Datensicherheit in der Unternehmung



Ähnliche Dokumente
Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Verwendung des IDS Backup Systems unter Windows 2000

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

IT-Sicherheits-Handbuch Massnahme. Sind meine Geräte vor einem Wassereinbruch geschützt oder wird ein eventueller Wassereinbruch gemeldet?

Datensicherung. Beschreibung der Datensicherung

HISPRO ein Service-Angebot von HIS

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Internet online Update (Internet Explorer)

Dealer Management Systeme. Bedienungsanleitung. Freicon Software Logistik (FSL) für Updates

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Checkliste Installation. Novaline Bautec.One

Installation SQL- Server 2012 Single Node

FTP-Leitfaden RZ. Benutzerleitfaden

Dialogik Cloud. Die Arbeitsumgebung in der Cloud

Guide DynDNS und Portforwarding

Der Support für Windows Server 2003 endet endgültig alles was Ihnen dann noch bleibt ist diese Broschüre.

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Information zum SQL Server: Installieren und deinstallieren. (Stand: September 2012)

SharePoint Demonstration

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

Datensicherung EBV für Mehrplatz Installationen

ASP Dokumentation Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Verpasst der Mittelstand den Zug?

Einrichtung eines VPN-Zugangs

GS-Programme 2015 Allgemeines Zentralupdate

INFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS

Handbuch. TMBackup R3

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

ICS-Addin. Benutzerhandbuch. Version: 1.0

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Netzwerkeinstellungen unter Mac OS X

Neuinstallation von ELBA auf einem Einzelplatz

QR-FUNKTION. Informationen über zu erledigende Aufgaben an das Reinigungspersonal senden.

Das Einzelplatz-Versionsupdate unter Version Bp810

Leichte-Sprache-Bilder

Neuinstallation von ELBA in einem Netzwerk

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

Anwenderleitfaden Citrix. Stand Februar 2008

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Bitte geben Sie hier den Benutzer cubusadmin und das gleichnamige Passwort ein.

Treuhand Cloud. Die Arbeitsumgebung in der Cloud

System-Update Addendum

lññáåé=iáåé===pìééçêíáåñçêã~íáçå=

Backup Premium Kurzleitfaden

Alle Jahre wieder... Eckard Brandt. Regionales Rechenzentrum für Niedersachsen Eckard Brandt Gruppe Systemtechnik

BEDIENUNG ABADISCOVER

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

GeODin 7 Installationsanleitung

Updatehinweise für die Version forma 5.5.5

TERRA Kasse Backup Service

Installationsanleitung. TFSInBox

Anleitung Grundsetup C3 Mail & SMS Gateway V

FTP-Leitfaden Inhouse. Benutzerleitfaden

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Anleitung zur Datensicherung und -rücksicherung in der VR-NetWorld Software

Updateanleitung für SFirm 3.1

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Sichern der persönlichen Daten auf einem Windows Computer

PC-Kaufmann 2014 ZIP-Komprimierte Datensicherung einspielen

Synchronisations- Assistent

Die Post hat eine Umfrage gemacht

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

inviu routes Installation und Erstellung einer ENAiKOON id

NEVARIS Umstellen der Lizenz bei Allplan BCM Serviceplus Kunden von der NEVARIS SP Edition auf NEVARIS Standard/Professional

Was meinen die Leute eigentlich mit: Grexit?

Internet online Update (Mozilla Firefox)

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Lizenzen auschecken. Was ist zu tun?

Anleitung zur Lizenzaktualisierung. Plancal nova 7.x

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Anleitung zur Nutzung des SharePort Utility

VIDA ADMIN KURZANLEITUNG

Reporting Services und SharePoint 2010 Teil 1

Powermanager Server- Client- Installation

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

IntelliRestore Seedload und Notfallwiederherstellung

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

easysolution GmbH easynet Bessere Kommunikation durch die Weiterleitung von easynet-nachrichten per nach Hause

GFAhnen Datensicherung und Datenaustausch

Anleitung für die Umstellung auf das plus Verfahren mit manueller und optischer Übertragung

Was ist pcon.update? Girsberger Manual Registrierung pcon.update Service - Marketing Edition Sep Seite 1

SANDBOXIE konfigurieren

Internationales Altkatholisches Laienforum

icloud nicht neu, aber doch irgendwie anders

Anleitung WLAN BBZ Schüler

Live Update (Auto Update)

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Transkript:

A. Lehmann Elektro AG Tellstr. 4 Degersheimerstr. 74a CH-9200 Gossau CH-9100 Herisau Telefon 071 388 11 22 Telefon 071 350 13 33 Telefax 071 388 11 21 Telefax 071 350 13 34 info@lehmann.ch www.lehmann.ch herisau@lehmann.ch MWST-Nr. 166 601 Zertifikat-Nr. 70143 Datensicherheit in der Unternehmung Ein Leitfaden zur Erhöhung der Sicherheit und Verfügbarkeit von Einrichtungen zur Informationsverarbeitung in Unternehmungen Seite 1

1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS............ 2 2 DAS UMFELD............ 3 2.1 Nutzung der Informationstechnologie......... 3 2.2 Die Vernetzung............ 3 2.3 Risiken............ 3 3 CHECKLISTE RISIKEN............ 4 4 MASSNAHMEN-PAPIERE............ 9 Seite 2

2 Das Umfeld 2.1 Nutzung der Informationstechnologie Informationstechnologie kurz IT - ist aus unserem Leben nicht mehr wegzudenken. Praktisch alle Geschäftsprozesse beziehen und liefern Daten, die elektronisch verarbeitet werden. Die meisten Datenaufzeichnungen sind heute elektronisch. Das heisst aber auch, dass wenn die IT ausfällt Prozesse gestört sind und Aufzeichnungen fehlen. In vielen Unternehmungen ist man sich dieser Tatsache bewusst, es kommt aber auch vor, dass die Auswirkungen massiv unterschätzt werden. Klar zum Ausdruck kommen diese Auswirkungen spätestens bei einem Systemausfall, die damit verbundenen Aufwendungen und Kosten sind unter Umständen gewaltig. Die elektronische Aufzeichnung von Daten bringt auch mit sich, dass diese Daten verändert, kopiert, gelöscht oder unbrauchbar gemacht werden können, ohne dass diese Tatsache unmittelbar bemerkt wird. Die Suche nach der Ursache der Datenmanipulation gestaltet sich schwierig, in vielen Fällen ist sie gar nicht eruierbar. Es gibt nur einen Weg, die Sicherheit in der Informationstechnologie zu erhöhen, und dieser besteht darin, sich der Risiken bewusst zu werden und seine Systeme so zu schützen, dass Fehler weitgehend ausgeschlossen werden können und dass im Fehlerfall der Schaden begrenzt bleibt. 2.2 Die Vernetzung Internet ist eine gute Sache. Es vereinfacht viele Arbeiten, es ist eine kostengünstige Kommunikationsmethode und es ist effizient. Es hat aber auch den Einfluss, dass Telekommunikation und Datenkommunikation zusammenwachsen, dass unsere Internet-Arbeitsplätze Teil eines weltumspannenden Netzwerkes sind und damit von aussen ansprechbar, empfangsbereit für nützliche Informationen, aber leider auch für alles andere. Vernetzung ist die Grundlage für die moderne Sabotage an Daterichtungen. Entsprechend hat die Anzahl von Attacken auf Unternehmungen, die ihren Ursprung nicht in der Unternehmung selbst haben, mit dem Einsatz des Internet sprunghaft zugenommen. 2.3 Risiken Wer Systeme sicher gestalten will, muss sich im Klaren sein, welche Gefahren lauern. Bei der der Sicherheit in IT-Systemen lassen sich diese Risiken in Klassen einteilen. 1. Umweltrisiken 2. Risiken in der Organisation 3. Datenverlust und Datenmanipulation 4. Systemausfall Innerhalb der Klassen bestehen eine Anzahl definierter Risiken, zu denen sich definieren lassen. Die Risiken lassen sich erkennen, indem man sich die n aus der folgenden Checkliste stellt. Seite 3

3 Checkliste Risiken 1 Umwelt Wasser Sind meine Geräte vor einem Wassereinbruch geschützt oder wird ein eventueller q q U101 Wassereinbruch gemeldet? 1 Umwelt Feuer Sind meine Geräte an einem feuersicheren Ort untergebracht? q q U102 1 Umwelt Feuer/Wasser Sind meine Backup-Medien an einem separaten Ort (oder an mehreren Orten) untergebracht? q q U120 1 Umwelt Elektrische Gibt es Notstromversorgungen für die Überbrückung kurzzeitiger Ausfälle und für die geregelte q q U121 Versorgung Systemabschaltung? 1 Umwelt Elektrische Gibt es einen Notfallplan für das Arbeiten ohne Netzversorgung? q q U128 Versorgung 1 Umwelt Elektrische Sind die Systeme ausreichend gekühlt und steigt die Umgebungstemperatur auch im Sommer q q U140 Versorgung nicht zu stark an? 2 Organisation Führung Ist Das Thema ein Traktandum in der q q O101 Unternehmensleitung und wird das Thema regelmässig behandelt? 2 Organisation Führung Existiert eine dokumentierte IT-Politik der Unternehmensleitung? q q O102 2 Organisation Führung Wird beim Start neuer Projekte und während dem Ablauf dem Thema IT-Sicherheit Beachtung q q O103 geschenkt? 2 Organisation Führung Sind die internen Weisungen und Richtlinien einfach und für die Mitarbeitenden verständlich? q q O104 2 Organisation Führung Sind die Zuständigkeiten und Stellvertretungen klar geregelt? q q O105 2 Organisation Führung Wird die IT-Sicherheit in regelmässigen Abständen kontrolliert? q q O106 2 Organisation Führung Wird die Qualität des IT-Supportdienstes regelmässig kontrolliert? q q O107 2 Organisation Raumschutz Sind Server- und zentrale IT-Systeme in separaten, abschliessbaren Räumen untergebracht? q q O150 2 Organisation Raumschutz Ist der Zugang zu Server- und zentralen IT-Systemen geregelt? q q O151 Seite 4

2 Organisation Ordnung Herrscht Ordnung in der Dokumentation der IT-Systeme? q q O201 2 Organisation Ordnung Existiert eine aktualisierte Dokumentation und Inventarisierung der IT-Systeme? q q O202 2 Organisation Ordnung Ist die erforderliche Anzahl von Lizenzen für Softwareprodukte (Betriebssysteme, q q O210 Anwenderprogramme) vorhanden? 2 Organisation Wartung Werden notwendige Sicherheits-Updates und Patches regelmässig eingespielt, und werden die q q O221 Aktivitäten protokolliert? 2 Organisation Wartung Geschehen Wartungs- und Reparaturarbeiten nach definierten Abläufen? q q O222 2 Organisation Wartung Existieren Notfall-Checklisten, die es ermöglichen, Systeme auch dann wieder in Gang zu q q O223 setzen, wenn der Systemverantworliche nicht verfügbar ist? 2 Organisation Mitarbeiter Sind die Rechte für Datenzugriff für jeden Mitarbeiter definiert? q q O231 2 Organisation Mitarbeiter Ist sichergestellt, dass Mitarbeiter nicht auf Daten zugreifen können, die nicht mit ihrem q q O232 Arbeitsfeld zu tun haben? 2 Organisation Mitarbeiter Hat jeder Mitarbeiter einen Benutzernamen und ein Passwort? q q O233 2 Organisation Mitarbeiter Werden sichere Passwörter verwendet? q q O234 2 Organisation Mitarbeiter Werden Passwörter periodisch geändert? q q O235 2 Organisation Mitarbeiter Werden Benutzerkonten von Mitarbeitern, die die Unternehmung verlassen, gelöscht? q q O236 2 Organisation Mitarbeiter Ist sichergestellt, dass ausser dem Systemverantwortlichen niemand Administratorenrechte auf q q O240 den Servern besitzt? 2 Organisation Mitarbeiter Ist das Administratorenpasswort wirklich nur dem Systemverantwortlichen bekannt? q q O241 2 Organisation Mitarbeiter Gibt es einen Zuständigen für die Datensicherungen und werden die Aktivitäten protokolliert? q q O242 2 Organisation Mitarbeiter Werden die Mitarbeitenden regelmässig geschult? q q O243 2 Organisation Mitarbeiter Werden die internen Weisungen und Richtlinien durch alle Mitarbeitenden konsequent befolgt? q q O250 2 Organisation Fernzugriff Wissen Sie, welche Möglichkeiten bestehen, um von extern auf ihr Firmennetzwerk q q O300 zuzugreifen? 2 Organisation Fernzugriff Wissen Sie, welche Personen von extern Zugang zum Firmennetzwerk haben? q q O301 Seite 5

