Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit



Ähnliche Dokumente
AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Internet- und -Überwachung in Unternehmen und Organisationen

DATENSICHERUNG & NOTFALLPLANUNG LERNEINHEIT 3

Erweiterung AE WWS Lite Win: AES Security Verschlüsselung

Gesundheitsförderliche Mitarbeitergespräche (smag) Quelle: GeFüGe-Projekt, bearbeitet durch Karsten Lessing, TBS NRW

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

IT-Trend-Befragung Xing Community IT Connection

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Nutzung dieser Internetseite

Informationssicherheitsmanagement

So gelingt Ihre Online-Bewerbung!

Die 10 Tipps für eine Erfolgreiche Geldanlage!!

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Sicherheits-Tipps für Cloud-Worker

Arbeitshilfen Messecontrolling Wie geht denn das?

Mobile Intranet in Unternehmen

Speicher in der Cloud

» Weblösungen für HSD FM MT/BT-DATA

teamsync Kurzanleitung

Blitzumfrage zum Thema Crowdinvesting. Stand: Blitzumfrage des BITKOM zum Crowdinvesting in Deutschland. Methodik

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

»d!conomy«die nächste Stufe der Digitalisierung

Zwischenablage (Bilder, Texte,...)

Sicherheitshinweise für Administratoren. - Beispiel -

Aktuelle Informationen und Verhandlungsergebnisse M+E Mitte Sonderbeilage zum Tarifabschluss

Teamentwicklung. Psychologische Unternehmensberatung Volker Rudat

Von Perimeter-Security zu robusten Systemen

SAFER SURFING TIPPS UND TRICKS ZUM SICHEREN UMGANG MIT DEM INTERNET. Saferinternet.at

Sicherheitsaspekte der kommunalen Arbeit

Die Backup-Voreinstellungen finden Sie in M-System Server unter dem Reiter "Wartung".

WinVetpro im Betriebsmodus Laptop

TYPO3 Tipps und Tricks

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Inkrementelles Backup

Privatinsolvenz anmelden oder vielleicht sogar vermeiden. Tipps und Hinweise für die Anmeldung der Privatinsolvenz

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

EWR GmbH. ppa. Giera. * nur 6 Cent je Gespräch, Mobilfunkpreise max. 42 Cent/Minute

Leisten Sie sich Das Gute Gefühl!

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Sächsischer Baustammtisch

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Elternzeit Was ist das?

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

II. Daten sichern und wiederherstellen 1. Daten sichern

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Erfahrungsbericht ISIS der Firmen OrgaTech und Accel

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Projektmanagement in der Spieleentwicklung

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

Arbeitshilfe "Tipps für Gespräche mit Vorgesetzten und KollegInnen" Was gilt für mich?

Leitfaden. zur Registrierung und Beschaffung einer elektronischen Signatur für die IKK classic Ausschreibungsplattform.

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Grundlagen der Theoretischen Informatik, SoSe 2008

Liebe Interessierte an technischen Lösungen für die Sicherheit zu Hause,

Buchhaltung mit WISO EÜR & Kasse 2011

Mitteilung zur Kenntnisnahme

Bürgerhilfe Florstadt

Studie Internet-Sicherheit

Ihre Bearbeitung kann sein: Sie wird durch eine Benutzerdokumentation (nicht: Anwenderdokumentation, Programmdokumentation) ergänzt.

Anlage eines neuen Geschäftsjahres in der Office Line

Anbindung des eibport an das Internet

Drucken aus der Anwendung

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Update VR-NetWorld-Software 3.34 PROFILWECHSEL SICHERHEITSDATEI (ALT) NACH SICHERHEITSDATEI (NEU) Anleitung nur für Versionen ab 3.34.

MIT NEUEN FACHTHEMEN

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

Inhalt. 1. Einleitung Hilfe, mein Kind kann nicht richtig schreiben und lesen! Seite

Selbsttest Prozessmanagement

Lehrer: Einschreibemethoden

Was sind Jahres- und Zielvereinbarungsgespräche?

