher Daten sollten daher spezielle Programme eingesetzt werden.
  • Diese überschreiben den nicht mehr benötigten Speicherplatz, so dass die Daten unwiderruflich vom Speichermedium entfernt werden.

Regeln und Notfallpläne im Sicherheitskonzept dokumentieren

  • Regeln zum Umgang mit der IKT sollten in einem Sicherheitskonzept schriftlich festgehalten werden.
  • Dort finden Mitarbeiterinnen und Mitarbeiter nicht nur Vorgaben zur Nutzung der IKT, sondern auch wie Passwörter gewählt oder mit Daten verfahren werden sollte.
  • Ein Notfallplan hilft zusätzlich, Schäden durch Ausfall der IKT, versehentliche Datenlöschung oder eine Infizierung mit Viren, Würmern, Trojanern und anderer Malware zu minimieren
  • Schließlich sollte der Zugang zu sensiblen Daten eines Unternehmens, wie persönlichen Daten der Beschäftigten und Kunden oder Geschäftsgeheimnisse, bewusst geregelt werden.
  • Es sollte nur die Person auf diese Daten zugreifen können, die diese auch braucht.

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Informationssicherheitsorganisation&oldid=33397