Maßnahmen

Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitkonzeptes an den Wert der zu schützenden Daten angepasst werden. Zu viele Maßnahmen führen zu Kosten- und Akzeptanzproblemen, bei zu wenig Maßnahmen bleiben „lohnende“ Sicherheitslücken offen.

Management und Umsetzung

Informationsicherheit ist Aufgabe der Leitung eines Unternehmens und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements ist die Installation eines Sicherheitsmanagementsystems. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen geschaffen werden.

Operative Maßnahmen

  • physische räumliche Sicherung von Daten
  • Zugriffskontrollen
  • fehlertolerante Systeme
  • Verschlüsselung
  • organisatorische und personelle Maßnahmen

Software aktualisieren

  • Patchmanagement (SUS) zur Behebung von Sicherheitslücken

Antiviren-Software verwenden

  • Einsatz von Client-Server-Virenlösung
  • Zentrales Management und Kontrolle der Verwendung
  • Tägliche bis Minütliche Aktualisierung der Signaturen

Firewalls verwenden

Die Funktionalität einer Firewall besteht darin, bestimmte Kommunikationsflüsse zu erlauben oder zu Verbieten. Für das Aufspüren von Angriffen sind sogenannte IDS-Module möglich. Funktionell sollte eine Firewall folgende Bedingungen erfüllen.

  • Paketfilter
    • Kontrolle Regelbasierter Zugriffe
  • Stateful Inspection
    • Packetfilterung auf OSI-Schicht 3, 4 und 7, kontrolle der Zusammenhänge zwischen Packeten und der dazu gehörigen Sitzungen
  • Applikations Layer
    • Packetfilterung auf OSI-Schicht 7, ermöglicht Contentfilterkontrolle
  • Intrusion Detection und Prevention
    • Erkennung von Einbruchsversuchen und deren Prävention.
  • Network Adress Translation
    • Verstecken des internen Netzes nach außen.
  • Weitere Funktionen
    • Anti-Spoofing
    • Authentifizierung
    • Hochverfügbarkeit
    • Routing Multicast

Eingeschränkte Benutzerrechte verwenden

  • Einschränkung der Benutzerrechte
  • Änderungen an Systemen nur von autorisierten Personen (System Admins)

Aktive Inhalte deaktivieren

Aktive Inhalte beinhalten Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen. Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch Gefahren, die schädlichen Code ausführen und den Rechner infizieren. Um dies zu vermeiden, sollten aktive Inhalte, wie zum Beispiel ActiveX, Java oder JavaScript, soweit wie möglich deaktiviert werden.

Sensible Daten verschlüsseln

Schutz der Daten vor Zugriff unberechtigter Dritter. Hier bieten sich Maßnahmen, wie TrueCrypt, PGP oder CompuSec an.

Protokollierung

Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.

Sensibilisierung und Befähigung der Mitarbeiter

Einer der wichtigsten Aspekte der Unternehmens- und Informationssicherheit ist die Schulung und Sensibilisierung der Mitarbeiter.

Waren früher Bedrohungen durch Viren und Trojaner aktuell, werden heute im Wege der Wirtschaftsspionage mehr und mehr sog. Social Engineering Angriffe ausgeführt, um auf sensible Informationen Zugriff zu bekommen. Hier ist es besonders wichtig, Mitarbeiter auf die möglichen Aspekte und Tricks solcher Angriffe vorzubereiten und zu schulen.

Arbeitsgerichte fordern neuerdings den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall beabsichtigter oder unbeabsichtigter Verstöße gegen Firmenrichtlinien.

Audits/Überprüfung

Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO 27001, BS 7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

  • Share/Bookmark