IT Security Policy - Entwickeln Sie Ihre eigenen Richtlinien

Hat Ihre Firma schriflich fixierte EDV-Sicherheitsrichtlinien? Wenn es sich um kein großes Unternehmen handelt - dann vermutlich eher nicht. Dabei sind klar definierte IT-Sicherheitsregeln mindestens so wichtig wie technische Maßnahmen zur Sicherheit. 

Das Thema EDV-Sicherheitsrichtlinie ist leider viel zu komplex um es hier angemessen zu behandeln. Dennoch wollen wir ein wenig die Sensibilität für klar definierte Sicherheit schärfen.

Modelle

Die Ersten, die sich Gedanken über umfassende Informations- Sicherheitsrichtlinien machten, waren die Geheimdienste. Der CIA entwickelte ein Modell Names Information Assurance and Security (IAS) bzw. das Referenzmodell RMIAS (2013)

Die vier wichtigsten Säulen das Modells sind:

  • Vertraulichkeit (Confidentiality)
  • Integrität (Integrity)
  • Verfügbarkeit (Availability)
  • nicht Abstreitbarkeit (Non-repudiation)

Grob gesagt müssen die einzelnen Maßnahmen intern allen bekannt sein ohne dass Details öffentlich sind. Die Regeln müssen alle Bereiche umfassen und global anwendbar sein. Der letzte Punkt betrifft die Dokumentation, Protokollierung und Übertragung von Informationen an Dritte. So dürfen Informationen nur herausgegeben werden wenn das Gegenüber die Sicherheitsregeln anerkennt und selber anwendet. Diese Anerkennung muss z.B. durch ein non disclosure agreement belegbar sein.

Grundlagen

Seit dem Juli 2015 gibt es das IT-Sicherheitsgesetz. Dieses Gesetz verlangt von bestimmten Unternehmen und Einrichtungen dass sie Angriffe auf ihre EDV dem Bundesamt für Sicherheit in der Informationstechnik melden. Das betrifft aber nur wenige Unternehmen in bestimmten Bereichen.

Wichtiger für Unternehmen ist das Bundesdatenschutzgesetz (BDSD). Dort werden vor allem Regeln für die Auftragsdatenverarbeitung definiert. Diese Regeln betreffen insbesondere Steuerbüros, Provider, IT-Dienstleister usw.

Für kleine bis mittlere Unternehmen gibt es nur wenige gesetzliche Vorgaben. Auch ein eigener IT-Sicherheitsbeauftragter ist nicht vorgeschrieben sondern nur eine Empfehlung des BSI mittelgroße Firmen. 

Das BSI hat für Unternehmen einen eigenen ISO Standard (ISO/IEC 27001) entwickelt und bietet auch eine Zertifizierung an. Inwieweit das für Ihr Unternehmen notwendig ist, kommt auf die Größe und die Branche an. Eigene Richtlinien sollten Sie jedoch auf jeden Fall entwickeln.

Am besten Sie machen sich erst einmal ein Bild über Art und Umfang der Unternehmensdaten und betrachten wie und an welcher Stelle auf sie zugegriffen werden. Verschaffen Sie sich einen Überblick über die im Netz angemeldeten Geräte und mögliche Sicherheitsrisiken. Vergessen sie Handys, Notebooks, Drucker, Router und Webcams usw. nicht.

Dann werden sie automatisch auf Fragen wie „Wo sind die Backups und sind sie verschlüsselt“, „Wieso hat der Praktikant Zugriff auf die Daten der Geschäftsführung“ oder „Warum benutzt Mitarbeiter XY nicht den Server um Dateien zu speichern“.

Was daraus folgt

Eines muss jedem Verantwortlichen klar sein. Der Schutz von Unternehmens und Kundendaten hat oberste Priorität und Mitarbeiter sollten sich täglich damit auseinandersetzen müssen.

Schließlich genügt ein Fingernagel großer USB-Stick um das Kapital einer Firma zu stehlen. Wenn es nicht interne Sabotage ist, dann ist es ein halt triviales Passwort oder ein unvorsichtiger Mitarbeiter der Fremden über das Internet Zugang zum internen Netz zu verschafft.

Die Gefahr besteht auch wenn das Unternehmen keine Cloud-Services nutzt. Jährlich stellen tausende Unternehmen fest, dass ein einziger Trojaner ihr gesamtes Netz verschlüsselt hat.

Meistens ist das Ausmaß des Schadens nur deshalb so groß weil eine Kette von Versäumnissen den EDV-Gau möglich macht. Die Kette beginnt bei einem Mitarbeiter mit Administationsrechten und endet mit einem veralteten Backup.

Haben Sie noch Fragen. Wir helfen Ihnen gerne mit einem Audit und entwickeln mit Ihnen Ihr persönliches EDV-Sicherheitskonzept.

Weiterführende Links