Zehn Goldene Regeln

Schon einfache Massnahmen führen im KMU zu einer höheren Sicherheit.

Artikel erschienen in Swiss IT Magazine 2004/12

     

Die Abhängigkeit von der Informatik ist auch in KMU ständig gewachsen. Im Gegensatz zu grossen Unternehmen ist jedoch das Bewusstsein über die daraus resultierenden Risiken noch nicht vorhanden. In KMU muss aufgrund der Ressourcenknappheit die IT-Security pragmatisch und kosteneffizient angegangen werden. Dieses Ziel verfolgen die nachfolgenden zehn Goldenen Regeln, in welchen die Mindestanforderungen an die IT-Security definiert sind. Die standardisierten Massnahmen sind genau auf die Bedürfnisse eines KMU zugeschnitten.
Eine absolute oder hundertprozentige Sicherheit kann nie erreicht werden. Es gilt, Sicherheit und Risiko abzuwägen, die für die Unternehmung erforderlichen Massnahmen zu definieren und anschliessend einzuleiten.





Der Mensch ist dabei nach wie vor der grösste Risikofaktor. Ob eine Person kriminell motiviert ist oder bloss eine Fehleingabe vorgenommen hat, spielt in der IT-Sicherheit keine grosse Rolle. Das Ziel ist vielmehr die Reduktion der Risikofaktoren. Mitarbeiter einer Unternehmung können zwar auf sicherheitsrelevante Themen sensibilisiert werden, durch unbewusstes Handeln auch ohne böswillige Absichten kommt es aber in jedem Informationssystem zu Fehlverhalten oder gar Systemausfällen. Schulungen und Informationsveranstaltungen liefern deshalb einen erheblichen Beitrag zur IT-Sicherheit.
Mit der Einhaltung der folgenden zehn (Goldenen) Regeln wird der elementare Schutz sichergestellt und damit den Risiken aus dem Einsatz der Informatik angemessen begegnet.


Die zehn Goldenen Regeln - IT-Security zweckgemäss umgesetzt

Die Arbeitsgruppe KMU der Stiftung InfoSurance hat die Regeln zusammengestellt und unter www.infosurance.ch publiziert. Nach dem Motto «besser zehn Regeln umgesetzt als hundert geplant» wurde ein pragmatischer Ansatz gewählt - die Autoren sind sich natürlich bewusst darüber, dass damit noch lange nicht alle Risiken abgedeckt werden.


Regel Nr. 1 - Verantwortlichkeiten definieren

Wer ist wofür verantwortlich (beispielsweise für die Datensicherung oder den Update der Virensoftware)? Oft entstehen aus der Annahme, «der andere erledige die Aufgabe», unnötige und zum Teil gravierende Störfälle, welche sehr einfach verhindert werden könnten, wenn die verantwortlichen Personen klar definiert wären.


Regel Nr. 2 - Datensicherung

Die regelmässige Datensicherung ist heute in den meisten Unternehmen eine Selbstverständlichkeit. Wo aber werden die Sicherungsbänder aufbewahrt? Wird mit Generationen gearbeitet? Wann wurde das Wiedereinlesen der Daten ab Band das letzte Mal getestet? Werden wirklich alle Daten gesichert? Diese Fragen müssen beantwortet werden können.


Regel Nr. 3 - Schutz vor Computerviren

Noch nie wurden so viele neue Computerviren und -würmer in die Welt gesetzt wie in den letzten Monaten. Nur ein aktivierter und topaktueller Virenschutz kann vor dieser Gefahr schützen. Werden die neuen Virensignaturen auf allen Stationen inklusive Servern regelmässig aktualisiert? Sind die Benutzer im Umgang mit E-Mail-Anhängen geschult und instruiert?


Regel Nr. 4 - Sichere Verbindung ins Internet

Alle Verbindungen nach aussen sind potentielle Sicherheitsrisiken, über welche unberechtigte Dritte in ein Netzwerk eindringen können. Die Umsetzung eines Firewall-Konzeptes wird dringend empfohlen. Die Firewall muss aber auch gewartet und bezüglich ihrer Funktion regelmässig überprüft werden.


Regel Nr. 5 - Software aktuell halten

Regelmässig wird über neu entdeckte Schwachstellen informiert. Die Hersteller verbessern ihre Programme und stellen Patches und Hotfixes zur Verfügung – diese müssen aber auch auf allen Stationen im Unternehmen installiert werden. Erfolgt dies nicht, wird mit grosser Wahrscheinlichkeit ein böswilliger Angreifer die Lücke auszunützen versuchen.


Regel Nr. 6 - Umgang mit Passwörtern

Bekannterweise ist der unsorgfältige Umgang mit Passwörtern die häufigste Sicherheitsverletzung in einem Unternehmen. Aufklärung der Benutzer über die Wichtigkeit des Passwortes ist Voraussetzung zum Erfolg bei der Umsetzung eines IT-Sicherheitskonzeptes.


Regel Nr. 7 - Zutrittsregelung

Was nützt das beste Passwort, wenn Unberechtigte ohne Mühe Zutritt zum Serverraum erhalten? Allerdings müssen nicht nur die Server geschützt werden: Vertrauliche Informationen sind im ganzen Unternehmen zu finden, weshalb der Zutritt klar geregelt sein muss.


Regel Nr. 8 - Benutzerrichtlinien

Für alle Geräte bestehen Betriebsvorschriften, beim Umgang mit Informatikmitteln in KMU werden jedoch selten Benutzerrichtlinien erlassen und umgesetzt. Das Verhalten der Benutzer muss deshalb mit kommunizierten Richtlinien gesteuert werden. Zu einfach können installierte Sicherheitsbarrieren durch bewusste oder unbewusste Interventionen der Benutzer umgangen werden.


Regel Nr. 9 - Sensibilisierung

Um erfolgreich ein minimales Niveau an Sicherheitskultur in einem Unternehmen zu etablieren, müssen die Mitarbeiter entsprechend sensibilisiert werden. Durch Wachsamkeit und mit gesundem Menschenverstand können viele der plumpen Angriffe auf die Unternehmensinformatik abgewehrt werden.


Regel Nr. 10 - Ordnung und Informationssicherheit

Die neuen Möglichkeiten mit der Informatik verlangen nach einem geordneten Ablagesystem. Damit können regelmässige Suchaktionen nach erstellten Dokumenten verhindert werden. Hier steckt noch sehr viel Optimierungspotential. Weiter dürfen vertrauliche Dokumente nicht unbeaufsichtigt in den Büros herumliegen, sondern müssen bei Nichtgebrauch verschlossen werden.


Wie werden die Regeln umgesetzt?


• Schrittweise: Oft wird vor lauter Bäumen der Wald nicht mehr gesehen. Richtig, es gibt in den meisten Fällen einiges zu tun. Mit kleinen Schritten wird das Ziel jedoch erreicht und die Sicherheit der Informationen wird einen minimalen Level garantieren.


• Stetig: Die Umsetzung eines IT-Security-Konzeptes ist ein Prozess, der dauernd weiterentwickelt werden muss. Immer wieder müssen die Themen an die neuen Bedürfnisse angepasst werden. Zur Einführung empfiehlt sich, monatlich eine Regel umzusetzen. Der Umfang bleibt so überschaubar, und innerhalb eines Jahres wird das angestrebte Niveau erreicht.


• Konsequent: Die zehn Goldenen Regeln müssen konsequent umgesetzt werden. Bewusst wurde nur ein minimales Set von Regeln definiert, dafür sind diese vollumfänglich zu realisieren.


• Gleichmässig: Das zu erreichende Sicherheitsniveau muss ausgewogen und gleichmässig sein. Eine hochsichere Firewall nützt wenig, wenn vertrauliche Informationen in den Büros offen herumliegen (Passwort auf Post-It Zettel an den Monitor geheftet)und somit frei zugänglich sind.


• Umsetzung: Die Informationen sind vorhanden und so aufbereitet, dass eine einfache Umsetzung möglich ist. Die Voraussetzungen sind somit gegeben. Packen wir es an!
Die detaillierte Beschreibung der zehn Goldenen Regeln im PDF-Format ist unter www.infosurance.ch zu finden. Weiterführende Hinweise, fertige Vorlagen und Checklisten gibt es im Sicherheitshandbuch für die Praxis, das für 248 Franken unter www.sihb.ch bestellt werden kann.


Autor

Carlos Rieder, Leiter Competence Center IT-Security, Hochschule für Wirtschaft Luzern und Leiter der Arbeitsgruppe KMU der Stiftung InfoSurance.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER