Sicherheit ist ein Grundbedürfnis des Menschen und damit unserer Gesellschaft. Gerade in Zeiten von Globalisierung, steigender Mobilität und wachsender Abhängigkeit der Industrienationen von Informations- und Kommunikationstechnik nimmt das Sicherheitsbedürfnis immer mehr zu.

Wachsende Verwundbarkeit und die Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken erhöhen den Handlungsdruck durch aktives IT-Sicherheitsmanagement Schäden zu verhindern und das Restrisiko zu minimieren. Die Verantwortung beschränkt sich keineswegs auf die jeweiligen IT-Fachabteilungen. Vielmehr gilt: Sicherheit ist Chefsache. Dem hat auch der Gesetzgeber Rechnung getragen. Verschiedene Gesetze und Regelungen belegen die persönliche Haftung von Geschäftsführern bzw. Vorständen im Falle von Versäumnissen.

Eine weit verbreitete Ansicht ist, dass IT-Sicherheitsmaßnahmen zwangsläufig mit hohen Investitionen in Sicherheitstechnik und der Beschäftigung von hoch qualifiziertem Personal verknüpft sind. Dem ist jedoch nicht so. Die wichtigsten Erfolgsfaktoren sind gesunder Menschenverstand, durchdachte organisatorische Regelungen und zuverlässige, gut informierte Mitarbeiter, die selbständig Sicherheitserfordernissediszipliniert und routiniert beachten. Die Erstellung undUmsetzung eines wirksamen und effektiven IT-Sicherheitskonzeptes muss darum nicht zwangsläufig unbezahlbar sein.

Ein umfassendes IT- Sicherheitskonzept enthält mehr als Virenschutz und Firewall

Jeder sollte sich bewusst machen: Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess. Stellen Sie sich daher immer wieder die folgenden Fragen:

• Welche Formen von Missbrauch wären möglich, wenn vertrauliche Informationen Ihres Unternehmens oder Ihrer Behörde in die Hände Dritter gelangten?

• Welche Konsequenzen hätte es für Sie, wenn wichtige Informationen - z. B. während einer Datenübertragung oder auf Ihrem Server - verändert würden? Als Ursache kann nicht nur böse Absicht unbekannter Dritter, sondern auch technisches Versagen in Frage kommen.

• Was würde geschehen, wenn in Ihrer Organisation wichtige Computer oder andere IT-Komponenten plötzlich ausfielen und einen längeren Zeitraum (Tage, Wochen, ...) nicht mehr nutzbar wären? Könnte die Arbeit fortgesetzt werden? Wie hoch wäre der mögliche Schaden?

Das GRZ Computercentrum berät Sie kompetent und beantwortet Ihnen gern Ihre Fragen zur IT-Sicherheit in Ihrem Unternehmen:

IT-Sicherheitsmanagement 

• Hat die Unternehmens- bzw. Behördenleitung die IT-Sicherheitsziele festgelegt und sich zu ihrer Verantwortung für dieIT-Sicherheit bekannt? Sind alle gesetzlichen oder vertragsrechtlichen Gesichtspunkte berücksichtigt worden?
• Gibt es einen IT-Sicherheitsbeauftragten?
• Werden IT-Sicherheitserfordernisse bei allen Projekten frühzeitig berücksichtigt (z. B. bei Planung eines neuen Netzes, Neuanschaffungen von IT-Systemen und Anwendungen, Outsourcing- und Dienstleistungsverträgen)?
• Besteht ein Überblick über die wichtigsten Anwendungen und IT-Systeme und deren Schutzbedarf?
• Gibt es einen Handlungsplan, der Sicherheitsziele priorisiert und die Umsetzung der beschlossenen IT- Sicherheitsmaßnahmen regelt?
• Ist bei allen IT-Sicherheitsmaßnahmen festgelegt, ob sie einmalig oder in regelmäßigen Intervallen ausgeführt werden müssen (z. B. Update des Viren-Schutzprogramms)?
• Sind für alle IT-Sicherheitsmaßnahmen Zuständigkeiten und Verantwortlichkeiten festgelegt?
• Gibt es geeignete Vertretungsregelungen für Verantwortliche und sind die Vertreter mit ihren Aufgaben vertraut?
• Sind die wichtigsten Passwörter für Notfälle sicher hinterlegt?
• Sind die bestehenden Richtlinien und Zuständigkeiten allen Zielpersonen bekannt?
• Gibt es Checklisten, was beim Eintritt neuer Mitarbeiter und beim Austritt von Mitarbeitern zu beachten ist (Berechtigungen, Schlüssel, Unterweisung etc.)?
• Wird die Wirksamkeit von IT-Sicherheitsmaßnahmen regelmäßig überprüft?
• Gibt es ein dokumentiertes IT-Sicherheitskonzept?

Sicherheit von IT-Systemen

• Werden vorhandene Schutzmechanismen in Anwendungen und Programmen genutzt?
• Werden flächendeckend Viren-Schutzprogramme eingesetzt?
• Sind allen Systembenutzern Rollen und Profile zugeordnet worden?
• Ist geregelt, auf welche Datenbestände jeder Mitarbeiter zugreifen darf?
• Gibt es sinnvolle Beschränkungen?
• Gibt es verschiedene Rollen und Profile für Administratoren oder darf jeder Administrator alles?
• Ist bekannt und geregelt, welche Privilegien und Rechte Programme haben?
• Werden sicherheitsrelevante Standardeinstellungen von Programmen und IT-Systemen geeignet angepasst oder wird der Auslieferungszustand beibehalten?
• Werden nicht benötigte sicherheitsrelevante Programme und Funktionen konsequent deinstalliert bzw. deaktiviert?
• Werden Handbücher und Produktdokumentationen frühzeitig gelesen?
• Werden ausführliche Installations- und Systemdokumentationen erstellt und regelmäßig aktualisiert?

Vernetzung und Internet-Anbindung

• Gibt es eine Firewall?
• Werden Konfiguration und Funktionsfähigkeit der Firewall regelmäßig kritisch überprüft und kontrolliert?
• Gibt es ein Konzept, welche Daten nach außen angeboten werden müssen?
• Ist festgelegt, wie mit gefährlichen Zusatzprogrammen (PlugIns) und aktiven Inhalten umgegangen wird?
• Sind alle unnötigen Dienste und Programmfunktionen deaktiviert?
• Sind Web-Browser und E-Mail-Programm sicher konfiguriert?
• Sind die Mitarbeiter ausreichend geschult?

Beachtung von Sicherheitserfordernissen

• Werden vertrauliche Informationen und Datenträger sorgfältig aufbewahrt?
• Werden vertrauliche Informationen vor Wartungs- oder Reparaturarbeiten von Datenträgern oder IT-Systemen gelöscht?
• Werden Mitarbeiter regelmäßig in sicherheitsrelevanten Themen geschult?
• Gibt es Maßnahmen zur Erhöhung des Sicherheitsbewusstseins der Mitarbeiter?
• Werden bestehende Sicherheitsvorgaben kontrolliert und Verstöße geahndet?

Wartung von IT-Systemen: Umgang mit Updates

• Werden Sicherheits-Updates regelmäßig eingespielt?
• Gibt es einen Verantwortlichen, der sich regelmäßig über Sicherheitseigenschaften der verwendeten Software und relevanter Sicherheits-Updates informiert?
• Gibt es ein Testkonzept für Softwareänderungen?

Passwörter und Verschlüsselung

• Bieten Programme und Anwendungen Sicherheitsmechanismen wie Passwortschutz oder Verschlüsselung?
• Sind die Sicherheitsmechanismen aktiviert?
• Wurden voreingestellte oder leere Passwörter geändert?
• Sind alle Mitarbeiter in der Wahl sicherer Passwörter geschult?
• Werden Arbeitsplatzrechner bei Verlassen mit Bildschirmschoner und Kennwort gesichert?
• Werden vertrauliche Daten und besonders gefährdete Systeme wie Notebooks ausreichend durch Verschlüsselung oder andere Maßnahmen geschützt?

Notfallvorsorge

• Gibt es einen Notfallplan mit Anweisungen und Kontaktadressen?
• Werden alle notwendigen Notfallsituationen behandelt?
• Kennt jeder Mitarbeiter den Notfallplan und ist dieser gut zugänglich?

Datensicherung

• Gibt es eine Backupstrategie?
• Ist festgelegt, welche Daten wie lange gesichert werden?
• Bezieht die Sicherung auch tragbare Computer und nicht vernetzte Systeme mit ein?
• Werden die Sicherungsbänder regelmäßig kontrolliert?
• Sind die Sicherungs- und Rücksicherungsverfahren dokumentiert?

Infrastruktursicherheit

• Besteht ein angemessener Schutz der IT-Systeme gegen Feuer, Überhitzung, Wasserschäden, Überspannung und Stromausfall?
• Ist der Zutritt zu wichtigen IT-Systemen und Räumen geregelt? Müssen Besucher, Handwerker, Servicekräfte etc. begleitet bzw. beaufsichtigt werden?
• Besteht ein ausreichender Schutz vor Einbrechern?
• Ist der Bestand an Hard- und Software in einer Inventarliste erfasst?

Wie Sie sehen, gibt es eine Vielzahl von Punkten, die für eine sichere IT-Infrastruktur beachtet werden sollten. Das GRZ Computercentrum prüft den Ist-Zustand, zeigt Sicherheitslücken auf und arbeitet ein strategisches IT-Sicherheitskonzept für Ihr Unternehmen aus.

... zurück