Informationssicherheit für KMU

Info

rmat

ion

ssic

her

hei

t fü

r K

MU

–S

ich

erh

eits

kon

zep

t &

pra

ktis

che

Um

setz

un

g

Informations-sicherheit für KMU

Andreas WislerFredy Schwyter

Gesetze & Verantwortung Grundschutz für KMU Praxis der

Informationssicherheit Kosten-Nutzen-Aspekte Technologie-Grundlagen Sicherheitskonzepte umsetzen Outsourcing &

Managed Security Services Praxisbeispiele Checklisten Trends

Was ist Informationssicherheit?Wie setzt ein KMU Sicherheitskonzepte um?Welche Gesetze sind zu beachten?Welche Verantwortung trägt das Management?Was sind Managed Security Services?Wie kann ein Grundschutz realisiert werden?Welche Schutzmassnahmen existieren?

In diesem Praxisleitfaden finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen. Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht.

Die Autoren Andreas Wisler und Fredy Schwytersind ausgewiesene Sicherheitsexperten. Anhand von Beispielen und Checklisten zeigen sie die zentralen Eckpunkte für ein modernes Sicherheits-konzept: Schritt für Schritt.

Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informations-quelle und ein übersichtliches Nachschlagewerk.

Rheinfelden/SchweizBPX-Edition 2013www.bpx.ch

30 CHF / 20 €

ISBN 978-3-905413-24-3

www.bpx.chwww.bpx.ch

Sicherheitskonzepte & praktische Umsetzung2. Auflage

Editionspartner: Editionspartner::

31

Andreas Wisler Fredy Schwyter

Informations- sicherheit für KMU

Sicherheitskonzepte & praktische Umsetzung 2., überarbeitete Auflage BPX-Edition Rheinfelden/Schweiz

2

BPX Best Practice Xperts E-Mail [email protected] Internet www.bpx.ch

Andreas Wisler, Fredy Schwyter

Informationssicherheit für KMU Sicherheitskonzepte & praktische Umsetzung

Vorwort von Prof. Dr. Bernhard Hämmerli Rheinfelden/Schweiz, BPX-Edition 2013 ISBN 978-3-905413-24-3

© 2013 BPX-Edition Rheinfelden

Hinweis: In diesem Booklet wird bei Bezeichnungen die männliche Form verwendet. Dies dient lediglich der Lesefreundlichkeit und schliesst die weibliche Form mit ein.

Alle Rechte, insbesondere die Übersetzung in fremde Sprachen, sind dem BPX-Verlag vorbehalten. Kein Teil des Buches darf ohne schriftli-che Genehmigung des Verlages fotokopiert oder in irgendeiner anderen Form reproduziert oder in eine von Maschinen verwendbare Form übertragen oder übersetzt werden.

Herstellung: BPX-Edition, Rheinfelden/Schweiz

Druck und Verarbeitung: Druckerei galledia ag, Flawil

3

1 Vorwort 4 2 Management Summary 5 3 Managementverantwortung 7 3.1 Managed Security Services 8 3.2 IT-Security und Informationssicherheit 9 3.3 Rechtliche Aspekte 12 3.4 IS – eine Managementherausforderung 15 3.5 Kostenoptimierung 16 3.6 Organisatorische IS-Massnahmen 19 4 Grundschutz für KMU 20 4.1 Grundschutz nach BSI 21 4.2 ISO 27 000 21 5 Praxis der Informationssicherheit 24 5.1 Bedrohungsszenarien 24 5.2 Risk Assessment /Risk Management 29 5.3 Massnahmen gegen bekannte Gefahren 32 5.4 Security-Konzepte 34 5.5 Business Continuity Management 36 5.6 Schutzmassnahmen versus Operabilität 37 5.7 Die Bedeutung der Mitarbeiterschulung 37 6 Gefahren 39 6.1 Spam 39 6.2 Bot-Netze, Malware 42 6.3 Phishing 43 6.4 Mobiler Zugriff 44 6.5 Social Media 45 6.6 Social Engineering 45 7 Sicherheitsmassnahmen 47 7.1 E-Mail 47 7.2 Netzwerksicherheit 53 7.3 Firewall 53 7.4 Personal Firewall 56 7.5 Patchen 58 7.6 Backup/Restore 59 7.7 Cloud 65 7.8 Intrusion Detection 66 7.9 Sichere Kommunikation mit VPN 68 7.10 Biometrie 69 8 Informationssicherheit umsetzen 71 8.1 Projektmanagement 71 8.2 Security-Management 72 8.3 Akzeptanz von Sicherheitsmassnahmen 74 8.4 Make or Buy 74 8.5 Zertifizierungen 76 9 Stichwortverzeichnis 78 10 Profil des Editionspartners 79 11 Autorenteam & BPX 80

Vorwort

4

1 Vorwort

Das Geheimnis hinter effektiver Informationssicherheit heisst: Sie muss gelebt werden! Diese Aussage aus dem Awareness-Film von Sun Microsystems wurde im vorliegenden Booklet von den zwei Autoren speziell für KMU treffend umgesetzt.

Informationssicherheit beginnt beim Management. Da besteht aus meiner Erfahrung gesehen noch viel Nach-holbedarf. Es scheint mir wichtig, dass die Geschäfts-führung sich mit diesem Thema zuerst ausführlich befasst, die richtigen Massnahmen plant und anschlies-send Kontrollprozesse zur Prüfung einsetzt. Es ist wie bei einem Hausbau: Der Besitzer muss Vorgaben ma-chen und danach die Ausführung kontrollieren. Damit lässt sich viel Ärger vermeiden.

Die Erfahrung zeigt, wie Katastrophen-Vorsorge das Überleben sichert. Auch KMU sind heutzutage vom funktionierenden Informationsfluss zunehmend abhän-gig. Viele Beispiele belegen: Wer bei einer Katastrophe einen durchdachten Vorsorgeplan umsetzen kann, hat gute Chancen zu überleben. Wer diese Möglichkeit nicht hat, meldet Konkurs an.

Den beiden Autoren ist es bestens gelungen, den sinn-vollen Einsatz von Standards aufzuzeigen. Nicht jeder muss das Rad neu erfinden. Es sind die wichtigsten Standards beschrieben: fürs Management ISO/IEC 27001, für die Technik die Grundschutztools vom deut-schen Bundesamt für Sicherheit in der Informatik und für exportorientierte Firmen mit Lieferung in die USA die Common Criteria.

Für die interessierten Leser findet sich auch eine gute Ausführung über die State-of-the-Art Technology im Sicherheitsbereich. Diese ist für KMU vor allem wertvoll, um Ausfallkosten bei der IT zu sparen.

Viele praktische Hinweise helfen dabei, Informations-sicherheit zu realisieren und zu leben. Solche Sicherheit

ist nicht nur auf IT beschränkt: Auch Betriebsprozesse von Information, Gesetze und Mitarbeitende sind von höchster Wichtigkeit für das Unter-nehmen. Lesen Sie dazu ins Booklet hinein!

