06 Apr

IT Security Policies bzw. Sicherheits-Richtlinien in Unternehmen

Sehr viele Unternehmen besitzen keine IT-Sicherheits- Richtlinien, obwohl mittlerweile viele kritische und immer komplexer werdende Geschäftsprozesse von einer sicheren und intakten Informationstechnologie abhängen. Und auch die dazu notwendige Technik wird immer anspruchsvoller und aufwändiger.

Oft wird einfach nur der gegebenen Sicherheitstechnik und den Sicherheitslösungen wie Firewalls, Antivirus-Programmen usw. blind vertraut. Aber IT-Sicherheit braucht viel mehr als eine „simple Technik“, die oftmals gar nicht richtig beachtet, als „notwendiges Übel“ verstanden und halbherzig eingesetzt wird.

IT-Sicherheit ist Management-Verantwortung höchster Kategorie

Aus dem Verlust von firmeninternen Daten oder wichtigen Zugangsdaten können massive Schadensersatzforderungen Dritter erwachsen. Auch langjährige und stabil geglaubte Geschäftsbeziehungen können ins Wanken geraten. Außerdem ist es für jedes Unternehmen von höchster Bedeutung, die Schlüsselfaktoren, Daten und Prozesse für den eigenen Erfolg zu kennen.

IT-Sicherheits-Richtlinien stellen Regeln auf, was erlaubt bzw. nicht erlaubt ist und was für die sichere Aufrechterhaltung der Geschäftsprozesse notwendig ist. Die richtige Technologie spielt erst bei der Realisierung eine Rolle und wird dann von den verantwortlichen IT Fachkräften eingesetzt.

Viele große Unternehmen haben bereits Sicherheits-Richtlinien und leben sie auch sehr strikt. In KMUs sieht das allerdings ganz anders aus: hier gibt es leider nur sehr wenige Unternehmen, die bereits Sicherheits-Richtlinien eingeführt haben und sie auch konsequent „nach innen“ kommunizieren und ihre immense Bedeutung verständlich machen.

Dabei müssen diese Vorgaben weder „eine Doktorarbeit“ noch ein 50-seitiges Dokument sein, dessen Inhalte sich kein Mitarbeiter jemals merken kann.

Wichtig ist, dass in den Sicherheits-Richtlinien geschäftskritische Prozesse abgebildet sind und der Umgang mit Daten, Passwörtern, Backup usw. konkret und nachvollziehbar definiert sind. Nicht mehr und nicht weniger.

Sehr wichtig ist auch, dass Mitarbeiter jederzeit über die wichtigsten Themen informiert sind. So sollten sie z.B. abteilungsweise und regelmäßig im richtigen Umgang mit Daten, Passwörtern, USB-Sticks usw. geschult werden. Dies kann durch einen einfachen Flyer, eine E-Mail oder auch eine kurze Infoveranstaltung erfolgen.

Wenn sie als Unternehmer oder Verantwortlicher Sicherheits-Richtlinien in einem KMU mit 20 Personen einführen möchten, dann weisen sie das IT-Unternehmen, das ihre Sicherheits-Richtlinien erstellt, darauf hin, dass sie ein kleines lebendiges Dokument erstellen möchten, das auf ihr Unternehmen maßgeschneidert sein soll.

Sicherheits-Richtlinien sollten folgende Themen unbedingt behandeln:

  • Organisatorische Sicherheitsmaßnahmen
    (z.B. Umgang mit Passwörtern, Verwendung von Datenträgern, Überprüfung von Backups, Verwendung von Mobilen Geräten usw.)
  • Zugriffskontrolle
    (z.B. Berechtigungen, Passworteinstellungen, Check des Schutzes von IT Systemen usw.)
  • Sicherheitsmaßnahmen im IT-Umfeld
    (z.B. Firewall, Antivirus, WLAN Schutz, Zutritt zum Serverraum usw.)
  • Change Management
    (z.B. Regelmäßige Aktualisierungen, Staging Systeme usw.)
  • Umgang mit Dritten
    (z.B. Vereinbarungen mit Dritt-Unternehmen, outgesourcte Dienstleistungen usw.)
  • Datensicherung und Notfallvorsorge
    (z.B. Systemdokumentation, Test von Backups, Lagerung von Backup Medien usw.)

Jedes Unternehmen kann und sollte Sicherheits-Richtlinien haben

Unter folgendem Link haben wir für sie einen IT-Sicherheits- Schnelltest entwickelt, mit dem sie sich ein Bild über ihre aktuelle Sicherheitslage machen können. Dieser Test ist für Unternehmer und Managementverantwortliche konzipiert und beinhaltet einige wichtige Punkte möglicher Sicherheits-Richtlinien sowie die daraus resultierenden und möglichen rechtlichen Konsequenzen.

https://sicherheits-audit.lemonpi.at

06 Apr

IoT-Geräte sind nicht nur cool: Das Internet der Dinge braucht Sicherheit

IP-Kameras, Babyfons, Bewegungsmelder, verschiedene Sensoren oder Aktoren für das Eigenheim werden immer beliebter. Das Internet of Things boomt. Und die Produkte werden immer billiger. Verlockend, oder?

Da in den letzten Jahren auch die Installation immer einfacher geworden ist, werden diese Produkte nun immer häufiger eingesetzt.

SICHERHEITSBEDENKEN? FEHLANZEIGE.

Es hat aber schon Fälle gegeben, in denen diese „Things“ im Internet für ganz massive Verletzungen der Privatsphäre missbraucht wurden … und das ist wohl immer über Schwachstellen in der Softwareimplementierung und/oder durch fehlende Sicherheitsmechanismen gelaufen.

Besonders schockierend war ein Missbrauch, der sich folgendermaßen zugetragen hat: Ein Angreifer hatte sich Zugang zu einem Babyfon mit Kamera verschafft. Als der Vater – akustisch durch wüste Beschimpfungen alarmiert – ins Kinderzimmer kam, konnte er gerade noch „live“ registrieren, wie sich die Kamera des Babyfons bewegte und eine männliche Stimme über den Lautsprecher Obszönitäten verbreitete. Wirklich schlimm. Eine Horrorvision für alle Eltern.

Solche oder ähnliche Fälle ereignen sich tagtäglich, wobei ja nur ein ganz kleiner Prozentsatz den Weg in die Öffentlichkeit findet, da diese Angriffe entweder unentdeckt bleiben oder oft einfach verschwiegen werden.

Die Informationsübertragung: der erste kritische Punkt

Da ja die meisten dieser Produkte – egal ob Sicherheitskamera, Babyfon, Kühlschrank oder ein anderes Gerät – über ein Wireless-Signal (häufig auch über das hauseigene WLAN) verbunden werden, ist diese Informationsübertragung der erste abzusichernde Punkt.

Gerade wenn Geräte in das private WLAN eingebunden werden, sollte dieses ja die bestmögliche aller Sicherheiten aufweisen: momentan gängig ist die WPA2 mit AES/CCMP Verschlüsselung. Leider sind ältere Geräte auf die Benutzung dieses Verfahrens oft nicht eingerichtet. Und wenn dann (aus Verlegenheit, Bequemlichkeit oder falsch verstandener Sparsamkeit) auf das obsolete Verfahren WEP zurückgegriffen wird, ist so gut wie keine Absicherung gegeben.

Die alte WEP Verschlüsselung kann innerhalb von Minuten geknackt werden

Deshalb: WPA-unfähige Geräte unbedingt durch aktuellere Versionen bzw. Alternativprodukte ersetzen. Fortschritt muss (gerade bei der Sicherheitstechnik) oberstes Gebot sein!

Be ahead… der wichtigste Grundsatz für das proaktive Verhindern von Missbrauch

Im Idealfall wird ein zweites WLAN aufgebaut, in dem sich nur Geräte mit erhöhtem Risiko befinden, um im Fall eines erfolgreichen Angriffs das private WLAN nicht zu kompromittieren. Die meisten neueren WLAN-Router verfügen über dementsprechende Optionen.

Es ist außerdem unerlässlich, die Standardpasswörter (nicht die des WLAN, sondern ganz allgemein) zu ändern, da diese ganz leicht im Internet zu finden sind.

Da ja oft Sicherheitsprodukte wie Kameras oder Alarmanlagen (z.B. zur Überprüfung des Perimeters) von außen und somit vom Internet aus zugänglich sein sollen, müssen für diese Services besonders hohe Sicherheitsmaßnahmen mit besonderer Sorgfalt eingebunden werden.

Am besten und einfachsten ist eine VPN-Verbindung, die Zugriff zum privaten Netzwerk herstellen kann und die auch über eine starke Verschlüsselung verfügt. Dann können die Geräte wie von Zuhause aus verwendet werden.

Wenn diese Option nicht möglich ist, sollten jedoch zumindest die Services, auf die vom Internet aus zugegriffen werden soll, einerseits über eine verschlüsselte Verbindungverfügbar gemacht werden, anderseits das Service selbst mittels Authentifizierungund gegebenenfalls Autorisierung abgesichert werden.

Wenn diese Option nicht möglich ist, sollten jedoch zumindest die Services, auf die vom Internet aus zugegriffen werden soll, einerseits über eine verschlüsselte Verbindungverfügbar gemacht werden, anderseits das Service selbst mittels Authentifizierung und gegebenenfalls Autorisierung abgesichert werden.

Zuletzt ist der Einsatz einer Firewall mit integriertem IDS/IPS (Intrusion Detection/Prevention System) zu empfehlen, das Angriffe bzw. Schwachstellen erkennt. Diese Option erfordert jedoch schon etwas technisches Know-how und sollte, um eine reibungslose Funktion zu gewährleisten, unbedingt von Fachpersonal installiert und gewartet werden.

Die wichtigsten Punkte als Stichwortliste:

  • Firewall mit IDS/IPS
  • WLAN mit WPA2 und AES/CCMP
  • Zweites getrenntes (WLAN) Netzwerk
  • Standardpasswörter ändern
  • Starke Passwörter verwenden
  • Internet-Services absichern
05 Apr

Verein für Datenschutz und IT-Sicherheit


Datenschutz und IT-Sicherheit: Ein Verein mit einer Mission

Gerade weil wir die Stärken und die Potenziale der digitalen Welt schätzen und für die Zukunft sichern wollen, müssen wir auch ihre Grenzen sehen und Gefahren rechtzeitig erkennbar machen.

Datenschutz und IT-Sicherheit sind in den Köpfen der Verantwortlichen in Betrieben und Organisationen längst präsent. Denn Web und IT-Systeme haben sich schon mehrfach von ihrer bedrohlichen Seite gezeigt, die von krimineller Energie, mangelndem Problembewusstsein und einem geringen Kenntnisstand befeuert wird.
Auch wächst in unserer Gesellschaft langsam das Bewusstsein dafür, dass der sorglose Umgang mit Web und Sozialen Medien unbeabsichtigte und zum Teil gravierende Folgen haben kann. Denn wir alle werden über Daten und Taten permanent sichtbar gemacht, sehen aber nicht jene, die uns sehen und uns digital „verarbeiten“.

Wir, die Gründungsmitglieder des Vereins, sind beruflich ständig mit Fragen des Datenschutzes und der IT-Sicherheit befasst und registrieren bei Recht, Technik und Kommunikation einen stetig steigenden Informationsbedarf.

Um unsere Kompetenzen auf diesem Gebiet zu bündeln, haben wir uns entschlossen, einen gemeinnützigen Verein zu gründen, der als objektive und unparteiische Organisation die Öffentlichkeit über relevante Themen informieren, Zusammenhänge aufzeigen und aktuelle Entwicklungen mitgestalten will.
Durch die Sensibilisierung der betroffenen Personen, Unternehmen und Organisationen werden wir dazu beitragen, dass diese selbständig oder mit professioneller Hilfe ihre Verantwortung in diesem Bereich umfassend wahrnehmen können.

Als Gründungsmitglied sind wir, die LemonPI GmbH, hier unter anderem für die Technische Datensicherheit verantwortlich.

Link: http://www.davits.eu