Informationen zur Erstellung des Projektantrags in den IT-Berufen und zum AbschlussPrüfungOnlineSystem (CIC-APrOS)

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Nach der Installation des FolderShare-Satellits wird Ihr persönliches FolderShare -Konto erstellt.

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Informationen zum neuen Studmail häufige Fragen

Datensicherung. Beschreibung der Datensicherung

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

Installation OMNIKEY 3121 USB

In diesem Bereich wird beschrieben, wie Sie eine Datensicherung der Software Jack Plus durchführen können.

Anleitung: Terminverwaltung (Eigene Veranstaltungen auf der BM-Website bewerben)

FAQ Freunde-werben auf osnatel.de

Business Page auf Facebook

Zwischenbericht der UAG NEGS- Fortschreibung

Vorbereitung einer Grafik zum Druck einer Glotze aus, Stadion an! -Zaunfahne Torsten Bunde, Stand 5. Juli 2014

Funktionsbeschreibung Website-Generator

CodeSaver. Vorwort. Seite 1 von 6

Häufig gestellte Fragen (FAQ)

Jetzt neu: Online Reporting Schritt für Schritt durch das Online Reporting (OLR) Online Liedmeldung

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Verpasst der Mittelstand den Zug?

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Wir freuen uns, dass Sie mit der VR-NetWorld Software Ihren Zahlungsverkehr zukünftig einfach und sicher elektronisch abwickeln möchten.

Studie Autorisierungsverfahren Online-Banking n = 433, Befragungszeitraum: Februar bis März 2014

Transkript:

Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit Ein Merkblatt der Industrie- und Handelskammer Hannover Technische Sicherheitsmaßnahmen allein reichen nicht aus. Obschon hier in den letzten Jahren verstärkt Anstrengungen unternommen wurden, haben viele Unternehmen die organisatorische Ebene der IT-Sicherheit vernachlässigt. Welchen Nutzen stiften etwa Passwörter, wenn nicht durch Anweisungen innerhalb der Organisation sichergestellt ist, wie damit sicher umzugehen ist? Solche oder vergleichbare Umstände führen zu erheblichen Schwachstellen und Angriffspunkten im Unternehmen, nicht zuletzt vor dem Hintergrund, dass ein Großteil der IT-Sicherheitsrisiken aus dem (Fehl-) Verhalten der eigenen Mitarbeiter resultiert. Grundlegende Voraussetzung für mehr Sicherheit im Unternehmen ist jedoch, dass IT- Sicherheit von der Unternehmensleitung als strategische Aufgabe wahr- und angenommen wird. Dieser hohe Stellenwert ist zudem seitens der Geschäftsleitung im gesamten Unternehmen zu kommunizieren. Das vorliegende Merkblatt in Form einer Kurzanleitung nebst Kurz-Checklisten soll einige wichtige Schritte auf dem Weg zu mehr IT-Sicherheit im Unternehmen skizzieren und verschiedene Anhaltspunkte und Anstöße für die betriebliche Umsetzung geben. Weitere Hinweise zum tieferen Einstieg in die Materie befinden sich am Ende des Merkblatts. 1. Festlegung eines IT-Sicherheitsverantwortlichen Verantwortlichkeiten und Zuständigkeiten müssen auch für den Bereich IT klar geregelt sein. Durch die Unternehmensleitung sollte ein Verantwortlicher für die IT-Sicherheit festgelegt werden, der als direkter Ansprechpartner für die Mitarbeiter bei auftretenden Sicherheitsproblemen fungiert und in dieser Funktion auch einen Zugang zur Unternehmensleitung hat. Dies gilt umso mehr, sofern der Betrieb über keine eigene EDV-Abteilung verfügt. Aufgrund natürlicher Fehlzeiten (Urlaub, Krankheit etc.) muss auch hier für eine Vertretungsregelung gesorgt werden. Der bzw. die IT- Sicherheitsverantwortliche/n muss/müssen bei allen Mitarbeitern als Ansprechpartner bekannt gemacht werden. Großunternehmen sowie große mittelständische Unternehmen sollten über ein umfassendes IT-Sicherheitsmanagement verfügen. Hat Ihr Unternehmen einen Ansprechpartner für IT-Sicherheitsfragen und einen entsprechenden Vertreter? Deutschland sicher im Netz e. V.: IT-Sicherheitsmanagement für Ihr Unternehmen https://www.sicher-im-netz.de/unternehmen/174.aspx Seite 1 von 6