Prof. Dr. Bernhard Hämmerli

Hochschule Luzern

Management Summary

5

2 Management Summary

Informationssicherheit steht heute zuoberst auf der Prioritätenliste weitsichtiger KMU-Führungskräfte. In allen Betrieben spielt Information eine entscheidende Rolle, und diese gilt es zu schützen. Oder haben Sie schon einen General gesehen, welcher seine Soldaten schutzlos in den Krieg schickt?

Der Vergleich mit Krieg ist insofern zulässig, als jeder Computer am Internet von überall in der Welt her ange-griffen werden kann. Und die Angriffsszenarien werden immer ausgefeilter. Dazu kommt, dass nur ausgebilde-tes Personal die wichtigen Informationen sicher hand-haben kann. Von nicht ausgebildetem Personal richtige Entscheidungen zu erwarten, ist sinnlos. Vier wichtige Punkte möchten wir besonders hervorheben:

Informationssicherheit (IS) ist eine Management-aufgabe

Ein Katastrophen-Vorsorgeplan hilft, im Worst Case zu überleben

Für IS und deren Unterhalt muss Budget bereitge-stellt werden

Zuverlässiges Personal gibt es nur mit Ausbildung

Kleinere KMU haben meist die personellen Ressourcen nicht, um einen eigenen Information Security Officer einzustellen. In diesen Fällen ist es sinnvoll, diese Auf-gaben an ein spezialisiertes Unternehmen auszulagern. Doch auch beim Outsourcing von IS bleibt die Verant-wortung dafür bei der Unternehmensführung.

Gelebte IS bringt auch eine Reihe von Vorteilen, z.B.:

Das Vertrauen der Kunden steigt Kredite werden günstiger Mit Vorausdenken lässt sich viel Geld sparen Weniger Ärger wegen nicht zuzuordnender Fehler Es gibt weniger Kundenklagen Gut ausgebildetes Personal unterstützt Sie Ihr Unternehmen ist für den Notfall vorbereitet und

kann überleben

Management Summary

6

In diesem Booklet erfahren Sie:

Worauf zu achten ist bei der Entwicklung von Informationssicherheit

Wie die Gesetzeslage aussieht Welche Standards Ihnen helfen Wo die heutigen Gefahren liegen Wie Sie Risiken in den Griff bekommen können Welche Technologien Ihnen zur Verfügung stehen Wie Sie IS nach State-of-the-Art umsetzen können

«Die Anforderungen an und die Abhängigkeit von der IT nehmen immer mehr zu. Auch die Komplexität hat stark zugenommen, viele Projekte stehen zudem unter grossem Zeitdruck. Auf der anderen Seite nehmen die Gefahren und Risiken ebenfalls rapide zu. Das orga-nisierte Verbrechen hat längstens den Weg ins Inter-net gefunden und verdient viel Geld mit Angriffen, Erpressungen, mit Spam und Malware. Daher ist es essenziell wichtig, auf die neuen Bedrohungen vorbe-reitet zu sein und entsprechende Massnahmen proak-tiv zu ergreifen. Dieses Booklet soll Ihnen einen Überblick bieten.»

Andreas Wisler

Das Geheimnis von guter Informationssicherheit liegt darin, dass sie gelebt wird!

«Auch mittelständische Unternehmen werden zuneh-mend von IT-Sicherheitsvorfällen bedroht – Beispiele sind der Verlust von geistigem Eigentum oder die Nichtverfügbarkeit der angebotenen Kerndienstleis-tungen. Im Gegensatz zu Grossfirmen sind kleine und mittelständische Unternehmen jedoch oft nicht in der Lage, den entsprechenden Aufwand zum Schutz der Informatikmittel und der darauf basierenden Abläufe zu leisten – eine mögliche Lösung kann hier in der Nutzung seriöser ‹Managed Security Services› lie-gen.»

Prof. Dr. Hannes Lubich

FHNW

Managementverantwortung

7

3 Managementverantwortung

Die Geschäftsleitung hat die Verpflichtung, Massnah-men zur Gewährleistung von Informationssicherheit im Unternehmen umzusetzen. Folgende gesetzliche Be-stimmungen enthalten Forderungen dazu:

Buchführungsvorschriften: Buchführungsrecht, Revisionsgesetz (neue Version 2007) mit Kontrolle des internen Kontrollsystems inklusive Risiko-beurteilung.

Aufbewahrungspflicht: Normalerweise 10 Jahre. Diese Zeitspanne kann zwecks Beweispflicht aber auch länger sein.

Öffentlich-rechtliche Vorschriften, z.B. bezüglich Auskunftspflicht, Berufsgeheimnisse usw.

Strafrecht, z.B.: Unbefugtes Eindringen in ein Da-tenverarbeitungssystem oder Datenbeschädigung kann nur geahndet werden bei Nachweis von spe-ziellen Schutzmassnahmen.

Aktienrecht: definiert die Organhaftung von Verwal-tungsrat und Geschäftsleitung. Sie kann neu bis zur Haftung mit dem persönlichen Eigentum gehen.

Vertragsrecht: Gewährleistung der angebotenen Leistungen, Schadenersatz.

Branchenspezifische Rechtsvorschriften: beispiels-weise in der Pharmabranche, bei Banken, Ver-sicherungen, im Gesundheitswesen oder in der Nahrungsmittelverarbeitung.

Datenschutzgesetz: Gesetz über den Schutz von Personendaten auf kantonaler und eidgenössischer Ebene.

Persönlichkeitsrecht: Überwachung, Genugtuung, Schadenersatz.

Aufgrund dieser Aufzählung könnte manch einer auf die Idee kommen, gesetzliche Vorschriften seien der Hauptgrund zum Einsatz von Sicherheitsmassnahmen. Tatsache ist jedoch, dass Gesetze meist erst dann erlassen werden, wenn deren Einhaltung bereits gängi-ge Praxis ist – oder zur Vermeidung von grösserem Schaden.

Die Durchsetzung von Compliance mit bestehenden Gesetzen liegt in der Verantwortung des Verwaltungs-rats und der Geschäftsleitung. Der Einsatz heutiger Informations-Sicherheits-Management-Systeme er-leichtert und unterstützt diese Aufgabe wesentlich.


8

3.1 Managed Security Services

Vergibt ein Unternehmen Teile seiner Informationsver-arbeitung an ein externes Unternehmen in Form von Outsourcing, dann müssen zusätzliche Kriterien beach-tet werden. Wichtige Punkte dabei sind:

Die Verantwortung bleibt beim Auftraggeber Überprüfbare Service Level Agreements (SLA) Gemeinsames Sicherheitskonzept Einhaltung der Lizenzbedingungen Umsetzung branchenspezifischer Vorschriften Datenschutzgesetze, v.a. bei grenzüberschreiten-

den Transaktionen

Um die wichtigste Ressource in heutigen Unternehmen zu sichern, ist es unabdingbar, dass das oberste Ma-nagement sich diese Aufgabe zuoberst auf die Prioritä-tenliste setzt. Mitarbeitende richten sich automatisch auf die Vorgaben der Geschäftsleitung aus. Fehlen diese Vorgaben oder haben sie eine niedere Priorität, dann kann nicht von Informationssicherheit gesprochen wer-den.

