Informationssicherheitsorganisation

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Organisation der IT-Sicherheit

  • Bei IT-Sicherheit kommt es vor allem auf den Menschen an.
  • Es müssen zwar technische Vorkehrungen getroffen werden.
  • Diese allein können die Unternehmens-IT aber nicht hinreichend vor Sicherheitslücken schützen.
  • Entscheidend ist die Sensibilisierung der Mitarbeiter und Mitarbeiterinnen.

Das Risiko abschätzen

  • IKT-Qualifizierung und Sicherheit sollten von jedem Unternehmen selbst systematisch organisiert werden.
  • Der erste und wichtigste Schritt einer gut organisierten IT-Sicherheit ist die Einschätzung des Risikos.
  • Nur wer seine Schutzgüter und Abhängigkeiten auf der einen Seite sowie die drohenden Gefahren auf der anderen Seite kennt, kann sich richtig schützen.
  • Um den Handlungsbedarf im IT-Sicherheitsbereich zu ermitteln, ist es also oft hilfreich, zunächst einmal die schutzbedürftigen Unternehmensdaten zu identifizieren und herauszufinden, wo sie gespeichert sind.

Mitarbeiterinnen und Mitarbeiter schulen

  • Um im nächsten Schritt abzuschätzen, welche Schutzmaßnahmen getroffen werden müssen ist es wichtig, im Unternehmen einen Verantwortlichen oder eine Verantwortliche zu benennen
  • Der oder diese sollte sich entweder ohnehin mit Themen der IT-Sicherheit auskennen oder sich einarbeiteten.
  • In sehr kleinen Unternehmen kann es auch die Geschäftsführung sein, die diese Rolle selbst übernehmen muss.
  • Fehlt im Betrieb die notwendige Expertise, sollte externer Sachverstand aus vertrauenswürdiger Quelle eingeholt werden.
  • Mit geschäftsbezogener IKT verhält es sich letztlich wie mit traditionellen Arbeitsgeräten:
  • Kein neuer Mitarbeiter würde ohne Einweisung eine neue Maschine bedienen.
  • Genauso sollte es auch im Umgang mit IKT sein.
  • Neue Beschäftigte müssen die IKT erklärt bekommen, bevor sie diese verwenden.
  • Daneben dürfen Unternehmen aber nicht den übrigen Mitarbeiterstamm vergessen, denn Betriebssysteme und Hardwarestandards ändern sich stetig und schnell.
  • Firmen sollten daher regelmäßig Weiterbildungs- und Informationsmöglichkeiten zur IT-Sicherheit anbieten oder sogar verpflichtend machen.

Basisschutz – Firewalls, Passwörter und Verschlüsselungen

  • Virenscanner und eine Firewall sollte auf Ihren Rechnern installiert sein.
  • Wichtig ist eine regelmäßige Aktualisierung von Virenscanner, Firewall und auch allen übrigen Programme der IKT-Systeme
  • Immer Updates durchführen, damit eventuelle Sicherheitslücken, zeitnah geschlossen werden.
  • Zum Basisschutz gehört auch, sichere Passwörter zu wählen
  • Ein sicheres Passwort besteht aus einer zufälligen Kombination von mindestens acht Buchstaben, Ziffern und Sonderzeichen.
  • Schließlich wird empfohlen, ein Passwort nicht mehrfach zu verwenden.
  • Um sich die Menge der infolge dessen anfallenden Kennwörter zu merken, kann ein Passwort-Manager hilfreich sein.
  • Nicht genutzte Geräte, wie PCs, Notebooks, Smartphones und Tablets, sollten grundsätzlich gesperrt werden, selbst wenn die Arbeitspausen nur kurz sind.
  • Ein weiteres potentielles Risiko verbirgt sich hinter der Nutzung kabelloser WLAN-Netzwerke.
  • Solche Netzwerke müssen jedoch verschlüsselt werden.
  • Unternehmen sollten außerdem darauf achten, dass die Bezeichnung Ihres WLANs keine Rückschlüsse auf sie zulässt.
  • Zusätzlichen Schutz bietet hier das Abschalten der SSID-Kennung.

Fernzugriff

  • Greifen Mitarbeiterinnen und Mitarbeiter von zu Hause oder unterwegs auf das interne Unternehmensnetzwerk zu
  • Dies sollte über ein durch VPN- oder SSL-Protokolle verschlüsseltes Netzwerk geschehen.
  • Anderenfalls werden Daten über das ungeschützte Internet versandt, was grundsätzlich für jeden einsehbar ist.
  • Firmen können die sicheren Verbindungen bei ihren Internetprovidern beantragen.

Daten müssen aber nicht nur vor ungewollten Zugriffen über Netzwerke gesichert werden. Auch die Festplatte eines Rechners kann zum Risiko werden, falls diese verkauft, zur Reparatur gebracht oder unüberlegt entsorgt wird. Sogar manuell gelöschte Dateien können in der Regel noch aufgerufen werden. Durch die Löschung werden lediglich Informationen über den Speicherort, aber nicht die Inhalte entfernt. Dasselbe gilt auch beim Formatieren der Festplatte. Zur sicheren Löschung vertraulicher Daten sollten daher spezielle Programme eingesetzt werden. Diese überschreiben den nicht mehr benötigten Speicherplatz, so dass die Daten unwiderruflich vom Speichermedium entfernt werden. Mehr Informationen dazu finden Sie auch beim Thema „Datenschutz und Datensicherheit“.

Regeln und Notfallpläne im Sicherheitskonzept dokumentieren

Regeln zum Umgang mit der IKT sollten in einem Sicherheitskonzept schriftlich festgehalten werden. Dort finden Mitarbeiterinnen und Mitarbeiter nicht nur Vorgaben zur Nutzung der IKT, sondern auch wie Passwörter gewählt oder mit Daten verfahren werden sollte. Ein Notfallplan hilft zusätzlich, Schäden durch Ausfall der IKT, versehentliche Datenlöschung oder eine Infizierung mit Viren, Würmern, Trojanern und anderer Malware zu minimieren (siehe dazu auch das Thema „Datenschutz und Datensicherheit“). Schließlich sollte der Zugang zu sensiblen Daten eines Unternehmens, wie persönlichen Daten der Beschäftigten und Kunden oder Geschäftsgeheimnisse, bewusst geregelt werden. Es sollte nur die Person auf diese Daten zugreifen können, die diese auch braucht.

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Informationssicherheitsorganisation&oldid=33395