2. Erstellung eines Notfallplans Stromausfall, die versehentliche Löschung ganzer Datenbestände, eine Infizierung des Netzwerks mit Viren, Computerwürmern oder Trojanern oder ein Angriff auf die Unternehmens-Website ein betrieblicher Notfallplan für die wichtigsten denkbaren Szenarien im Bereich der IT-Sicherheit sollte auf jeden Fall vorhanden sein um größeren Schäden vorzubeugen. Darin sind die Verantwortlichen innerhalb und außerhalb des Betriebes für den jeweiligen Notfall mit aktuellen Kontaktdaten aufzuführen. Gerade wenn die IT-Betreuung auf einen oder mehrere Dienstleister ggf. sogar mit Service- Level-Agreements für Notfälle ausgelagert ist, sollte ein aktueller Notfallplan vorhanden und allen bekannt sein. Im Schadensfall sollte jeder Mitarbeiter wissen, was zu tun ist und sofort reagieren können. Haben Sie in Ihrem Betrieb einen aktuellen Notfallplan? Deutschland sicher im Netz e. V.: Notfall-Flyer https://www.sicher-im-netz.de/unternehmen/185.aspx Deutschland sicher im Netz e. V.: Leitfaden Sicher im Netz (S. 74 ff.) https://www.sicher-im-netz.de/unternehmen/110.aspx 3. Sicherheitsrichtlinien für Mitarbeiter Oft unterschätzt gilt jedoch das Fehlverhalten der eigenen Mitarbeiter also eines der größten Risiken für die eingesetzte IT. Eine unternehmensweite und verbindliche IT- Sicherheitsrichtlinie (häufig auch als IT Security Policy oder IT-Sicherheitsleitlinie bezeichnet) sorgt für Abhilfe. Sie enthält Vorgaben für die Mitarbeiter, wie sie IT und Internet sicher nutzen können. Darin ist etwa festzulegen, was die Mitarbeiter bei der Nutzung des Internet zu beachten haben, wie korrekt mit Passwörtern und Zugangsdaten umzugehen ist etc. Die Sicherheitsrichtlinie ist an aktuelle Entwicklungen, z. B. in Bezug auf die fortschreitende Nutzung mobiler Endgeräte (Smartphones, PDA), regelmäßig anzupassen bzw. zu ergänzen. Hat Ihr Unternehmen eine für alle Mitarbeiter transparente, aktuelle Sicherheitsrichtlinie? BSI: IT-Sicherheitsleitlinie https://www.bsi.bund.de/de/themen/weiterethemen/webkursitgrundschutz/itsich erheitsmanagement/itsicherheitsleitlinie/itsicherheitsleitlinie_node.html BITKOM e. V.: Leitfaden Email und Internet im Unternehmen http://www.bitkom.org/de/publikationen/38337_33696.aspx Seite 2 von 6

4. Mitarbeiter schulen Dem Verhalten der Mitarbeiter als Schnittstelle zwischen der vom Unternehmen eingesetzten IT und den Risiken im Internet kommt eine herausragende Rolle zu. Der sichere Umgang mit den IT-Systemen innerhalb der Organisation setzt daher eine ausreichende Einführung und Schulung der Mitarbeiter voraus. Dazu gehören Technik und Programmfunktionen ebenso wie ein sicherheitsorientierter Umgang mit Unternehmensdaten und IT-Systemen. Diese Schulungen und Sicherheitssensibilisierungen sind regelmäßig zu wiederholen, um das Sicherheitsbewusstsein im Betrieb auf einem hohen Niveau fortlaufend zu gewährleisten. Die Beschäftigten sind zudem über aktuelle Bedrohungen im Internet rechtzeitig zu unterrichten. Wann haben Ihre Mitarbeiter die letzte Schulung zur IT-Sicherheit erhalten? Initiative Deutschland sicher im Netz e. V.: Checkliste für Mitarbeiter https://www.sicher-im-netz.de/unternehmen/174.aspx 5. Datensicherung Eine aktive Datensicherung (Back-up) ist für Unternehmen unabdingbar. Ein auch nur temporärer Verlust wichtiger Unternehmensdaten (z. B. von Forschungsdaten) kann zu gravierenden Einschränkungen für den Betrieb und damit zu erheblichen wirtschaftlichen Schäden führen. Ein wenngleich eher unwahrscheinlicher vollständiger Datenverlust kann gar die Existenz des Unternehmens ernsthaft bedrohen. Wichtig ist also eine regelmäßige Datensicherung im Unternehmen. Dafür gibt es verschiedene technische Systeme und auch die Regelmäßigkeit der Sicherung kann je nach Bedeutung der jeweiligen Daten unterschiedlich festgelegt werden. Wichtige Unternehmensdaten sollten als regelmäßig aktualisierte Sicherungskopie zusätzlich auch außerhalb des Unternehmen eingelagert werden, um im Katastrophenfall (Beispiel: Brand) das Risiko des vollständigen Datenverlustes zu streuen. Zudem sollte unbedingt regelmäßig getestet werden, ob die gesicherten Daten auch jederzeit wieder erfolgreich eingespielt werden können (sog. Rücksicherung/Restore). Existiert in Ihrem Unternehmen ein Datensicherungskonzept? Netzwerk Elektronischer Geschäftsverkehr (NEG): Wie sichere ich meine Daten - 10 Tipps zur Datensicherung http://www.ec-net.de/ec-net/navigation/bibliothek/publikationen,did=353348.html Seite 3 von 6

6. Richtiges Löschen von Daten Werden Daten nicht mehr benötigt, wenn beispielsweise die gesetzlichen Aufbewahrungsfristen enden oder wenn die Hardware, auf der die Daten vorgehalten werden, ersetzt wird, sind diese weiterhin vor unbefugter Kenntnisnahme durch Dritte zu schützen. Oftmals befinden sich auf ausrangierten Festplatten noch sensible Unternehmensdaten wie interne Zahlen, Kundeninformationen oder andere Zugangsdaten. Vielen Nutzern ist nicht bewusst, dass ein einfaches Löschen dieser Daten in keinem Fall ausreicht, da die Daten mit relativ geringem Aufwand von Dritten wiederhergestellt werden können. Es ist daher auf spezielle Soft- oder Hardwarelösungen zurückzugreifen, um derartige Datenbestände endgültig unbrauchbar zu machen. So sorgt etwa professionelle Datenlöschungssoftware oder die thermische Zerstörung von Datenträgern für den gewünschten Effekt. Wie geht Ihr Unternehmen mit nicht mehr benötigten Datenbeständen um? BITKOM e. V.: Leitfaden zum sicheren Datenlöschen http://www.bitkom.org/de/publikationen/38337_52528.aspx Netzwerk Elektronischer Geschäftsverkehr (NEG): Sicherheitstipp Sicheres Speichern und Löschen Ihrer Daten http://www.ec-net.de/ec-net/navigation/bibliothek/publikationen,did=352962.html 7. Dokumentation Für den Krisenfall ist eine aktuelle Dokumentation des betrieblichen IT-Systems eine hilfreiche und notwendige Grundlage, um ohne größere Zeitverluste die Problemlösung in Angriff zu nehmen. In die Dokumentation gehören ein aktuelles Inventar der eingesetzten Hard- und Software, die Konfiguration der wichtigsten Systeme und die Servicenummern der wichtigsten IT-Lieferanten und IT-Dienstleister inklusive vertraglicher Vereinbarungen, soweit diese etwa in Form von Service-Level-Agreements abgeschlossen wurden. Verfügt Ihr Unternehmen über eine aktuelle Dokumentation? 8. Aktualität gewährleisten Der BSI-Lagebericht "Die Lage der IT-Sicherheit in Deutschland 2011" macht deutlich, dass die aktuellen Gefährdungen wie Cyber-Angriffe, Angriffe auf mobile Endgeräte und Attacken, die auch außerhalb der klassischen IT greifen, eine Herausforderung für Politik, Wirtschaft und Gesellschaft bedeuten. Seite 4 von 6