Beispiel: Bekommt eine Sekretärin von ihrem Chef den Auftrag, mit seinem Passwort die Verträge kurz auszu-drucken, zu denen sie mit ihrem Passwort keinen Zu-griff hat, dann zeugt dies zwar von grossem Vertrauen seitens des Chefs, aber diese Sekretärin wird alle ande-ren Sicherheitsvorschriften nur als lästiges Übel emp-finden. Sie wird vermutlich versuchen, wo immer es geht, diese zu umgehen. (Z.B.: Anstatt die Verträge der Geschäftspartnerin verschlüsselt zuzustellen, werden diese unverschlüsselt übertragen.) Und was für die Chefsekretärin gut ist, wird von allen anderen Mitarbei-tenden in Kürze nachgeahmt. Damit verlieren Aufwen-dungen für die Informationssicherheit an Wert.

Oft ist es noch schlimmer, da man sich der Gewissheit hingibt, «wir tun ja etwas für die Informationssicher-heit», z.B. durch regelmässige Backups. Da diese aber mangels Kapazität nie durch Restore (zurückspielen und auf Funktionstüchtigkeit testen) überprüft wurden und oft auch nicht in feuersicheren Behältern aus-serhalb des Betriebes lagern, werden sie im Falle einer Feuersbrunst oder bei Wasserschaden im Serverraum nicht mehr zu gebrauchen sein.

Dazu kommt, dass gerade grössere Schäden dort vor-kommen, wo das Personal denkt: Das kann bei uns nie passieren.


9

Locker gehandhabte Informationssicherheit aufgrund fehlenden Managementsupports ist schlimmer als keine!

3.2 IT-Security und Informationssicherheit

IT-Sicherheit ist ein wichtiger Teil von Informations-sicherheit. Damit lassen sich vor allem die Risiken der Informationsverarbeitungs- und -übertragungsanlagen stark reduzieren. Bei gesamtheitlicher Betrachtung eines Unternehmens bestehen jedoch zusätzlich viele andere Risiken, z.B. in der Organisation, beim Personal, bei den nicht IT-unterstützten Betriebsprozessen, beim Informationsaustausch zwischen Unternehmen und seinem weltweiten Umfeld sowie bei den erweiterten Gesetzesvorschriften.

Abbildung 1: Zusammenhänge in der Informationssicherheit

Zusammenhänge in der Informationssicherheit

Geschäftsprozess

Aufbe-wahrungs-

pflicht

Öffentlich-rechtliche

Vorschriften

Buch-führungs-

vorschriften WeltweitesUmfeld

Vorschriften und Gesetze

Teil-Prozesse mit IT-Unterstützung

Teil-Prozesse ohne IT-Unterstützung

Unternehmen

Daten-schutz

IT-Applikationen

Organisation Menschen

Info

rmat

ion

en

Info

rma

tio

nss

ich

erh

eit


10

Praxisbeispiel:

Ein Unternehmen mit circa 150 Personen im schwei-zerischen Mittelland fabriziert chemische Zwischen-produkte zur Herstellung von Medikamenten, welche auch in die USA exportiert werden. Damit unterliegt es auch den Vorschriften der amerikanischen Food and Drug Administration (FDA), welche teilweise auch vor Ort Kontrollen durchführt. Die Informationen, welche dieses Unternehmen anderen Unternehmen weltweit zur Verfügung stellt, unterliegen vielfältigen Gesetzes-bestimmungen anderer Länder wie auch denen der Schweiz. Werden dabei z.B. den Kunden interaktive, verschlüsselte Verbindungen zum Datenaustausch zur Verfügung gestellt, sind detaillierte juristische Abklä-rungen dringend empfohlen. Sonst kann es passieren, dass der CEO des Unternehmens beispielsweise zu einem Prozess in Singapur vorgeladen wird, weil die Übertragung von Kundendaten in diesen Staat auch über verschlüsselte Verbindungen unzulässig ist.

Abhängigkeiten in den Griff bekommen

Üblicherweise wollen Unternehmerinnen und Unter-nehmer Erfolg haben, sprich: Gewinn erwirtschaften. Da heutzutage die meisten Betriebsprozesse zunehmend von Informations- und Telekommunikationstechnologien (ICT) unterstützt werden, sind sie davon auch immer mehr abhängig. Wie gross die Abhängigkeit ist, ist eine Frage der Betriebsprozesse. Wenn beispielsweise Zu-gänge zu Fahrzeugen via SMS freigeschaltet werden, dann ist die Abhängigkeit von mobiler Telefonie sehr hoch. Versierte Security-Beauftragte finden jedoch auch bei solchen Problemen Möglichkeiten zur Reduktion der Abhängigkeit. Wichtig ist, dass diese erkannt und ana-lysiert werden.

Die Abhängigkeit von ICT steigt an. Informationen werden zunehmend businesskritischer. Diese Abhän-gigkeiten können Sie mit geeigneten Massnahmen reduzieren.

Grundbausteine von Informationssicherheit

Der Hauptzweck der Informationssicherheit ist, dass die Informationen eines Unternehmens zur richtigen Zeit, in der richtigen Qualität, am richtigen Ort und der richtigen Person zur Verfügung stehen. Dies wird erreicht, indem die Verfügbarkeit, die Integrität, die Vertraulichkeit und erweitert durch die Belegbarkeit sichergestellt werden. Diese vier Begriffe werden im Folgenden erläutert:


11

Abbildung 2: Grundbausteine der Informationssicherheit

Verfügbarkeit (Availability)

Die Verfügbarkeit eines Systems wird umschrieben mit der Eigenschaft eines Systems, sämtliche Daten und Funktionen zu einem bestimmten Zeitpunkt zur Verfü-gung stellen zu können. Denial-of-Service-Attacken (totale Verweigerung des Dienstes) zum Beispiel führen zu Verlusten der Verfügbarkeit, da die Kommunika-tionsinfrastrukturen dadurch den Unternehmen für die Abwicklung der Tagesgeschäfte nicht mehr zur Verfü-gung stehen. Die Verfügbarkeit eines (Informations-) Systems wird definiert durch den Grad des Zuganges und der Funktionalität in Abhängigkeit zur vereinbarten Servicezeit. Wertmässig investieren Unternehmen im Bereich der Sicherheit am meisten Geld.

Integrität (Integrity, Unversehrtheit)

Lässt ein System unbefugte oder unbeabsichtigte Ver-änderungen an Daten oder an der Software zu, so ist deren Integrität verletzt. Es kann somit nicht mehr ga-rantiert werden, dass alle sicherheitsrelevanten Objekte vollständig, unverfälscht und korrekt sind. Viren können Daten und Programme derart verändern, dass die In-tegrität verletzt wird. Aber auch Mitarbeiter sind oft der Grund für solche Verletzungen.

Die Unversehrtheit der Daten über alle Geschäftspro-zess-Schritte hinweg schliesst eine gesicherte Übertra-gung und Speicherung der Daten mit ein. Der Grad der Integrität des Informationssystems (IS) hängt somit nicht nur vom Backup-Konzept, sondern auch von der Sicherung der Netzwerk-Übertragung ab (z.B. durch Verschlüsselung).


12

Vertraulichkeit (Confidentiality)

Darunter wird verstanden, dass nur bestimmte Perso-nen oder Prozesse auf Daten oder Systeme zugreifen können oder dürfen. Soll die Vertraulichkeit gewahrt werden, müssen die Daten so gesichert sein, dass ein Zugriff nur denjenigen Nutzern möglich ist, welche durch Zugriffsrechte die Erlaubnis erhalten. Fehler im Zugriffschutzsystem oder eine schlecht betriebene oder unterhaltene Zugriffstabelle können zum Verlust dieser Vertraulichkeit führen. Vertraulichkeit kann z.B. mit Verschlüsselung der Daten bei ihrer Übertragung oder Speicherung gewahrt werden.

Nachweisbarkeit (Non-Repudiation)

Ein weiterer wichtiger Punkt ist die Transaktionssicher-heit, die unter anderem dadurch gewährleistet sein muss, dass mit Sicherheit die Identitäten des Senders und des Empfängers erfasst werden können. Ist die Nicht-Abstreitbarkeit nicht gewährleistet, dann kann es vorkommen, dass ein Kunde im E-Commerce behaup-tet, dass er die gelieferte Ware nie bestellt habe. Dies verursacht grosse Umtriebe, die der Anbieter selber zu tragen hat. Oft ist dabei ein Zeitstempel mit inbegriffen, da der Zeitpunkt von Aktivitäten (z.B. Kauf von Aktien-titeln) entscheidend sein kann.

3.3 Rechtliche Aspekte

3.3.1 Strafgesetz

Straftaten erfolgen immer mehr auch im elektronischen Bereich. Die Verfolgung ist dabei alles andere als ein-fach. Im Schweizerischen Strafgesetzbuch (StGB) sind einige Artikel vorhanden, die gegen Computerkriminali-tät zielen. Diese werden nachfolgend kurz vorgestellt.

Unbefugte Datenbeschaffung (StGB Art. 143)

Wer in der Absicht, sich oder einen andern unrecht-mässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespei-cherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zu-griff besonders gesichert sind, wird mit Freiheits-strafe bis zu fünf Jahren oder Geldstrafe bestraft.

Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.


13

Unbefugtes Eindringen in ein Datenverarbeitungs-

system (StGB Art 143bis)

Wer auf dem Wege von Datenübertragungseinrich-tungen unbefugterweise in ein fremdes, gegen sei-nen Zugriff besonders gesichertes Daten-verarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheits-strafe bis zu drei Jahren oder Geldstrafe bestraft.

Datenbeschädigung (StGB Art 144bis)

Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten ver-ändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.

Wer Programme, von denen er weiss oder anneh-men muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, ein-führt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstel-lung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden.

Betrügerischer Missbrauch einer Datenverarbei-tungsanlage (StGB Art 147)

Wer in der Absicht, sich oder einen andern un-rechtmässig zu bereichern, durch unrichtige, un-vollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elekt-ronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Ver-mögensverschiebung unmittelbar darnach ver-


14

deckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft.

Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft.

Der betrügerische Missbrauch einer Datenverarbei-tungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.

Herstellen und Inverkehrbringen von Materialien zur unbefugten Entschlüsselung codierter Angebote

(StGB Art 150bis)

Wer Geräte, deren Bestandteile oder Daten-verarbeitungsprogramme, die zur unbefugten Ent-schlüsselung codierter Rundfunkprogramme oder Fernmeldedienste bestimmt und geeignet sind, herstellt, einführt, ausführt, durchführt, in Verkehr bringt oder installiert, wird, auf Antrag, mit Busse bestraft.

Versuch und Gehilfenschaft sind strafbar.

3.3.2 Datenschutzgesetz

Das Datenschutzgesetz − kurz DSG − bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Es gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch Private und Bundesorgane.

Gebote zur Einhaltung des Schutzes der Privatsphäre:

Daten dürfen nur rechtmässig beschafft werden (Art. 4 Abs. 1 DSG), d.h. bei der Beschaffung dür-fen die Personen, welche Informationen geben sol-len, weder irregeführt noch unter Druck gesetzt werden.

Die Bearbeitung muss sich, gemessen am Bearbei-tungszweck, auf die Daten beschränken, die ge-eignet und erforderlich sind (Art. 4 Abs. 2 DSG), um einen bestimmten, legitimen Bearbeitungszweck zu erreichen. Dies ist das Prinzip der Verhältnis-mässigkeit.

Daten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorge-sehen ist (Art. 4 Abs. 3 DSG).

Wer Daten bearbeitet, hat dafür zu sorgen, dass die Informationen korrekt sind (Art. 5 DSG). Korrekt sind sie dann, wenn sie nicht nur inhaltlich richtig,


15

sondern wenn sie auch aktuell und entsprechend dem Bearbeitungszweck vollständig sind.

Die Bekanntgabe von besonders schützenswerten Daten und Persönlichkeitsprofilen ist nur mit Einwil-ligung der betroffenen Person gestattet (Art. 12 Abs. 2 lit.a DSG).

Daten dürfen nur in Länder transferiert werden, in denen ein gleichwertiger Datenschutz gewährleistet ist (Art. 6 Abs. 1 DSG).

Daten müssen durch angemessene technische oder organisatorische Massnahmen gegen unbe-fugtes Bearbeiten gesichert werden (Art. 7 DSG).

Den Betroffenen ist Einsicht in ihre Daten zu ge-währen (Art. 8ff DSG).

3.3.3 Internes Kontrollsystem IKS

Mit der Anpassung des Obligationenrechts wurde im Artikel 728a die Kontrolle des internen Kontrollsystems durch die Revisionsstelle obligatorisch.

Das IKS ist ein Managementinstrument zur zweckmäs-sigen Sicherstellung von Unternehmenszielen in den Bereichen «Prozesse», «Informationen», «Vermögens-schutz» und «Compliance». Das IKS umfasst alle dafür von der Geschäftsleitung planmässig angeordneten organisatorischen Methoden und Massnahmen.

Weitere Informationen finden Sie im INFONEWS 3.08 „Internes Kontrollsystem“ unter www.infonews.ch.

3.4 IS – eine Managementherausforderung

Überall, wo Geld, Macht oder Politik ein grosses Ge-wicht haben, existieren auch andere Kräfte, die sich stark dafür interessieren. So wie eine Unternehmerin die Konkurrenz im Auge behält, muss sie auch um die wichtigsten Güter im eigenen Unternehmen besorgt sein. Das grosse Problem dabei ist, dass wir für diese Art von lauernden Gefahren keine Sensoren haben. Um die daraus entstehenden Risiken richtig einzuschätzen, müssen wir uns auf eigene Erfahrungen oder auf die-jenigen von anderen abstützen. Um dieses Problem zu reduzieren, helfen vor allem die Ernennung eines Informationssicherheits-Beauftragten mit detaillierter Stellenbeschreibung, die Bereitstellung von Budget für IS gemäss Best Practice sowie die Einforderung und Kontrolle regelmässiger Reports, bezogen auf den aktuellen Stand der Informationssicherheit.


16

Abbildung 3: Führungsprozess der Informationssicherheit

Der IS-Beauftragte soll zuständig sein für die Budget-erstellung, die Einführung von Sicherheitsprozessen, deren Kontrollen und regelmässiges Reporting direkt an die Geschäftsleitung. Nur wenn die Geschäftsleitung diese Berichte auch auf Einhaltung der Vorgaben über-prüft, ist sie ihren Verpflichtungen nachgekommen.

Die Erfahrung zeigt:

Wer nicht (oder schlecht) führt, der hat mehr Aufwand (und zusätzlichen Ärger mit Ad-hoc-Aktionen)!

Zur Führung gehört auch, Vorschriften (Policies) zu erlassen und deren Umsetzung zu kontrollieren. Bei-spiele von Policies im Bereich Informationssicherheit finden Sie auf der Website von SysAdmin, Audit, Net-work, Security Institute (SANS): www.sans.org. Dort finden Sie auch andere vielfältige Hinweise zu IS. Da zur Erstellung von Policies sehr viel spezifische Erfah-rung gehört, muss dies ein Bestandteil der Stellenbe-schreibung eines Sicherheitsbeauftragten sein oder von einer dazu spezialisierten Firma.

3.5 Kostenoptimierung

Es ist zur Gewohnheit geworden, Firmengelände gegen unbefugten Zutritt zu sichern. Denn es gilt zu vermei-den, dass vertrauliche oder gar geheime Unter-

Geschäftsleitung

Sicherheitsbeauftragter

Umsetzung & Kontrolle von IS-Massnahmen

RegelmässigerReport

KO

NT

RO

LL

E


17

nehmensinformationen das Gelände verlassen oder Sabotageakte durchgeführt werden können.

Heute sind die Angriffe auf ein Unternehmen weniger physischer als vielmehr virtueller Natur.

Die Erfahrung hat gezeigt, dass schon mit relativ einfa-chen Methoden ein gutes Sicherheitsniveau erreicht werden kann, wenn sie konsequent angewendet wer-den. Dies gilt für KMU mit durchschnittlichen Sicher-heitsanforderungen.

Sobald aber Verkaufsaktivitäten übers Internet (E-Commerce), spezielle Vertraulichkeitsanforderungen (z.B. Anwaltskanzlei) oder andere, besonders schüt-zenswerte Geschäftsprozesse eine wichtige Rolle spie-len (z.B. bei Versicherungen, Banken, Infrastruktur-dienstleistern wie Telekommunikationsanbieter oder Elektrizitätswerke usw.), sind höhere Sicherheits-niveaus dringend empfohlen (z.B. durch die Einführung von Standards wie ISO 27001 oder IT-Grundschutz-Kataloge vom BSI).

3.5.1 Nutzenaspekte

Unternehmen, die Informationstechnologie einsetzen, tragen hierfür ein Betreiberrisiko. Das Management hat zu entscheiden, welche Risiken durch den IT-Sicherheitsprozess gemanagt werden sollen und wel-che als Restrisiken zu behandeln sind. Unterlässt es diese Massnahme, kann es im Schadenfall zur Re-chenschaft gezogen werden.

Mit Sicherheitsvorkehrungen will nichts anderes erreicht werden als sicherzustellen, dass der Betrieb in jedem Fall ordnungsgemäss weiterläuft. So kann ein mehr-tägiger Ausfall der IT für das eine Unternehmen den sicheren Ruin bedeuten, für das andere Unternehmen nicht mehr als einen Verlust von Deckungsbeiträgen.

Eine hundertprozentige Sicherheit gibt es nicht, und die versicherungstechnischen, bezahlbaren Möglichkeiten sind begrenzt. Die Sicherheitsausgaben liegen bei vie-len IT-Projekten erfahrungsgemäss zwischen 2% und 10% (nicht berücksichtigt sind dabei grössere Projekte und Migrationen).

3.5.2 Kostenbetrachtungen

Es gibt einige Möglichkeiten, wie die Kosten der Sicher-heit kalkuliert werden können. Jedoch keine davon löst das Problem vollständig. Zwei Ansätze seien hier er-wähnt:


18

Return on Security Investment (ROSI). Dabei wer-den die Kosten für die Gefahrenabwehr den fiktiven Erträgen aus der Vermeidung einer Gefahr gegen-übergestellt. Nachteil: Bei diesem Modell müssen die Einsparungen geschätzt werden. Es handelt sich um eine Berechnung analog des ROI.

Benchmarking: Es werden Vergleiche mit ähnlich gelagerten Unternehmen gezogen.

Nachträgliche Einführung von Sicherheit ist immer kos-tenintensiv. Am meisten Geld lässt sich sparen, wenn bei Neuinvestitionen vom Lieferanten ein IS-Konzept verlangt wird, welches auf die aktuelle Betriebsinfra-struktur abgestimmt ist. Dazu sind die Lieferanten von Beginn weg anzuweisen, die vorhandenen Richtlinien (Policies) einzuhalten.

Bereits bei der Produktauswahl sollte auf den Unter-haltsaufwand geachtet werden. Möglichst für eine Funk-tionalität nur Produkte von einem Lieferanten einsetzen! Andernfalls werden die Komplexität und diverse Risiken (beispielsweise das Vulnerability-Risiko) gesteigert. Die Unterhaltskosten können dadurch deutlich steigen.

Eine weitere Einsparungsmöglichkeit ist das Profitieren von den Erfahrungen anderer. So ist es durchaus sinn-voll, dass der Sicherheitsbeauftragte in einer Erfa-Gruppe von IS-Experten mitarbeitet. In der Schweiz bieten sich einige Möglichkeiten dazu.1

Die Firma GO OUT Production GmbH bietet seit 2003 in regelmässigen Abständen ein hersteller- und produkte-neutrales IT-Security Forum mit spannenden Referaten aus der Praxis an. Die Präsentationen und seit 2012 die Videos finden Sie unter: www.itsecurityforum.ch.

Auf der Nutzenseite von effektiver IS stehen:

Erhöhtes Vertrauen der Kunden Übersicht über den Zustand im Unternehmen Vorbereitet sein auf negative Ereignisse Kürzere Reaktionszeiten bei negativen Vorfällen Überlebensfähigkeit im Katastrophenfall (initiiert

und gesteuert durch das Management) Höhere Motivation des Personals Geringere Schadenkosten

1 z.B. Information Swiss Security Society: www.isss.ch, ISACA Switzer-

land: www.isaca.ch


19

3.6 Organisatorische IS-Massnahmen

Grundsätzlich gilt auch hier, dass die Unternehmens-führung für die Einführung, Umsetzung und Kontrolle von IS-Prozessen die Verantwortung übernehmen muss.

Folgende organisatorische Punkte sollten in jeder KMU realisiert sein:

Aktuelle und regelmässig überprüfte Sicherheits-prozesse sind eingeführt

Für die wichtigen Informationsbereiche sind Richt-linien erstellt

Es existiert ein rollen- oder gruppenbasiertes Zugriffskonzept

Die Benutzerkonten werden bei personellen Ver-änderungen nachgeführt/gelöscht

Die Mitarbeiter sind auf IS geschult (Awareness) Eine Risikoanalyse wird regelmässig durchgeführt

und beurteilt (evtl. ergänzt mit einer Business Im-pact Analyse BIA)

Angepasste Sicherheitsmassnahmen sind umge-setzt

Für die geschäftskritischen Prozesse existiert ein Betriebshandbuch

Es wurde ein Notfall- oder Katastrophen-Vorsorge-plan erstellt und wird regelmässig getestet

Neue Software und Patches werden vor der Instal-lation getestet

Gesetzliche Auflagen werden periodisch auf Ein-haltung überprüft (Beachtung auch von ausländi-schen Gesetzen)

Es ist ein IS-Beauftragter mit entsprechenden Rechten und Pflichten ernannt

Die regelmässigen Reports des IS-Beauftragten werden kontrolliert und bearbeitet (z.B. Pendenzen-listen)

Grundschutz für KMU

20

4 Grundschutz für KMU

In der Praxis hat sich bewährt, auf einen guten Grund-schutz zu achten, d.h. alle Geschäftsprozesse werden unabhängig von ihrer Risikoeinstufung möglichst gut gesichert. Ist das Unternehmen speziellen Risiken aus-gesetzt, dann sind eine spezifische Risiko-Analyse und darauf basierend erhöhte Sicherheitsmassnahmen un-umgänglich.

Um die Entwicklung von Sicherheitskonzepten zu ver-einfachen, wurden Standards (Normen) geschaffen. Nachfolgend eine Übersicht über die meist angewand-ten:

Abbildung 4: Übersicht über die Rahmenwerke in IS: COP, CobiT, BSI-IT-Grundschutz-Kataloge, ITSEC / CC, DSG

In Europa ist ISO 27001, hervorgegangen aus dem Code of Practice (COP) für das Management von In-formationssicherheit, am meisten gebräuchlich. Zur Abdeckung des Grundschutzes in der IT wird oft auf die BSI-IT-Grundschutz-Kataloge abgestützt. Liefert eine Firma Waren oder Software in die USA, dann sind oft Zertifikate nach Common Criteria gefordert. Jede Firma in der Schweiz untersteht dem Datenschutzgesetz. Meldepflichtig sind Datenbanken mit sensiblen Perso-nendaten (wie Geburtsdatum, Religion oder Gesund-heitsdaten).2

2 Verschiedenen Ausbildungsprogramme und Checklisten finden Sie

unter www.datenschutz.ch und www.edoeb.admin.ch.

Informationssicherheit umsetzen

71

8 Informationssicherheit umsetzen

8.1 Projektmanagement

Unter Projektmanagement versteht man die Gesamtheit von Führungsaufgaben, -organisation, -techniken und -mitteln für die Abwicklung eines Projektes (Definition nach DIN-Norm 69901). Als Hauptelement steht der Prozess, welcher eine sachlogisch zusammenhängen-de Reihe von zielgerichteten Tätigkeiten zur Erreichung eines definierten Ergebnisses und dabei Kosten durch den Verbrauch von Ressourcen verursacht. Die Merk-male eines Prozesses sind: Ziel, Aktivität (Tätigkeiten), Bedingungen (soziales Umfeld), Input (Auslöser), Out-put (Ergebnis) und die Qualität (Leistungsindikatoren).

Abbildung 29: Projektmanagement

Als wichtige Normen seien hier ITIL, CobiT, PRINCE2 und ISO 20000 genannt.

ITIL

ITIL ist eine herstellerunabhängige Sammlung von Best Practices, mit denen IT-Organisationen über einen prozessorientierten, skalierbaren Ansatz ermöglicht wird, Effizienzsteigerungen innerhalb ihrer IT-Prozesse zu erzielen. ITIL steht als Abkürzung für «Information Technology Infrastructure Library».

CobiT

Das CobiT-Modell (Control Objectives for Information and related Technology) wurde von Revisoren aus der Industrie und dem Berufsstand (ISACA – Information Systems and Control Association) auf Basis bestehen-der Revisionsrichtlinien, von Kontrollmodellen und branchenspezifischen Regularien und Richtlinien entwi-ckelt. Bei der Entwicklung von CobiT galt es, dem An-

Prozessbedingungen

Prozess-owner

Qualitätsparameter & Leitungsindikatoren

Ziele desProzesses

Ressourcen Rollen

Input(inklusive Spezifikationen)

Output(inklusive Spezifikationen)

Aktivitäten undSubprozesse

Prozessausführung

Prozessüberwachung


72

spruch eines IT-spezifischen Kontrollsystems gerecht zu werden, welches in optimaler Weise die bestehen-den wie auch die zukünftigen Geschäftsprozesse unter-stützt.

PRINCE2

PRINCE steht für PRojects IN Controlled Environments und wurde 1989 erstmals von der CCTA – Central Computer and Telecommunications Agency – als der Standard der britischen Regierung für IT-Projektmanagement ins Leben gerufen. Durch ständige Weiterentwicklung wurde daraus ein generischer An-satz zur Steuerung, Organisation und zum Management von Projekten jeglicher Art und Grösse.

ISO 20000

ISO 20000 wurde vom British Standard Institute (BSI) 5000 übernommen und ist der erste weltweite Standard für IT-Service-Management. Dieser Standard beschreibt einen integrierten Satz von Management-Prozessen für die Lieferung von Dienstleistungen zwischen internen und externen Organisationen im Rahmen des IT-Service-Managements. ISO 20000 ist ausgerichtet auf die Prozessbeschreibungen von ITIL und ergänzt diese komplementär.

8.2 Security-Management

Das Prozess Security-Management ist als Zyklus ent-sprechender Aktivität zu sehen:

Abbildung 30: Security-Management

Security-Management ist der Prozess, mit dem ein angemessener, definierter Grad an Sicherheit für die Informationen und IT-Services erreicht werden soll. Der dadurch angestossene Security-Management-Prozess

Kunde

Report SLA

Planung

Implementierung

Betrieb

Bewertung

Kontrolle


73

hat die Aufgabe, durch kontinuierliche Planung, Imple-mentierung und Bewertung von Sicherheitsmass-nahmen das definierte Niveau an IT-Sicherheit auf-rechtzuerhalten. Sicherheitsmassnahmen betreffen das Personal, die Organisation, die Infrastruktur und die Technologie. Eine weitere Aufgabe ist die angemesse-ne Reaktion auf Sicherheitsverletzungen (Security In-cidents).

Zielsetzung des Security-Managements

Vermeidung von Sicherheitsverletzungen durch ein klares und sämtliche Abhängigkeiten berücksichti-gendes Security-Management

Angemessene und planvolle Reaktion auf Sicher-heitsverletzungen

Zusammenführung der Sicherheitsanforderungen und der geschäftlichen Anforderungen

Erstellung des Security-Plans, u.a. zur Doku-mentation der Anforderungen

Festlegung von Toleranzen zur Abgrenzung eines vertretbaren Restrisikos

Berücksichtigung von strategischen, taktischen und operativen Rahmenbedingungen

Zu den wesentlichen Security-Prozessaktivitäten zäh-len:

Steuerung

Festlegen der Prozesse, Funktionen und Verant-wortlichkeiten sowie der Organisationsstrukturen zwischen den Subprozessen

Reports

Planung

Z.B. Service Level Agreements

Implementierung

Förderung des Bewusstseins Personenbezogene Sicherheitsmassnahmen Physikalische, bauliche Massnahmen Technische Sicherheitsmassnahmen Zugriffskontrolle Klassifizierung, Registrierung und Behandlung von

Sicherheitsverletzungen festlegen


74

Bewertung

Vermeidung von Phantom-Sicherheit durch Audits und Sicherheitsüberprüfungen zur allgemeinen Qualitätssicherung

Interne und externe Audits Auswertungen

Betrieb

Sicherheit im laufenden Betrieb aufrechterhalten Erfahrungen sammeln Verbesserungen

8.3 Akzeptanz von Sicherheitsmassnahmen

Die Akzeptanz hängt ganz stark mit der Art der Einfüh-rung zusammen. Der Mensch ist ein Gewohnheitstier und nimmt Änderungen nur ungern in Kauf. Aus diesem Grund gilt es, Mitarbeiter von Beginn weg in die Pro-zesse einzubeziehen. Es gilt, eine Feedback-Kultur einzuführen. Jeder soll die Möglichkeit erhalten, seine Wünsche und Ideen einzubringen. Sollten Massnahmen nicht möglich sein, ist dies in leicht verständlichen Wor-ten zu erklären. Ein Killerkriterium ist sicherlich, dass Massnahmen nicht für alle gelten. Es darf nicht sein, dass Massnahmen (meistens mit Einschränkungen verbunden, wie zum Beispiel das komplexe Passwort) für alle gelten – ausser für das Management. Dies weckt Missgunst. Bei der Einführung von neuen Sicher-heitsmassnahmen gilt es, von Beginn weg den Sinn bzw. den Nutzen und den Zweck aufzuzeigen. Nur so werden Massnahmen im täglichen Umfeld auch gelebt.

8.4 Make or Buy

Immer wieder stellt sich folgende Frage: Soll man IT-Sicherheitsmassnahmen selber umsetzen, oder wird externe Hilfe geholt? Hier ist ganz klar festzuhalten, dass die Grundidee zwingend selber entstehen muss. Diese Arbeit kann Ihnen niemand abnehmen. Sie kennen Ihre Firma in- und auswendig und können die notwendigen Vorgaben liefern. Suchen Sie sich an-schliessend einen Partner, der Sie versteht bzw. die gleiche Sprache spricht. Wenn Sie Massnahmen selber umsetzen, sollten Sie in jedem Fall eine externe Kon-trolle vorsehen. Dies lohnt sich auch, wenn Ihre IT durch eine externe Firma betreut wird. So werden mög-liche Gefahren oder Risiken frühzeitig erkannt. Die Erfahrungen zeigen, dass die IT als Mittel zum Zweck


75

eingesetzt und wenig Zeit in Sicherheitsmassnahmen investiert wird. Auch externe Firmen sind immer mehr unter Zeit- und Gelddruck und versuchen, in der knap-pen Zeit alles zum Laufen zu bringen. Die Sicherheit ist dabei leider nicht immer im Mittelpunkt! Wählen Sie für die Kontrolle nicht Ihren bestehenden Partner, denn auch hier gilt: Wer gibt schon gerne die eigenen Fehler zu? Ein Audit läuft in der Regel wie folgt ab:

Abbildung 31: Ablauf eines Audits

Bedürfnisaufnahme

Mit dem Kunden zusammen wird der Fokus, sprich: die Tiefe der einzelnen Themen, festgelegt. Dies ist abhän-gig vom Wissen und Stand der IT.

Vorbereitung

Die dem Auditor zur Verfügung gestellten Unterlagen werden sorgfältig studiert und bilden die Grundlage für das nachfolgende Audit. Vorgängige Interviews können diesen Schritt abrunden.

Bedürfnisaufnahme

Vorbereitung

Audit

Auswertung

Präsentation

Nachbesprechung


76

Audit

Vor Ort, je nach Grösse und Anzahl der Standorte in circa 2 bis 3 Tagen (Fragenkatalog zur organisatori-schen Umgebung, technische Überprüfung von Ser-vern, Clients und Netzwerkelementen, Rundgang im Gebäude (Zutritt, Serverraum, Arbeitsplätze, Patch-Schränke etc.).

Auswertung

Erstellen des Gefahrenkataloges und der notwendigen (Gegen-)Massnahmen.

Präsentation

Präsentation und Besprechung der Resultate mit den IT-Verantwortlichen und der Geschäftsleitung. Die wich-tigsten Risiken und Massnahmen werden detailliert vorgestellt. Anschliessend wird der Bericht übergeben.

Nachbesprechung

Viele Fragen entstehen erst beim Studium der Unter-lagen. Daher ist es wichtig, offene Fragen an einer Nachbesprechung zu klären.

8.5 Zertifizierungen

Es gibt eine Vielzahl von Zertifizierungsmöglichkeiten15 im IT-Umfeld, aber lohnt sich eine entsprechende Zerti-fizierung? Diese Frage kann nicht mit Ja oder Nein beantwortet werden. Sicherlich lohnt sich eine Zertifizie-rung im internationalen Umfeld, oder wenn ein Partner dies fordert. Es darf sich aber niemals um eine Alibi-Übung handeln, sondern muss durchwegs gelebt wer-den.

Eine Zertifizierung kann auch als Qualitätsmerkmal verwendet werden. Vor allem im Bereich von sensiblen Daten (z.B. Kundendaten) ist eine Zertifizierung eine Garantie für korrekte und umfassende Massnahmen zum Schutz der anvertrauten Informationen.

Auch wenn keine Zertifizierung angestrebt wird, lohnt es sich, nach solchen Vorgaben den eigenen IT-Betrieb zu führen. So kann man sich auf Bestehendes verlassen und an die eigene Situation anpassen. Dies spart viel Zeit und Geld und garantiert ein lückenloses Vorgehen.

15 Unter de.wikipedia.org/wiki/Liste_der_IT-Zertifikate finden Sie eine

Vielzahl von IT-Zertifikaten, teilweise herstellerbezogene, aber auch unabhängige Zertifizierungen.


77

Zusammenfassend kann gesagt werden, dass zwar ein relativ grosser Aufwand damit verbunden ist, sich dieser aber sicherlich lohnen wird.16

16 Vorgehen zur Zertifizierung nach ISO 27001:

https://www.bsi.bund.de/ContentBSI/grundschutz/zert/ISO27001/Schema/zertifizierungsschema.html

Stichwortverzeichnis

78

9 Stichwortverzeichnis

Application-Layer-Firewall 54

Aufbewahrungspflicht 7

Availability 11

Awareness-Programm 38

B ac k up 59

Bedrohungsszenarien 24

Benchmarking 18

Betreiberrisiko 17

Betriebsprozesse 9

BIOS-Passwort 44

BSI 21

Buchführungsvorschriften 7

Chatten 28

CObIT 71

Code of Practice 20

Confidentiality 12

Content-Filter 54

Datenschutzgesetz 7

E-Commerce 17

E-Mail 47

FDA 10

Firewall 53

Geheimdienste 27

Geschäftsgeheimnisse 28

Identitätsdiebstahl 28

Images 61

Informationssicherheit 9

InfoSurance 33

Integrität 11

Intrusion Detection 66

IS-Beauftragte 16

IS-Massnahmen 19

ISO 27001 21

ITIL 71

IT-Sicherheit 9

Kostenoptimierung 16

Laptops 44

Managed Security Services 8

Mitarbeiterschulung 37

Mobiltelefone 28

Nachweisbarkeit 12

Netzwerksicherheit 53

Nutzenaspekte 17

Outsourcing 8

Paketfilter 54

Patentmissbrauch 28

PDAs 44

Personal Firewall 56

PGP 49

Phishing 43

Physische Bedrohungen 25

Policies 16

POP3 48

PRINCE2 72

Prozess-Verantwortliche 32

Remote-Gaming 28

Restore 59

Return on Security Investment 18

Risikoanalysen 29

Risiko-Management 32

ROSI 18

Schadenhäufigkeit 31

Schutzmassnahmen 37

Security Officer 5

Security-Management 72

Security-Policy 34

Sicherheitsbeauftragte 18

Sicherheitshandbuch Praxis 21

SLA 8

Social Engineering 45

Spam 39

Spionage 28

Spyware 42

Stateful Inspection 54

Tauschbörsen 28

Unversehrtheit 11

Verfügbarkeit 11

Verschlüsselung 48

Vertragsrecht 7

Vertraulichkeit 12

Vertraulichkeitsanforderungen 17

VLAN 68

X.509 51

Profil des Editionspartners

79

10 Profil des Editionspartners

Die Kernkompetenz der GO OUT Production GmbH ist die ganzheitliche Prüfung der IT-Sicherheit von unter-schiedlichen Unternehmungen und Behörden. Die Ana-lyse umfasst sowohl IT-spezifische Komponenten wie auch die IT-Organisation und IT-Strategien der Unter-nehmung.

Seit 1999 führen die Experten der GO OUT Production GmbH hersteller- und produkteneutrale Assessments in kleinen, mittleren und grösseren Unternehmungen aus allen Branchen durch.

Abbildung 32: Dienstleistungen der GO OUT Production GmbH

Die Kompetenzen der Auditoren umfassen: Dipl. Ing. FH, Dipl. Kom Techniker HF, ISO 27001 Lead Auditor, CISSP, Certified Ethical Hacker, Business Continuity Manager, OPST, MCITP Enterprise Server Administra-tor, IT-Sicherheitsbeauftragter BSI, compTIA Security+, ITIL Foundation v3 Version 2011, CISA.

Stetige Weiterbildungen garantieren ein umfassendes und aktuelles Audit mit auf Ihr Unternehmen angepass-ten Massnahmenvorschlägen.

Weitere Informationen über die Dienstleistungen und das Team sowie viele nützliche Informationen finden Sie im Internet unter www.goSecurity.ch.

GO OUT Production GmbH Schulstrasse 11 8542 Wiesendangen

052 320 91 20 www.goout.ch

Autorenteam & BPX

80

11 Autorenteam & BPX

Andreas Wisler

Dipl. Ing. FH, CISSP, CISA, ISO 27001 Lead Auditor, ITIL FE, Sicherheitsbeauftragter nach BSI

IT-Spezialist bei GO OUT Production GmbH, welche sich mit umfassenden Security Audits, Penetration Tests und Sicherheitsberatungen auseinander-setzt. Weiter unterrichtet er an der FHNW IT-Sicherheits-Themen.

Fredy Schwyter

Autor der 1. Auflage

Dipl. Ing. HTL/STV, CISA, CISM

Weiterbildung in Informationssicherheit:

www.hslu.ch

www.fhnw.ch

www.zhaw.ch

BPX steht für Best Practice Xperts

Martin & Martina Dalla Vecchia

Herausgeber der BPX-Booklets.

Ziel von BPX ist es, komplexe Themen praxisgerecht für das Management aufzubereiten: kurz & prägnant.

www.bpx.ch

Info

rmat

ion

ssic

her

hei

t fü

r K

MU

–S

ich

erh

eits

kon

zep

t &

pra

ktis

che

Um

setz

un

g

Informations-sicherheit für KMU

Andreas WislerFredy Schwyter

Gesetze & Verantwortung Grundschutz für KMU Praxis der

Informationssicherheit Kosten-Nutzen-Aspekte Technologie-Grundlagen Sicherheitskonzepte umsetzen Outsourcing &

Managed Security Services Praxisbeispiele Checklisten Trends

Was ist Informationssicherheit?Wie setzt ein KMU Sicherheitskonzepte um?Welche Gesetze sind zu beachten?Welche Verantwortung trägt das Management?Was sind Managed Security Services?Wie kann ein Grundschutz realisiert werden?Welche Schutzmassnahmen existieren?

In diesem Praxisleitfaden finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen. Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht.

Die Autoren Andreas Wisler und Fredy Schwytersind ausgewiesene Sicherheitsexperten. Anhand von Beispielen und Checklisten zeigen sie die zentralen Eckpunkte für ein modernes Sicherheits-konzept: Schritt für Schritt.

Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informations-quelle und ein übersichtliches Nachschlagewerk.

Rheinfelden/SchweizBPX-Edition 2013www.bpx.ch

30 CHF / 20 €

ISBN 978-3-905413-24-3

www.bpx.chwww.bpx.ch

Sicherheitskonzepte & praktische Umsetzung2. Auflage

Editionspartner: Editionspartner::

31

Documents

Informationssicherheit für KMU