06 Apr

IT Security Policies bzw. Sicherheits-Richtlinien in Unternehmen

Sehr viele Unternehmen besitzen keine IT-Sicherheits- Richtlinien, obwohl mittlerweile viele kritische und immer komplexer werdende Geschäftsprozesse von einer sicheren und intakten Informationstechnologie abhängen. Und auch die dazu notwendige Technik wird immer anspruchsvoller und aufwändiger.

Oft wird einfach nur der gegebenen Sicherheitstechnik und den Sicherheitslösungen wie Firewalls, Antivirus-Programmen usw. blind vertraut. Aber IT-Sicherheit braucht viel mehr als eine „simple Technik“, die oftmals gar nicht richtig beachtet, als „notwendiges Übel“ verstanden und halbherzig eingesetzt wird.

IT-Sicherheit ist Management-Verantwortung höchster Kategorie

Aus dem Verlust von firmeninternen Daten oder wichtigen Zugangsdaten können massive Schadensersatzforderungen Dritter erwachsen. Auch langjährige und stabil geglaubte Geschäftsbeziehungen können ins Wanken geraten. Außerdem ist es für jedes Unternehmen von höchster Bedeutung, die Schlüsselfaktoren, Daten und Prozesse für den eigenen Erfolg zu kennen.

IT-Sicherheits-Richtlinien stellen Regeln auf, was erlaubt bzw. nicht erlaubt ist und was für die sichere Aufrechterhaltung der Geschäftsprozesse notwendig ist. Die richtige Technologie spielt erst bei der Realisierung eine Rolle und wird dann von den verantwortlichen IT Fachkräften eingesetzt.

Viele große Unternehmen haben bereits Sicherheits-Richtlinien und leben sie auch sehr strikt. In KMUs sieht das allerdings ganz anders aus: hier gibt es leider nur sehr wenige Unternehmen, die bereits Sicherheits-Richtlinien eingeführt haben und sie auch konsequent „nach innen“ kommunizieren und ihre immense Bedeutung verständlich machen.

Dabei müssen diese Vorgaben weder „eine Doktorarbeit“ noch ein 50-seitiges Dokument sein, dessen Inhalte sich kein Mitarbeiter jemals merken kann.

Wichtig ist, dass in den Sicherheits-Richtlinien geschäftskritische Prozesse abgebildet sind und der Umgang mit Daten, Passwörtern, Backup usw. konkret und nachvollziehbar definiert sind. Nicht mehr und nicht weniger.

Sehr wichtig ist auch, dass Mitarbeiter jederzeit über die wichtigsten Themen informiert sind. So sollten sie z.B. abteilungsweise und regelmäßig im richtigen Umgang mit Daten, Passwörtern, USB-Sticks usw. geschult werden. Dies kann durch einen einfachen Flyer, eine E-Mail oder auch eine kurze Infoveranstaltung erfolgen.

Wenn sie als Unternehmer oder Verantwortlicher Sicherheits-Richtlinien in einem KMU mit 20 Personen einführen möchten, dann weisen sie das IT-Unternehmen, das ihre Sicherheits-Richtlinien erstellt, darauf hin, dass sie ein kleines lebendiges Dokument erstellen möchten, das auf ihr Unternehmen maßgeschneidert sein soll.

Sicherheits-Richtlinien sollten folgende Themen unbedingt behandeln:

  • Organisatorische Sicherheitsmaßnahmen
    (z.B. Umgang mit Passwörtern, Verwendung von Datenträgern, Überprüfung von Backups, Verwendung von Mobilen Geräten usw.)
  • Zugriffskontrolle
    (z.B. Berechtigungen, Passworteinstellungen, Check des Schutzes von IT Systemen usw.)
  • Sicherheitsmaßnahmen im IT-Umfeld
    (z.B. Firewall, Antivirus, WLAN Schutz, Zutritt zum Serverraum usw.)
  • Change Management
    (z.B. Regelmäßige Aktualisierungen, Staging Systeme usw.)
  • Umgang mit Dritten
    (z.B. Vereinbarungen mit Dritt-Unternehmen, outgesourcte Dienstleistungen usw.)
  • Datensicherung und Notfallvorsorge
    (z.B. Systemdokumentation, Test von Backups, Lagerung von Backup Medien usw.)

Jedes Unternehmen kann und sollte Sicherheits-Richtlinien haben

Unter folgendem Link haben wir für sie einen IT-Sicherheits- Schnelltest entwickelt, mit dem sie sich ein Bild über ihre aktuelle Sicherheitslage machen können. Dieser Test ist für Unternehmer und Managementverantwortliche konzipiert und beinhaltet einige wichtige Punkte möglicher Sicherheits-Richtlinien sowie die daraus resultierenden und möglichen rechtlichen Konsequenzen.

https://sicherheits-audit.lemonpi.at

29 Jul

Eine Firewall ist nicht genug!

Firewall und Antivirus sind nicht genug!

Gefahren durch Cybercrime lauern nicht nur außerhalb eines Unternehmensnetzwerks. Auch von „Innen“ können Unternehmen bspw. durch Mobile Geräte, USB-Sticks oder falsch konfigurierte kabellose Netzwerke angegriffen werden.  Eine wichtige Position in Punkto IT-Sicherheit nimmt hier natürlich die Firewall ein, welche den Übergang vom Internet in das lokale Netzwerk (LAN) absichert. Über sie laufen einige wichtige Kommunikationswege, wie bspw. E-Mail, Transaktionen oder Anbindungen zu Subfirmen oder Außenstellen. Entscheidend für ein gutes Sicherheitsniveau ist die fortlaufende Betreuung und Überprüfung dieses Systems. Die beste und teuerste Firewall kann auch nur dann effektiven Schutz bieten, wenn sie richtig konfiguriert, regelmäßig überprüft und aktualisiert wird.

Doch ist das ausreichend? Nein, das Internet ist nicht der einzige Weg für böswillige Hacker,  Maleware oder Ransomeware, welche sich im internen Netzwerk verbreiten können. Schlecht gewartete Server, welche aus dem Internet erreichbar sind, USB-Sticks, Notebooks, Mobiltelefone, usw. stellen ebenfalls ein hohes Risiko dar. Ein weiter wichtiger Punkt sind die eigenen Mitarbeiter, welche über Social Engineering angegriffen werden können. (Als Beispiel wäre hier der 50 Mio. Euro Angriff auf das Unternehmen FACC zu nennen. Link)

Wie kann sich ein Unternehmen nun wirksam schützen?
Vorab muss erwähnt werden, dass es keinen 100% Schutz geben kann. Unternehmen können sich jedoch gut schützen, indem sie Bewusstsein für IT-Sicherheit schaffen, was für die Managementebene sowie für MitarbeiterInnen gilt. Die Orientierung an der IT-Sicherheitsnorm ISO27002 stellt einen weiteren wichtigen Schritt zu guter IT-Sicherheit dar. Dies hört sich kompliziert an, ist aber weitgehend einfach und kostengünstig umzusetzen. Nicht immer müssen alle Punkte der ISO 27002 Norm müssen umgesetzt werden, häufig reicht es aus die wichtigsten Punkte der Norm zu überprüfen.

Die LemonPI GmbH (Link) hat hierzu einen Quick-Test entwickelt, welcher die wichtigsten Punkte der ISO 27002 umfasst. Nach einem etwa zweistündigen Interview mit den IT-Sicherheitsverantwortlichen bzw. der Geschäftsleitung und einer technischen Überprüfung wird ein schriftlicher Bericht inkl. eines Maßnahmenplans für das Unternehmen erstellt, welcher den aktuellen Sicherheitszustand des Unternehmens abbildet. Auf Wunsch kann das Ergebnis der Sicherheitsüberprüfung auch um IT- rechtliche Haftungsfragen ergänzt werden.

29 Jul

IT-Sicherheit

IT-Sicherheit ist ein sehr umfangreiches Themengebiet, wobei die Methoden der technischen Datenabsicherung im Allgemeinen nur die absoluten Grundbausteine darstellen. Über die Wichtigkeit von Sicherheitstechnologien wie Firewalls, Virenschutz und Malwarefilter braucht man sicherlich nicht diskutieren, jedoch wird meist wenig bis gar nicht beachtet, dass IT-Sicherheit ein Thema ist, welches von der Geschäftsführung angetrieben werden muss. Diese Technologien können zwar relativ einfach implementiert werden, um diese aber effizient und sinnvoll einzusetzen, müssen gezielt Kompetenzen dafür eingesetzt werden. Die technischen Sicherheitseinrichtungen sollten regelmäßig gewartet, überprüft und am aktuellen Stand gehalten werden, um wirksam zu sein. Darüber hinaus ist es notwendig alle Mitarbeiter entsprechend zu schulen, damit sich im Unternehmen ein Sicherheitsbewusstsein entwickeln kann. Viele technischen Sicherungsmaßnahmen können nämlich auf menschlicher Ebene (Social Engineering) mit wenig Aufwand ausgehebelt werden. Technische Sicherheitseinrichtungen sind keinesfalls überflüssig, sie bedürfen jedoch der richtigen und konsequenten Anwendung im Unternehmen. IT-Sicherheit ist somit jedenfalls ein Thema der Geschäftsführung, welche dieses ganzheitlich betrachten und die erforderlichen Ressourcen zur Verfügung stellen sollte.

Eine gute Möglichkeit zur Überprüfung der unternehmensweiten IT-Sicherheit bieten sogenannte Penetrationstests. Sie dienen dazu die technische Infrastruktur auf Schwachstellen zu prüfen. Bei der Beauftragung eines Penetrationstests ist zu beachten, dass eine Prüfung sowohl von Extern als auch von Intern erfolgen sollte. Auch hier gilt: Die Kette ist so stark wie ihr schwächstes Glied. Im Zuge eines solchen Tests ist es notwendig auch die menschliche Komponente und somit die Sicherheitsrichtlinien zu überprüfen, um im Zweifelsfall mehr Bewusstsein im Unternehmen zu erzeugen. Um einen schnellen Überblick zu bekommen gibt es einen auf ISO 27002 basierenden Quicktest, welcher in Verbindung mit einem Schwachstellenscan ein gutes Bild der IT-Sicherheit des Unternehmens zeichnet.