Trendthemen wie Cloud Computing und Smart Meter werden Anbieter, Nutzer und auch das BSI im Hinblick auf Risikomanagement und die Gewährleistung von Informationssicherheit künftig stark beschäftigen. Daher sind sämtliche erforderliche Sicherheitsvorkehrungen zu ergreifen, d. h. neue Sicherheits-Updates sind zeitnah in das IT-System einzuspielen, Virenschutzprogramme ständig zu aktualisieren und auch die eingesetzte Hardware ist regelmäßig einer Wartung zu unterziehen. Die fortlaufende Aktualisierung ist ein Muss und wird häufig durch automatische Update-Funktionen in der Software unterstützt. Die organisatorischen Sicherheitsmaßnahmen und Vorgaben sind zudem in regelmäßigen Abständen auf ihre Einhaltung und Wirksamkeit hin zu überprüfen und ggf. anzupassen. Dazu gehört zunächst eine interne Prüfung der Aktualität der eingesetzten IT-Systeme, der Einhaltung der Vorgaben seitens der Mitarbeiter, beispielsweise beim Zugangsschutz am Arbeitsplatz und bei der Internetnutzung, sowie die Aktualität der Notfallpläne und Dokumentationen. Eine weitere, aber aufwändigere Methode der Prüfung sind Tests der betrieblichen IT-Sicherheit durch externe Dienstleister, die systematisch nach Schwachstellen suchen und Angriffe von außen beispielsweise über sogenannte Penetrationstests simulieren können. Ist Ihr IT-System inklusive der mobilen Arbeitsplätze auf dem neuesten Stand? Wann fand die letzte Überprüfung Ihrer IT-Sicherheitsmaßnahmen statt? BSI: Info-Dienst über aktuelle Bedrohungen & Sicherheitsupdates: http://www.buerger-cert.de/ BSI: Lageberichte IT-Sicherheit: https://www.bsi.bund.de/de/publikationen/lageberichte/lageberichte_node.html Weiterführende Literatur Neben den oben bereits aufgeführten Links liefern insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM e. V.), Berlin, der Verein Deutschland sicher im Netz, Berlin, sowie das Institut für Internet- Sicherheit (if)is, Gelsenkirchen, auf ihren Websites weitere Informationen zum Thema in Form von Checklisten, Leitfäden und Broschüren: Bundesamt für Sicherheit in der Informationstechnik (BSI): Leitfaden Informationssicherheit https://www.bsi.bund.de/contentbsi/grundschutz/leitfaden/leitfaden.html Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM e. V.): Leitfaden Sicherheit für Systeme und Netze in Unternehmen http://www.bitkom.org/de/publikationen/38337_38229.aspx Seite 5 von 6

Deutschland sicher im Netz e. V. : Leitfaden Sicher im Netz https://www.sicher-im-netz.de/unternehmen/110.aspx Institut für Internet-Sicherheit if(is): Überblick IT-Sicherheitsthemen: http://www.internet-sicherheit.de/service/ Hinweis Dieses Merkblatt soll als Service Ihrer Industrie- und Handelskammer Hannover nur erste Hinweise geben und erhebt keinen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden. Stand: August 2012 Autor Christian Heegardt Abteilung Kommunikation Tel. (0511) 3107-358 Fax (0511) 3107-450 E-Mail: heegardt@hannover.ihk.de Industrie- und Handelskammer Hannover Schiffgraben 49 30175 Hannover www.hannover.ihk.de Seite 6 von 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback