Fachartikel zum Thema Unternehmenssicherheit

Fachartikel zum Thema Unternehmenssicherheit

Wirtschaftsspionage, Bring Your Own Device (BYOD) und Cloud-Computing sind nur einige der aktuellen Bedrohungen und Herausforderungen im Bereich der I...

208KB Sizes 0 Downloads 2 Views

Recommend Documents

Fachliteratur zum Thema - Hypotheses.org
Handeln begünstigen. Cyberstalking und Cybercrime. Kriminalsoziologische Untersu- chung zum. Cyberstalking-Verhalten de

Materialien zum Thema Aggression
Page 1. Friedrich Hacker. Materialien zum Thema. Aggression. Gespräche mit Adelbert Reif und Bettina Schattat. Rowohlt.

Fachvortrag zum Thema
Gegenstände und Bauwerke aus Holz wie zum Beispiel Grubenholz, Holzkohle,. Holzboote, Pfahlbauten, Fachwerkhäuser u.a.

Notizen zum Thema Selbstversorgung
Bei vegetativer Vermehrung schneidet man Stecklinge (Wurzel oder Blattstecklinge), verwendet man Ausläufer, unterirdisc

Dokumentation zum Thema
(Abgedruckt in: Otto Bonhard, Geschichte des Alldeutschen Verbandes,. Leipzig/Berlin ..... (Auszugsweise abgedruckt in:

Infoblatt zum Thema Stalking
verbessert damit den Schutz der Stalking-Opfer. Hinter einem Stalker kann sich SOWohl der Ex-Partner, ein Freund oder Ko

Meldungen zum Thema Bundesfinanzakademie
29.05.2008 - Gutachten: Flat Tax oder Duale Einkommensteuer. Flat Tax und Duale Einkommensteuer sind Modelle für eine E

Recherche zum Thema:
12.03.2004 - Nebenwirkungen beim intravenösen Konsum von retardierten Morphinen ... In Österreich zeigt sich beim proble

Fachartikel Fachbuch
Dr.-Ing. Rudi Karpf, Hofgut Kolnhausen 12, 35423 Lich. 1 von 2 Seiten. Fon: 06404.658164 - Fax: 06404.658165. Mail: info

Praxistipps zum Thema Aortenstenose - Berufsverband
Gebrechlichkeit definiert sich, wenn 3 oder mehr der folgenden Kriterien erfüllt sind: Unfreiwilliger Gewichtsverlust.

Wirtschaftsspionage, Bring Your Own Device (BYOD) und Cloud-Computing sind nur einige der aktuellen Bedrohungen und Herausforderungen im Bereich der Informationssicherheit für Sie privat oder Ihr Unternehmen. Wolfgang Sidler*

Aktuelle Studien zeigen auf, dass die neuen Bedrohungen heute durch mobile Endgeräte (BYOD), Cloud-Computing, soziale Netzwerke und unsichere Software-Applikationen stark zugenommen haben. Die grössten Gefahren sind fahrlässiger Datenverlust oder Datendiebstahl durch das eigene Fehlverhalten oder durch die eigenen Mitarbeitenden. Die dynamischen Veränderungen in Wirtschaft und Technik schaffen neue Gefahren und Risiken, welche sich kombiniert mit anderen begleitenden Ereignissen, wie Wirtschaftsspionage zu einem oft stark unterschätzten Risiko entwickeln können. Den Chancen, die sich aus der Nutzung der Informationsund Kommunikationstechnologie ergeben, stehen aufgrund wachsender Abhängigkeit von der Technologie eben auch eine Vielzahl von Risiken gegenüber. Die Herausforderung besteht folglich darin, die spezifischen Risiken zu identifizieren, zu bewerten, entsprechende Massnahmen einzuleiten und die Restrisiken zu kennen und zu akzeptieren. Nachrichtendienste und die organisierte Kriminalität führen heute hoch professionelle IT-Angriffe durch, bei denen Informationen und IT-Strukturen von Unternehmen und auch von Privatbenutzern im Mittelpunkt des Interesses stehen. So überrascht es nicht, dass der Informationssicherheit eine immer grössere Bedeutung auf wirtschaftlicher, gesellschaftlicher, politischer und rechtlicher Ebene zukommt. „Cloud-Computing“ ist in diesem Zusammenhang nicht ungefährlich. Mir scheint, dass genau mit diesem Hype die Risiken in die "Wolke" verschoben werden und so der Betrieb der ganzen ITInfrastruktur an einen externen Dienstleister delegiert wird. Probleme werden aber nicht behoben, wenn diese ausgelagert werden! Und nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ ist es zu empfehlen, dem Provider über die Schulter zu schauen und dies im Sinne einer gegenseitigen fairen Transparenz. Denn wissen Sie, wozu die System-Administratoren in der Lage sind, wenn…? Besonders viele Privatbenutzer benutzen den Cloud-Service "Dropbox". Wie geht das Unternehmen Dropbox mit Ihren persönlichen Daten um? Dropbox möchte mit dem Unternehmen an die US-Börse. Wie sieht es dann mit dem Shareholder-Value und der Informationssicherheit aus? IT-Sicherheit darf auch etwas kosten. Ein IT-Unternehmen hat im Mai 2010 folgendes berechnet: Die Schweizer Unternehmen geben im Monat durchschnittlich CHF 4.60 pro Mitarbeiter für Klopapier aus. Nur CHF 2.70 kostet hingegen eine minimale E-Mail-Sicherheit. Vielen Firmen ist ihre Sicherheit aber nicht einmal so viel wert! Gemäss einer ETH-Umfrage geben 62 Prozent der Betriebe nicht mehr als CHF 5‘000.00 pro Jahr für die gesamte IT-Sicherheit aus. Mit einer genauen Risikoanalyse lässt sich je nach Gewichtung ohne weiteres ein vernünftiger Kostenrahmen erstellen.

Ohne Informationssicherheit geht heute nichts mehr. Dabei hilft Ihnen ein InformationssicherheitsManagementsystem (ISMS), die Vielfalt der Herausforderungen systematisch in den Griff zu bekommen. Das systematische und koordinierte Planen, Steuern und Kontrollieren aller auf die Informationssicherheitsziele ausgerichteten Aufgaben bezeichnet man als ISMS und es richtet sich nach dem ISO 27001 Standard. Eine gezielte Verhaltensschulung der Mitarbeitenden ist schliesslich von eminenter Bedeutung. Ein Grossteil Ihrer Daten, welche in Ihrem Unternehmen und auch zu Hause (Home-Office) ausgetauscht werden, sind schützenswert. So gehen Verfehlungen im Umgang mit Daten in den meisten Fällen mit der Verletzung vertraglicher Pflichten oder des Datenschutzes einher. Ebenso wird es für Unternehmen schwieriger, wie Daten grenzüberschreitend oder global auszutauschen sind, müssen doch eine Vielzahl von landesspezifischen Bestimmungen beachtet werden. Der Rummel um Cloud-Computing verschärft dieses Thema. Der Benutzer weiss in der public Cloud (z.B. Dropbox, Amazon, Office 365 von Microsoft, etc.) nicht, auf welchen Systemen, in welchem Rechenzentrum und in welchem Land der Provider seine Daten speichert. Seit Juni 2011 ist bekannt, dass die US-Behörden auf europäische Cloud-Daten zugreifen dürfen. Das gilt insbesondere für den Patriot Act, der US-Strafverfolgern weitreichende Zugriffsrechte auf Daten gibt. In den entsprechenden Service Level Agreements (SLA) kann zum Beispiel der folgende Passus stehen "Unter bestimmten Umständen kann der Provider Daten ohne Ihre vorherige Zustimmung weitergeben. Dazu gehört die Befolgung rechtlicher Anforderungen". Für ein rechtlich abgesichertes Cloud-Szenario sind also dedizierte Anforderungen an den Cloud-Provider sowie wasserdichte Verträge ein Muss. Wie können Sie sich schützen? In Anbetracht der weltweit verschärften Konkurrenzsituation und einer steigenden Abhängigkeit von modernen Informations- und Kommunikationssystemen wird es immer wichtiger, sich gegen illegale Nutzung des eigenen Wissens zu schützen. Mit zunehmender Vernetzung kommt der Sicherheit der IT-Infrastruktur Priorität zu. Informationssicherheit darf nicht an Firmen- oder Landesgrenzen Halt machen. International tätige Firmen müssen sich bewusst sein, dass Informationsverluste bei ausländischen Niederlassungen, Konzerngesellschaften oder Geschäftspartnern möglich sind. Einen vollständigen Schutz gegen Informationsabfluss gibt es nicht, doch geeignete Massnahmen können wirkungsvollen und finanziell tragbaren Schutz bieten. Folgende präventiven Massnahmen können unter anderem ergriffen werden: Personensicherheit: Vor jeder Neuanstellung, speziell für sensible Bereiche, empfehle ich Ihnen die Identität und Referenzen des Bewerbers zu überprüfen. Achten Sie aber auch darauf, wenn Sie Hilfskräfte (z.B. Reinigungspersonal) einstellen. In einem Unternehmen sollten alle Mitarbeiter inkl. Management sichtbar einen Ausweis (Badge) tragen. Nur so können die Mitarbeiter in einem grösseren Unternehmen interne von externen Mitarbeitern unterscheiden. Externe Mitarbeiter (Handwerker, temporäre Mitarbeiter) müssen einen speziell markierten Ausweis sichtbar tragen. Begleiten Sie Handwerker in die Räumlichkeiten. Verfügt Ihr Unternehmen über eine Entwicklungsabteilung, verbieten Sie digitale Kameras oder andere Mobilgeräte mit einer eingebauten Kamera während einer Führung durch diese Räumlichkeiten. Verschlüsselung:

Schützen Sie Ihr Firmen-Know-how durch eine geeignete Verschlüsselung der Notebook-Festplatte. Wenn Sie vertrauliche Dokumente via E-Mail versenden, verschlüsseln Sie das E-Mail und dessen Inhalt. Nur mit einer angemessenen Verschlüsselung können Sie die Vertraulichkeit wahren.

Passwörter:

Verwenden Sie jeweils starke Passwörter und geben Sie Ihr Passwort nie bekannt. Keine Passwortliste unverschlüsselt speichern oder ausdrucken.

USB-Sticks:

Schliessen Sie keine USB-Sticks mit unbekannter Herkunft an Ihr Notebook an. Überprüfen Sie Ihnen vertraute USB-Sticks und CDs nach Viren, bevor Sie diese verwenden. Speichern Sie vertrauliche Firmen-Daten nur verschlüsselt auf einem USB-Stick. Schliessen Sie Ihren USB-Stick an keinen unbekannten PC oder Notebook an, denn die Daten auf dem USB-Stick können schnell, unbemerkt und ohne Spuren zu hinterlassen auf den PC kopiert werden.

Handy und PDA:

Vorsicht mit dem Umgang der PDAs (iPhone, Blackberry etc.). Nehmen Sie solche elektronische Geräte bei wichtigen und vertraulichen Verhandlungen nicht ins Sitzungszimmer. Auch ein angeblich ausgeschaltetes Handy kann mit einem speziellen Handy-Trojaner alles im Raum aufnehmen oder das Gespräch live übertragen.

Öffentlichkeit:

Behandeln Sie geschäftliche Themen und Informationen in der Öffentlichkeit vertraulich während einer Bahn- oder Flugreise oder im Restaurant. Lassen Sie andere nicht mithören und lassen Sie sich nicht aushorchen.

Büro:

Schliessen Sie vertrauliche Unterlagen weg. Verlassen Sie Ihren Arbeitsplatz jeweils aufgeräumt (Clear Desk). Werfen Sie keine Datenträger (CDs) und Dokumente mit sensiblem Inhalt ungeschreddert in den Papierkorb. Wenn Sie Ihren Arbeitsplatz auch nur für kurze Zeit verlassen, aktivieren Sie Ihren Bildschirmschoner.

E-Mail:

Versenden Sie vertrauliche E-Mails nur verschlüsselt und überprüfen Sie den oder die Empfänger vor dem Senden genau. Senden Sie wenn möglich keine Word-Dokumente (DOC) in einem E-Mail. Senden Sie nur PDF-Dokumente als Anhang in einem E-Mail. Denn Word-Dokumente beinhalten viele Informationen (Meta-Daten), welche Sie in kompromittierende Situationen bringen könnten.

Software:

Installieren Sie keine unbekannte Software. Vorsicht bei Freeware-Software. Stellen Sie sicher, dass die Quelle vertrauenswürdig ist. Es gab Fälle, wo Spyware in den Gratis-Programmen eingebaut war. Halten Sie Ihren Virenschutz und Ihre Programme inkl. Betriebssystem auf dem aktuellsten Stand.

Informatik:

Vor der Entsorgung von Computern ist die Festplatte „sicher zu löschen“. Dasselbe gilt vor dem Verschenken oder Verkaufen von Computern. Löschen oder deaktivieren Sie alle Benutzer-IDs von Mitarbeitern, welche Ihr Unternehmen verlassen haben.

Recht:

Bestehen Sie darauf, dass Ihre Mitarbeiter bei der Anstellung eine Vertraulichkeitsvereinbarung (Geheimhaltungs-, Sorgfaltspflichtund Treuepflicht) unterschreiben, welche auch nach dem Austritt Gültigkeit hat.

Weisungen:

Stellen Sie sicher, dass alle Mitarbeiter die internen Firmen-Weisungen in Bezug auf die Nutzung der Informatik-Mittel kennen. Ich empfehle Ihnen, eine Sicherheitspolitik erstellen zu lassen, welche die generellen Ziele der Informationssicherheit und die Informationssicherheits-Organisation definiert.

Sensibilisierung:

Sensibilisieren Sie Ihre Mitarbeiter mit einfachen aber wirkungsvollen Präsentationen und Publikationen. Besonders Mitarbeiter im Verkauf, Marketing, in der Entwicklung und Filialleiter im In- und Ausland.

Zutritt:

Schützen Sie Ihre Büro-Räumlichkeiten und Computer-Räume vor unbefugtem Zutritt.

Risiko-Analyse:

Führen Sie mit Hilfe eines Sicherheitsspezialisten eine IT-Risiko-Analyse in Ihrem Unternehmen durch. Dabei geht es darum, die Unternehmenswerte zu identifizieren, damit die Risiken und Gefahren explizit richtig eingeschätzt werden können. Ermitteln Sie die möglichen Szenarien mit den entsprechenden Gegenmassnahmen.

Geschäftsführung:

Erstellung eines Informationssicherheitskonzepts (ISMS) und Ernennung einer dafür verantwortlichen Person, die mit Unterstützung der Geschäftsleitung Kontrollen durchführt und die Sicherheit durchsetzt.

Wie können wir Sie unterstützen? Wir erstellen für Sie moderne IT-Sicherheitslösungen basierend auf etablierten Verfahren, Standards und Produkten unter Berücksichtigung der technischen Machbarkeit. Wir unterstützen Sie in allen Projektphasen, vom Erarbeiten des Konzepts über die Realisierung bis hin zur Einführung und zum Betrieb. Bei unserer Arbeit orientieren wir uns daher ausschliesslich am Kundennutzen und machen die Kundenziele zu unseren eigenen. Im Team mit dem Kunden werden individuelle Lösungen erarbeitet und umgesetzt. Wir unterstützen Sie in den folgenden Bereichen:       

Flyer Sicherheitsberatung ISMS (Weisungen, etc.) Flyer IT-Sicherheits-Check auf Management Ebene Flyer IT-Risiko-Management Flyer Sicherheitsbeauftragter auf Zeit (SIBE) Flyer IT-Coaching für das Management (GL/VR) Flyer Sensibilisierungs-Aktionen für alle Mitarbeitenden Datenschutz in Ihrem Unternehmen

Kurse und Präsentationen zum Thema Informationssicherheit Wir führen für Sie massgeschneiderte Schulungen und Workshops durch, um Sie und Ihre Mitarbeitenden fit für die Informationssicherheit und den Datenschutz zu machen. Hier unser Schulungs-Angebot Fazit Es lohnt sich, Zeit und Geld zu investieren, um Mitarbeitende für Sicherheitsrisiken zu sensibilisieren und klare Richtlinien aufzustellen. Denn die teuersten und besten Firewalls und Security-Lösungen bringen Ihnen nichts, wenn Ihre Mitarbeitenden die Hintertüren durch ein falsches Verhalten für Cyber-Angriffe öffnen. *Wolfgang Sidler, Inhaber SIDLER Information Security GmbH www.sidler-security.ch, Master of Advanced Studies in Information Security, Certified ISO 27001 Lead Auditor und Mitautor des «ITSicherheitshandbuches für die Praxis»