2 Organisation Fernzugriff Werden Zugangskonten von Personen gelöscht, die künftig keinen Zugang mehr von extern q q O302 haben sollen? 2 Organisation Fernzugriff Ist der Zugang von extern durch Passwörter und Call-Back-Verfahren gesichert? q q O303 2 Organisation Fernzugriff Ist die Möglichkeit des Fernzugriff zeitlich limitiert? q q O304 2 Organisation Fernzugriff Ist die Konfiguration von Geräten für den Fernzugriff (Router, Gateways etc.) durch sichere q q O305 Passwörter geschützt? 2 Organisation Fernzugriff Ist sichergestellt, dass nach einer bestimmten Anzahl von Einwählversuchen mit falscher q q O306 Identität der Zugang gesperrt ist? 2 Organisation Fernzugriff Sind Sicherheitseinrichtungen (Firewalls) im Einsatz, die die Möglichkeiten von Fernzugriffen auf q q O307 das Erwünschte limitieren? 3 Datensicherheit Datensicherung Gibt es eine festgelegte Strategie zur Datensicherung? q q D101 3 Datensicherheit Datensicherung Existiert eine Planung für Datensicherungen? q q D102 3 Datensicherheit Datensicherung Ist sichergestellt, dass alle relevanten Daten gesichert werden? q q D110 3 Datensicherheit Datensicherung Existieren Aufzeichnungen über Datensicherungen und sind diese geordnet abgelegt? q q D111 3 Datensicherheit Datensicherung Werden Datenträger für Sicherungen an getrennten Orten aufbewahrt? q q D112 3 Datensicherheit Datensicherung Ist der Aufbewahrungsort für Datenträger für Sicherungen vor Fremdzugriff geschützt? q q D113 3 Datensicherheit Datensicherung Sind Datenträger für Sicherungen dauerhaft und eindeutig gekennzeichnet? q q D114 3 Datensicherheit Datensicherung Ist sichergestellt, dass Datenbanken, die im Sicherungszeitpunkt in Bearbeitung sind, dennoch q q D115 gesichert werden? 3 Datensicherheit Datensicherung Ist sichergestellt, dass lokal abgelegte Daten von Wichtigkeit ebenfalls gesichert werden? q q D116 3 Datensicherheit Datensicherung Wird periodisch überprüft, ob die Daten auf den Datenträgern für die Sicherung auch tatsächlich q q D120 vollständig sind? 3 Datensicherheit Datensicherung Wird periodisch überprüft, ob Daten von den Datenträgern für die Sicherung auf die Systeme q q D121 zurückgesichert werden können und die Daten danach auch gültig sind? 3 Datensicherheit Datensicherung Gibt es einen Verantwortlichen für die Datensicherung? q q D150 Seite 6

3 Datensicherheit Datensicherung Ist die lückenlose Stellvertretung des Sicherungsverantwortlichen geregelt? q q D151 3 Datensicherheit Datensicherung Werden alle Tätigkeiten in Zusammenhang mit der Datensicherung protokolliert? q q D160 3 Datensicherheit Internet Ist eine Firewall zwischen Internet und Unternehmensnetzwerk geschaltet? q q D201 3 Datensicherheit Internet Ist die Firewall aktiviert und bietet sie genügenden Schutz? q q D202 3 Datensicherheit Internet Besitzen Router und Firewalls sichere Passwörter? q q D203 3 Datensicherheit Internet Sind Mitarbeiter im Umgang mit dem Internet geschult und sensibilisiert? q q D204 3 Datensicherheit Internet Besteht eine betriebsinterne Richtlinie für den Umgang mit dem Internet? q q D205 3 Datensicherheit Viren etc. Ist ein Virenschutz auf allen Arbeitsplätzen installiert? q q D301 3 Datensicherheit Viren etc. Ist ein Virenschutz auf allen Servern installiert? q q D302 3 Datensicherheit Viren etc. Besteht ein gültiger Lizenzvertrag mit dem Anbieter der Virenschutzsoftware? q q D303 3 Datensicherheit Viren etc. Wird der Antivirenschutz periodisch (idealerweise täglich) mit einem Update über Internet q q D304 versehen? 3 Datensicherheit Viren etc. Sind die Mitarbeiter im Umgang mit dem Virenschutzprogramm instruiert? q q D310 3 Datensicherheit Software Sind aktuelle Sicherheitspatches für Anwenderprogramme (Office-Produkte, Web-Browser, q q D401 Mail-Clients) im Einsatz und wird deren Aktualität laufend überprüft? 3 Datensicherheit Software Sind die in Anwendungen eingebauten Schutzmechanismen aktiviert und können durch q q D402 Mitarbeitende nicht ausser Kraft gesetzt werden? 3 Datensicherheit Software Sind Standard-Passwörter von Softwarepaketen durch sichere Passwörter ersetzt worden? q q D403 4 Systemausfall Hardware-Ausfall Sind die Daten redundant abgelegt? q q S101 4 Systemausfall Hardware-Ausfall Ist die Datensicherung so ausgelegt, dass im Falle eines Systemausfalls auf ein Ersatzsystem q q S201 rückgesichert werden kann? 4 Systemausfall Hardware-Ausfall Sind die allerwichtigsten Ersatzteile im Haus an Lager? q q S202 4 Systemausfall Hardware-Ausfall Sind die eingesetzten Hardwareteile noch erhältlich und bietet der Hersteller Ersatzteilgarantie? q q S203 4 Systemausfall Hardware-Ausfall Lassen sich Ersatzteile in vernünftiger Frist beschaffen? q q S204 4 Systemausfall Hardware-Ausfall Bietet mein Systemsupporter Ersatzteilgarantie? q q S205 Seite 7

4 Systemausfall Hardware-Ausfall Bietet mein Systemsupporter ein Ersatzsystem? q q S206 4 Systemausfall Hardware-Ausfall Gibt es für die Zeit des Systemausfalls ein Notsystem für die wichtigsten Arbeiten? q q S207 Seite 8

4 -Papiere Seite 9

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback