Upload
bpx
View
231
Download
1
Tags:
Embed Size (px)
DESCRIPTION
Autor; Andreas Wisler Sicherheitskonzepte & praktische Umsetzung. Gesetze & Verantwortung, Grundschutz für KMU, Praxis der Informationssicherheit, Kosten-Nutzen-Aspekte, Technologie-Grundlagen, Sicherheitskonzepte umsetzen, Outsourcing & Managed Security Service, Praxisbeispiel, Checklisten Trends
Citation preview
Info
rmat
ion
ssic
her
hei
t fü
r K
MU
–S
ich
erh
eits
kon
zep
t &
pra
ktis
che
Um
setz
un
g
Informations-sicherheit für KMU
Andreas WislerFredy Schwyter
Gesetze & Verantwortung Grundschutz für KMU Praxis der
Informationssicherheit Kosten-Nutzen-Aspekte Technologie-Grundlagen Sicherheitskonzepte umsetzen Outsourcing &
Managed Security Services Praxisbeispiele Checklisten Trends
Was ist Informationssicherheit?Wie setzt ein KMU Sicherheitskonzepte um?Welche Gesetze sind zu beachten?Welche Verantwortung trägt das Management?Was sind Managed Security Services?Wie kann ein Grundschutz realisiert werden?Welche Schutzmassnahmen existieren?
In diesem Praxisleitfaden finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen. Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht.
Die Autoren Andreas Wisler und Fredy Schwytersind ausgewiesene Sicherheitsexperten. Anhand von Beispielen und Checklisten zeigen sie die zentralen Eckpunkte für ein modernes Sicherheits-konzept: Schritt für Schritt.
Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informations-quelle und ein übersichtliches Nachschlagewerk.
Rheinfelden/SchweizBPX-Edition 2013www.bpx.ch
30 CHF / 20 €
ISBN 978-3-905413-24-3
www.bpx.chwww.bpx.ch
Sicherheitskonzepte & praktische Umsetzung2. Auflage
Editionspartner: Editionspartner::
31
Andreas Wisler Fredy Schwyter
Informations- sicherheit für KMU
Sicherheitskonzepte & praktische Umsetzung 2., überarbeitete Auflage BPX-Edition Rheinfelden/Schweiz
2
BPX Best Practice Xperts E-Mail [email protected] Internet www.bpx.ch
Andreas Wisler, Fredy Schwyter
Informationssicherheit für KMU Sicherheitskonzepte & praktische Umsetzung
Vorwort von Prof. Dr. Bernhard Hämmerli Rheinfelden/Schweiz, BPX-Edition 2013 ISBN 978-3-905413-24-3
© 2013 BPX-Edition Rheinfelden
Hinweis: In diesem Booklet wird bei Bezeichnungen die männliche Form verwendet. Dies dient lediglich der Lesefreundlichkeit und schliesst die weibliche Form mit ein.
Alle Rechte, insbesondere die Übersetzung in fremde Sprachen, sind dem BPX-Verlag vorbehalten. Kein Teil des Buches darf ohne schriftli-che Genehmigung des Verlages fotokopiert oder in irgendeiner anderen Form reproduziert oder in eine von Maschinen verwendbare Form übertragen oder übersetzt werden.
Herstellung: BPX-Edition, Rheinfelden/Schweiz
Druck und Verarbeitung: Druckerei galledia ag, Flawil
3
1 Vorwort 4 2 Management Summary 5 3 Managementverantwortung 7 3.1 Managed Security Services 8 3.2 IT-Security und Informationssicherheit 9 3.3 Rechtliche Aspekte 12 3.4 IS – eine Managementherausforderung 15 3.5 Kostenoptimierung 16 3.6 Organisatorische IS-Massnahmen 19 4 Grundschutz für KMU 20 4.1 Grundschutz nach BSI 21 4.2 ISO 27 000 21 5 Praxis der Informationssicherheit 24 5.1 Bedrohungsszenarien 24 5.2 Risk Assessment /Risk Management 29 5.3 Massnahmen gegen bekannte Gefahren 32 5.4 Security-Konzepte 34 5.5 Business Continuity Management 36 5.6 Schutzmassnahmen versus Operabilität 37 5.7 Die Bedeutung der Mitarbeiterschulung 37 6 Gefahren 39 6.1 Spam 39 6.2 Bot-Netze, Malware 42 6.3 Phishing 43 6.4 Mobiler Zugriff 44 6.5 Social Media 45 6.6 Social Engineering 45 7 Sicherheitsmassnahmen 47 7.1 E-Mail 47 7.2 Netzwerksicherheit 53 7.3 Firewall 53 7.4 Personal Firewall 56 7.5 Patchen 58 7.6 Backup/Restore 59 7.7 Cloud 65 7.8 Intrusion Detection 66 7.9 Sichere Kommunikation mit VPN 68 7.10 Biometrie 69 8 Informationssicherheit umsetzen 71 8.1 Projektmanagement 71 8.2 Security-Management 72 8.3 Akzeptanz von Sicherheitsmassnahmen 74 8.4 Make or Buy 74 8.5 Zertifizierungen 76 9 Stichwortverzeichnis 78 10 Profil des Editionspartners 79 11 Autorenteam & BPX 80
Vorwort
4
1 Vorwort
Das Geheimnis hinter effektiver Informationssicherheit heisst: Sie muss gelebt werden! Diese Aussage aus dem Awareness-Film von Sun Microsystems wurde im vorliegenden Booklet von den zwei Autoren speziell für KMU treffend umgesetzt.
Informationssicherheit beginnt beim Management. Da besteht aus meiner Erfahrung gesehen noch viel Nach-holbedarf. Es scheint mir wichtig, dass die Geschäfts-führung sich mit diesem Thema zuerst ausführlich befasst, die richtigen Massnahmen plant und anschlies-send Kontrollprozesse zur Prüfung einsetzt. Es ist wie bei einem Hausbau: Der Besitzer muss Vorgaben ma-chen und danach die Ausführung kontrollieren. Damit lässt sich viel Ärger vermeiden.
Die Erfahrung zeigt, wie Katastrophen-Vorsorge das Überleben sichert. Auch KMU sind heutzutage vom funktionierenden Informationsfluss zunehmend abhän-gig. Viele Beispiele belegen: Wer bei einer Katastrophe einen durchdachten Vorsorgeplan umsetzen kann, hat gute Chancen zu überleben. Wer diese Möglichkeit nicht hat, meldet Konkurs an.
Den beiden Autoren ist es bestens gelungen, den sinn-vollen Einsatz von Standards aufzuzeigen. Nicht jeder muss das Rad neu erfinden. Es sind die wichtigsten Standards beschrieben: fürs Management ISO/IEC 27001, für die Technik die Grundschutztools vom deut-schen Bundesamt für Sicherheit in der Informatik und für exportorientierte Firmen mit Lieferung in die USA die Common Criteria.
Für die interessierten Leser findet sich auch eine gute Ausführung über die State-of-the-Art Technology im Sicherheitsbereich. Diese ist für KMU vor allem wertvoll, um Ausfallkosten bei der IT zu sparen.
Viele praktische Hinweise helfen dabei, Informations-sicherheit zu realisieren und zu leben. Solche Sicherheit
ist nicht nur auf IT beschränkt: Auch Betriebsprozesse von Information, Gesetze und Mitarbeitende sind von höchster Wichtigkeit für das Unter-nehmen. Lesen Sie dazu ins Booklet hinein!
Prof. Dr. Bernhard Hämmerli
Hochschule Luzern
Management Summary
5
2 Management Summary
Informationssicherheit steht heute zuoberst auf der Prioritätenliste weitsichtiger KMU-Führungskräfte. In allen Betrieben spielt Information eine entscheidende Rolle, und diese gilt es zu schützen. Oder haben Sie schon einen General gesehen, welcher seine Soldaten schutzlos in den Krieg schickt?
Der Vergleich mit Krieg ist insofern zulässig, als jeder Computer am Internet von überall in der Welt her ange-griffen werden kann. Und die Angriffsszenarien werden immer ausgefeilter. Dazu kommt, dass nur ausgebilde-tes Personal die wichtigen Informationen sicher hand-haben kann. Von nicht ausgebildetem Personal richtige Entscheidungen zu erwarten, ist sinnlos. Vier wichtige Punkte möchten wir besonders hervorheben:
Informationssicherheit (IS) ist eine Management-aufgabe
Ein Katastrophen-Vorsorgeplan hilft, im Worst Case zu überleben
Für IS und deren Unterhalt muss Budget bereitge-stellt werden
Zuverlässiges Personal gibt es nur mit Ausbildung
Kleinere KMU haben meist die personellen Ressourcen nicht, um einen eigenen Information Security Officer einzustellen. In diesen Fällen ist es sinnvoll, diese Auf-gaben an ein spezialisiertes Unternehmen auszulagern. Doch auch beim Outsourcing von IS bleibt die Verant-wortung dafür bei der Unternehmensführung.
Gelebte IS bringt auch eine Reihe von Vorteilen, z.B.:
Das Vertrauen der Kunden steigt Kredite werden günstiger Mit Vorausdenken lässt sich viel Geld sparen Weniger Ärger wegen nicht zuzuordnender Fehler Es gibt weniger Kundenklagen Gut ausgebildetes Personal unterstützt Sie Ihr Unternehmen ist für den Notfall vorbereitet und
kann überleben
Management Summary
6
In diesem Booklet erfahren Sie:
Worauf zu achten ist bei der Entwicklung von Informationssicherheit
Wie die Gesetzeslage aussieht Welche Standards Ihnen helfen Wo die heutigen Gefahren liegen Wie Sie Risiken in den Griff bekommen können Welche Technologien Ihnen zur Verfügung stehen Wie Sie IS nach State-of-the-Art umsetzen können
«Die Anforderungen an und die Abhängigkeit von der IT nehmen immer mehr zu. Auch die Komplexität hat stark zugenommen, viele Projekte stehen zudem unter grossem Zeitdruck. Auf der anderen Seite nehmen die Gefahren und Risiken ebenfalls rapide zu. Das orga-nisierte Verbrechen hat längstens den Weg ins Inter-net gefunden und verdient viel Geld mit Angriffen, Erpressungen, mit Spam und Malware. Daher ist es essenziell wichtig, auf die neuen Bedrohungen vorbe-reitet zu sein und entsprechende Massnahmen proak-tiv zu ergreifen. Dieses Booklet soll Ihnen einen Überblick bieten.»
Andreas Wisler
Das Geheimnis von guter Informationssicherheit liegt darin, dass sie gelebt wird!
«Auch mittelständische Unternehmen werden zuneh-mend von IT-Sicherheitsvorfällen bedroht – Beispiele sind der Verlust von geistigem Eigentum oder die Nichtverfügbarkeit der angebotenen Kerndienstleis-tungen. Im Gegensatz zu Grossfirmen sind kleine und mittelständische Unternehmen jedoch oft nicht in der Lage, den entsprechenden Aufwand zum Schutz der Informatikmittel und der darauf basierenden Abläufe zu leisten – eine mögliche Lösung kann hier in der Nutzung seriöser ‹Managed Security Services› lie-gen.»
Prof. Dr. Hannes Lubich
FHNW
Managementverantwortung
7
3 Managementverantwortung
Die Geschäftsleitung hat die Verpflichtung, Massnah-men zur Gewährleistung von Informationssicherheit im Unternehmen umzusetzen. Folgende gesetzliche Be-stimmungen enthalten Forderungen dazu:
Buchführungsvorschriften: Buchführungsrecht, Revisionsgesetz (neue Version 2007) mit Kontrolle des internen Kontrollsystems inklusive Risiko-beurteilung.
Aufbewahrungspflicht: Normalerweise 10 Jahre. Diese Zeitspanne kann zwecks Beweispflicht aber auch länger sein.
Öffentlich-rechtliche Vorschriften, z.B. bezüglich Auskunftspflicht, Berufsgeheimnisse usw.
Strafrecht, z.B.: Unbefugtes Eindringen in ein Da-tenverarbeitungssystem oder Datenbeschädigung kann nur geahndet werden bei Nachweis von spe-ziellen Schutzmassnahmen.
Aktienrecht: definiert die Organhaftung von Verwal-tungsrat und Geschäftsleitung. Sie kann neu bis zur Haftung mit dem persönlichen Eigentum gehen.
Vertragsrecht: Gewährleistung der angebotenen Leistungen, Schadenersatz.
Branchenspezifische Rechtsvorschriften: beispiels-weise in der Pharmabranche, bei Banken, Ver-sicherungen, im Gesundheitswesen oder in der Nahrungsmittelverarbeitung.
Datenschutzgesetz: Gesetz über den Schutz von Personendaten auf kantonaler und eidgenössischer Ebene.
Persönlichkeitsrecht: Überwachung, Genugtuung, Schadenersatz.
Aufgrund dieser Aufzählung könnte manch einer auf die Idee kommen, gesetzliche Vorschriften seien der Hauptgrund zum Einsatz von Sicherheitsmassnahmen. Tatsache ist jedoch, dass Gesetze meist erst dann erlassen werden, wenn deren Einhaltung bereits gängi-ge Praxis ist – oder zur Vermeidung von grösserem Schaden.
Die Durchsetzung von Compliance mit bestehenden Gesetzen liegt in der Verantwortung des Verwaltungs-rats und der Geschäftsleitung. Der Einsatz heutiger Informations-Sicherheits-Management-Systeme er-leichtert und unterstützt diese Aufgabe wesentlich.
Managementverantwortung
8
3.1 Managed Security Services
Vergibt ein Unternehmen Teile seiner Informationsver-arbeitung an ein externes Unternehmen in Form von Outsourcing, dann müssen zusätzliche Kriterien beach-tet werden. Wichtige Punkte dabei sind:
Die Verantwortung bleibt beim Auftraggeber Überprüfbare Service Level Agreements (SLA) Gemeinsames Sicherheitskonzept Einhaltung der Lizenzbedingungen Umsetzung branchenspezifischer Vorschriften Datenschutzgesetze, v.a. bei grenzüberschreiten-
den Transaktionen
Um die wichtigste Ressource in heutigen Unternehmen zu sichern, ist es unabdingbar, dass das oberste Ma-nagement sich diese Aufgabe zuoberst auf die Prioritä-tenliste setzt. Mitarbeitende richten sich automatisch auf die Vorgaben der Geschäftsleitung aus. Fehlen diese Vorgaben oder haben sie eine niedere Priorität, dann kann nicht von Informationssicherheit gesprochen wer-den.
Beispiel: Bekommt eine Sekretärin von ihrem Chef den Auftrag, mit seinem Passwort die Verträge kurz auszu-drucken, zu denen sie mit ihrem Passwort keinen Zu-griff hat, dann zeugt dies zwar von grossem Vertrauen seitens des Chefs, aber diese Sekretärin wird alle ande-ren Sicherheitsvorschriften nur als lästiges Übel emp-finden. Sie wird vermutlich versuchen, wo immer es geht, diese zu umgehen. (Z.B.: Anstatt die Verträge der Geschäftspartnerin verschlüsselt zuzustellen, werden diese unverschlüsselt übertragen.) Und was für die Chefsekretärin gut ist, wird von allen anderen Mitarbei-tenden in Kürze nachgeahmt. Damit verlieren Aufwen-dungen für die Informationssicherheit an Wert.
Oft ist es noch schlimmer, da man sich der Gewissheit hingibt, «wir tun ja etwas für die Informationssicher-heit», z.B. durch regelmässige Backups. Da diese aber mangels Kapazität nie durch Restore (zurückspielen und auf Funktionstüchtigkeit testen) überprüft wurden und oft auch nicht in feuersicheren Behältern aus-serhalb des Betriebes lagern, werden sie im Falle einer Feuersbrunst oder bei Wasserschaden im Serverraum nicht mehr zu gebrauchen sein.
Dazu kommt, dass gerade grössere Schäden dort vor-kommen, wo das Personal denkt: Das kann bei uns nie passieren.
Managementverantwortung
9
Locker gehandhabte Informationssicherheit aufgrund fehlenden Managementsupports ist schlimmer als keine!
3.2 IT-Security und Informationssicherheit
IT-Sicherheit ist ein wichtiger Teil von Informations-sicherheit. Damit lassen sich vor allem die Risiken der Informationsverarbeitungs- und -übertragungsanlagen stark reduzieren. Bei gesamtheitlicher Betrachtung eines Unternehmens bestehen jedoch zusätzlich viele andere Risiken, z.B. in der Organisation, beim Personal, bei den nicht IT-unterstützten Betriebsprozessen, beim Informationsaustausch zwischen Unternehmen und seinem weltweiten Umfeld sowie bei den erweiterten Gesetzesvorschriften.
Abbildung 1: Zusammenhänge in der Informationssicherheit
Zusammenhänge in der Informationssicherheit
Geschäftsprozess
Aufbe-wahrungs-
pflicht
Öffentlich-rechtliche
Vorschriften
Buch-führungs-
vorschriften WeltweitesUmfeld
Vorschriften und Gesetze
Teil-Prozesse mit IT-Unterstützung
Teil-Prozesse ohne IT-Unterstützung
Unternehmen
Daten-schutz
IT-Applikationen
Organisation Menschen
Info
rmat
ion
en
Info
rma
tio
nss
ich
erh
eit
Managementverantwortung
10
Praxisbeispiel:
Ein Unternehmen mit circa 150 Personen im schwei-zerischen Mittelland fabriziert chemische Zwischen-produkte zur Herstellung von Medikamenten, welche auch in die USA exportiert werden. Damit unterliegt es auch den Vorschriften der amerikanischen Food and Drug Administration (FDA), welche teilweise auch vor Ort Kontrollen durchführt. Die Informationen, welche dieses Unternehmen anderen Unternehmen weltweit zur Verfügung stellt, unterliegen vielfältigen Gesetzes-bestimmungen anderer Länder wie auch denen der Schweiz. Werden dabei z.B. den Kunden interaktive, verschlüsselte Verbindungen zum Datenaustausch zur Verfügung gestellt, sind detaillierte juristische Abklä-rungen dringend empfohlen. Sonst kann es passieren, dass der CEO des Unternehmens beispielsweise zu einem Prozess in Singapur vorgeladen wird, weil die Übertragung von Kundendaten in diesen Staat auch über verschlüsselte Verbindungen unzulässig ist.
Abhängigkeiten in den Griff bekommen
Üblicherweise wollen Unternehmerinnen und Unter-nehmer Erfolg haben, sprich: Gewinn erwirtschaften. Da heutzutage die meisten Betriebsprozesse zunehmend von Informations- und Telekommunikationstechnologien (ICT) unterstützt werden, sind sie davon auch immer mehr abhängig. Wie gross die Abhängigkeit ist, ist eine Frage der Betriebsprozesse. Wenn beispielsweise Zu-gänge zu Fahrzeugen via SMS freigeschaltet werden, dann ist die Abhängigkeit von mobiler Telefonie sehr hoch. Versierte Security-Beauftragte finden jedoch auch bei solchen Problemen Möglichkeiten zur Reduktion der Abhängigkeit. Wichtig ist, dass diese erkannt und ana-lysiert werden.
Die Abhängigkeit von ICT steigt an. Informationen werden zunehmend businesskritischer. Diese Abhän-gigkeiten können Sie mit geeigneten Massnahmen reduzieren.
Grundbausteine von Informationssicherheit
Der Hauptzweck der Informationssicherheit ist, dass die Informationen eines Unternehmens zur richtigen Zeit, in der richtigen Qualität, am richtigen Ort und der richtigen Person zur Verfügung stehen. Dies wird erreicht, indem die Verfügbarkeit, die Integrität, die Vertraulichkeit und erweitert durch die Belegbarkeit sichergestellt werden. Diese vier Begriffe werden im Folgenden erläutert:
Managementverantwortung
11
Abbildung 2: Grundbausteine der Informationssicherheit
Verfügbarkeit (Availability)
Die Verfügbarkeit eines Systems wird umschrieben mit der Eigenschaft eines Systems, sämtliche Daten und Funktionen zu einem bestimmten Zeitpunkt zur Verfü-gung stellen zu können. Denial-of-Service-Attacken (totale Verweigerung des Dienstes) zum Beispiel führen zu Verlusten der Verfügbarkeit, da die Kommunika-tionsinfrastrukturen dadurch den Unternehmen für die Abwicklung der Tagesgeschäfte nicht mehr zur Verfü-gung stehen. Die Verfügbarkeit eines (Informations-) Systems wird definiert durch den Grad des Zuganges und der Funktionalität in Abhängigkeit zur vereinbarten Servicezeit. Wertmässig investieren Unternehmen im Bereich der Sicherheit am meisten Geld.
Integrität (Integrity, Unversehrtheit)
Lässt ein System unbefugte oder unbeabsichtigte Ver-änderungen an Daten oder an der Software zu, so ist deren Integrität verletzt. Es kann somit nicht mehr ga-rantiert werden, dass alle sicherheitsrelevanten Objekte vollständig, unverfälscht und korrekt sind. Viren können Daten und Programme derart verändern, dass die In-tegrität verletzt wird. Aber auch Mitarbeiter sind oft der Grund für solche Verletzungen.
Die Unversehrtheit der Daten über alle Geschäftspro-zess-Schritte hinweg schliesst eine gesicherte Übertra-gung und Speicherung der Daten mit ein. Der Grad der Integrität des Informationssystems (IS) hängt somit nicht nur vom Backup-Konzept, sondern auch von der Sicherung der Netzwerk-Übertragung ab (z.B. durch Verschlüsselung).
Managementverantwortung
12
Vertraulichkeit (Confidentiality)
Darunter wird verstanden, dass nur bestimmte Perso-nen oder Prozesse auf Daten oder Systeme zugreifen können oder dürfen. Soll die Vertraulichkeit gewahrt werden, müssen die Daten so gesichert sein, dass ein Zugriff nur denjenigen Nutzern möglich ist, welche durch Zugriffsrechte die Erlaubnis erhalten. Fehler im Zugriffschutzsystem oder eine schlecht betriebene oder unterhaltene Zugriffstabelle können zum Verlust dieser Vertraulichkeit führen. Vertraulichkeit kann z.B. mit Verschlüsselung der Daten bei ihrer Übertragung oder Speicherung gewahrt werden.
Nachweisbarkeit (Non-Repudiation)
Ein weiterer wichtiger Punkt ist die Transaktionssicher-heit, die unter anderem dadurch gewährleistet sein muss, dass mit Sicherheit die Identitäten des Senders und des Empfängers erfasst werden können. Ist die Nicht-Abstreitbarkeit nicht gewährleistet, dann kann es vorkommen, dass ein Kunde im E-Commerce behaup-tet, dass er die gelieferte Ware nie bestellt habe. Dies verursacht grosse Umtriebe, die der Anbieter selber zu tragen hat. Oft ist dabei ein Zeitstempel mit inbegriffen, da der Zeitpunkt von Aktivitäten (z.B. Kauf von Aktien-titeln) entscheidend sein kann.
3.3 Rechtliche Aspekte
3.3.1 Strafgesetz
Straftaten erfolgen immer mehr auch im elektronischen Bereich. Die Verfolgung ist dabei alles andere als ein-fach. Im Schweizerischen Strafgesetzbuch (StGB) sind einige Artikel vorhanden, die gegen Computerkriminali-tät zielen. Diese werden nachfolgend kurz vorgestellt.
Unbefugte Datenbeschaffung (StGB Art. 143)
Wer in der Absicht, sich oder einen andern unrecht-mässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespei-cherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zu-griff besonders gesichert sind, wird mit Freiheits-strafe bis zu fünf Jahren oder Geldstrafe bestraft.
Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.
Managementverantwortung
13
Unbefugtes Eindringen in ein Datenverarbeitungs-
system (StGB Art 143bis)
Wer auf dem Wege von Datenübertragungseinrich-tungen unbefugterweise in ein fremdes, gegen sei-nen Zugriff besonders gesichertes Daten-verarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheits-strafe bis zu drei Jahren oder Geldstrafe bestraft.
Datenbeschädigung (StGB Art 144bis)
Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten ver-ändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.
Wer Programme, von denen er weiss oder anneh-men muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, ein-führt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstel-lung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden.
Betrügerischer Missbrauch einer Datenverarbei-tungsanlage (StGB Art 147)
Wer in der Absicht, sich oder einen andern un-rechtmässig zu bereichern, durch unrichtige, un-vollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elekt-ronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Ver-mögensverschiebung unmittelbar darnach ver-
Managementverantwortung
14
deckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft.
Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft.
Der betrügerische Missbrauch einer Datenverarbei-tungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.
Herstellen und Inverkehrbringen von Materialien zur unbefugten Entschlüsselung codierter Angebote
(StGB Art 150bis)
Wer Geräte, deren Bestandteile oder Daten-verarbeitungsprogramme, die zur unbefugten Ent-schlüsselung codierter Rundfunkprogramme oder Fernmeldedienste bestimmt und geeignet sind, herstellt, einführt, ausführt, durchführt, in Verkehr bringt oder installiert, wird, auf Antrag, mit Busse bestraft.
Versuch und Gehilfenschaft sind strafbar.
3.3.2 Datenschutzgesetz
Das Datenschutzgesetz − kurz DSG − bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Es gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch Private und Bundesorgane.
Gebote zur Einhaltung des Schutzes der Privatsphäre:
Daten dürfen nur rechtmässig beschafft werden (Art. 4 Abs. 1 DSG), d.h. bei der Beschaffung dür-fen die Personen, welche Informationen geben sol-len, weder irregeführt noch unter Druck gesetzt werden.
Die Bearbeitung muss sich, gemessen am Bearbei-tungszweck, auf die Daten beschränken, die ge-eignet und erforderlich sind (Art. 4 Abs. 2 DSG), um einen bestimmten, legitimen Bearbeitungszweck zu erreichen. Dies ist das Prinzip der Verhältnis-mässigkeit.
Daten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorge-sehen ist (Art. 4 Abs. 3 DSG).
Wer Daten bearbeitet, hat dafür zu sorgen, dass die Informationen korrekt sind (Art. 5 DSG). Korrekt sind sie dann, wenn sie nicht nur inhaltlich richtig,
Managementverantwortung
15
sondern wenn sie auch aktuell und entsprechend dem Bearbeitungszweck vollständig sind.
Die Bekanntgabe von besonders schützenswerten Daten und Persönlichkeitsprofilen ist nur mit Einwil-ligung der betroffenen Person gestattet (Art. 12 Abs. 2 lit.a DSG).
Daten dürfen nur in Länder transferiert werden, in denen ein gleichwertiger Datenschutz gewährleistet ist (Art. 6 Abs. 1 DSG).
Daten müssen durch angemessene technische oder organisatorische Massnahmen gegen unbe-fugtes Bearbeiten gesichert werden (Art. 7 DSG).
Den Betroffenen ist Einsicht in ihre Daten zu ge-währen (Art. 8ff DSG).
3.3.3 Internes Kontrollsystem IKS
Mit der Anpassung des Obligationenrechts wurde im Artikel 728a die Kontrolle des internen Kontrollsystems durch die Revisionsstelle obligatorisch.
Das IKS ist ein Managementinstrument zur zweckmäs-sigen Sicherstellung von Unternehmenszielen in den Bereichen «Prozesse», «Informationen», «Vermögens-schutz» und «Compliance». Das IKS umfasst alle dafür von der Geschäftsleitung planmässig angeordneten organisatorischen Methoden und Massnahmen.
Weitere Informationen finden Sie im INFONEWS 3.08 „Internes Kontrollsystem“ unter www.infonews.ch.
3.4 IS – eine Managementherausforderung
Überall, wo Geld, Macht oder Politik ein grosses Ge-wicht haben, existieren auch andere Kräfte, die sich stark dafür interessieren. So wie eine Unternehmerin die Konkurrenz im Auge behält, muss sie auch um die wichtigsten Güter im eigenen Unternehmen besorgt sein. Das grosse Problem dabei ist, dass wir für diese Art von lauernden Gefahren keine Sensoren haben. Um die daraus entstehenden Risiken richtig einzuschätzen, müssen wir uns auf eigene Erfahrungen oder auf die-jenigen von anderen abstützen. Um dieses Problem zu reduzieren, helfen vor allem die Ernennung eines Informationssicherheits-Beauftragten mit detaillierter Stellenbeschreibung, die Bereitstellung von Budget für IS gemäss Best Practice sowie die Einforderung und Kontrolle regelmässiger Reports, bezogen auf den aktuellen Stand der Informationssicherheit.
Managementverantwortung
16
Abbildung 3: Führungsprozess der Informationssicherheit
Der IS-Beauftragte soll zuständig sein für die Budget-erstellung, die Einführung von Sicherheitsprozessen, deren Kontrollen und regelmässiges Reporting direkt an die Geschäftsleitung. Nur wenn die Geschäftsleitung diese Berichte auch auf Einhaltung der Vorgaben über-prüft, ist sie ihren Verpflichtungen nachgekommen.
Die Erfahrung zeigt:
Wer nicht (oder schlecht) führt, der hat mehr Aufwand (und zusätzlichen Ärger mit Ad-hoc-Aktionen)!
Zur Führung gehört auch, Vorschriften (Policies) zu erlassen und deren Umsetzung zu kontrollieren. Bei-spiele von Policies im Bereich Informationssicherheit finden Sie auf der Website von SysAdmin, Audit, Net-work, Security Institute (SANS): www.sans.org. Dort finden Sie auch andere vielfältige Hinweise zu IS. Da zur Erstellung von Policies sehr viel spezifische Erfah-rung gehört, muss dies ein Bestandteil der Stellenbe-schreibung eines Sicherheitsbeauftragten sein oder von einer dazu spezialisierten Firma.
3.5 Kostenoptimierung
Es ist zur Gewohnheit geworden, Firmengelände gegen unbefugten Zutritt zu sichern. Denn es gilt zu vermei-den, dass vertrauliche oder gar geheime Unter-
Geschäftsleitung
Sicherheitsbeauftragter
Umsetzung & Kontrolle von IS-Massnahmen
RegelmässigerReport
KO
NT
RO
LL
E
Managementverantwortung
17
nehmensinformationen das Gelände verlassen oder Sabotageakte durchgeführt werden können.
Heute sind die Angriffe auf ein Unternehmen weniger physischer als vielmehr virtueller Natur.
Die Erfahrung hat gezeigt, dass schon mit relativ einfa-chen Methoden ein gutes Sicherheitsniveau erreicht werden kann, wenn sie konsequent angewendet wer-den. Dies gilt für KMU mit durchschnittlichen Sicher-heitsanforderungen.
Sobald aber Verkaufsaktivitäten übers Internet (E-Commerce), spezielle Vertraulichkeitsanforderungen (z.B. Anwaltskanzlei) oder andere, besonders schüt-zenswerte Geschäftsprozesse eine wichtige Rolle spie-len (z.B. bei Versicherungen, Banken, Infrastruktur-dienstleistern wie Telekommunikationsanbieter oder Elektrizitätswerke usw.), sind höhere Sicherheits-niveaus dringend empfohlen (z.B. durch die Einführung von Standards wie ISO 27001 oder IT-Grundschutz-Kataloge vom BSI).
3.5.1 Nutzenaspekte
Unternehmen, die Informationstechnologie einsetzen, tragen hierfür ein Betreiberrisiko. Das Management hat zu entscheiden, welche Risiken durch den IT-Sicherheitsprozess gemanagt werden sollen und wel-che als Restrisiken zu behandeln sind. Unterlässt es diese Massnahme, kann es im Schadenfall zur Re-chenschaft gezogen werden.
Mit Sicherheitsvorkehrungen will nichts anderes erreicht werden als sicherzustellen, dass der Betrieb in jedem Fall ordnungsgemäss weiterläuft. So kann ein mehr-tägiger Ausfall der IT für das eine Unternehmen den sicheren Ruin bedeuten, für das andere Unternehmen nicht mehr als einen Verlust von Deckungsbeiträgen.
Eine hundertprozentige Sicherheit gibt es nicht, und die versicherungstechnischen, bezahlbaren Möglichkeiten sind begrenzt. Die Sicherheitsausgaben liegen bei vie-len IT-Projekten erfahrungsgemäss zwischen 2% und 10% (nicht berücksichtigt sind dabei grössere Projekte und Migrationen).
3.5.2 Kostenbetrachtungen
Es gibt einige Möglichkeiten, wie die Kosten der Sicher-heit kalkuliert werden können. Jedoch keine davon löst das Problem vollständig. Zwei Ansätze seien hier er-wähnt:
Managementverantwortung
18
Return on Security Investment (ROSI). Dabei wer-den die Kosten für die Gefahrenabwehr den fiktiven Erträgen aus der Vermeidung einer Gefahr gegen-übergestellt. Nachteil: Bei diesem Modell müssen die Einsparungen geschätzt werden. Es handelt sich um eine Berechnung analog des ROI.
Benchmarking: Es werden Vergleiche mit ähnlich gelagerten Unternehmen gezogen.
Nachträgliche Einführung von Sicherheit ist immer kos-tenintensiv. Am meisten Geld lässt sich sparen, wenn bei Neuinvestitionen vom Lieferanten ein IS-Konzept verlangt wird, welches auf die aktuelle Betriebsinfra-struktur abgestimmt ist. Dazu sind die Lieferanten von Beginn weg anzuweisen, die vorhandenen Richtlinien (Policies) einzuhalten.
Bereits bei der Produktauswahl sollte auf den Unter-haltsaufwand geachtet werden. Möglichst für eine Funk-tionalität nur Produkte von einem Lieferanten einsetzen! Andernfalls werden die Komplexität und diverse Risiken (beispielsweise das Vulnerability-Risiko) gesteigert. Die Unterhaltskosten können dadurch deutlich steigen.
Eine weitere Einsparungsmöglichkeit ist das Profitieren von den Erfahrungen anderer. So ist es durchaus sinn-voll, dass der Sicherheitsbeauftragte in einer Erfa-Gruppe von IS-Experten mitarbeitet. In der Schweiz bieten sich einige Möglichkeiten dazu.1
Die Firma GO OUT Production GmbH bietet seit 2003 in regelmässigen Abständen ein hersteller- und produkte-neutrales IT-Security Forum mit spannenden Referaten aus der Praxis an. Die Präsentationen und seit 2012 die Videos finden Sie unter: www.itsecurityforum.ch.
Auf der Nutzenseite von effektiver IS stehen:
Erhöhtes Vertrauen der Kunden Übersicht über den Zustand im Unternehmen Vorbereitet sein auf negative Ereignisse Kürzere Reaktionszeiten bei negativen Vorfällen Überlebensfähigkeit im Katastrophenfall (initiiert
und gesteuert durch das Management) Höhere Motivation des Personals Geringere Schadenkosten
1 z.B. Information Swiss Security Society: www.isss.ch, ISACA Switzer-
land: www.isaca.ch
Managementverantwortung
19
3.6 Organisatorische IS-Massnahmen
Grundsätzlich gilt auch hier, dass die Unternehmens-führung für die Einführung, Umsetzung und Kontrolle von IS-Prozessen die Verantwortung übernehmen muss.
Folgende organisatorische Punkte sollten in jeder KMU realisiert sein:
Aktuelle und regelmässig überprüfte Sicherheits-prozesse sind eingeführt
Für die wichtigen Informationsbereiche sind Richt-linien erstellt
Es existiert ein rollen- oder gruppenbasiertes Zugriffskonzept
Die Benutzerkonten werden bei personellen Ver-änderungen nachgeführt/gelöscht
Die Mitarbeiter sind auf IS geschult (Awareness) Eine Risikoanalyse wird regelmässig durchgeführt
und beurteilt (evtl. ergänzt mit einer Business Im-pact Analyse BIA)
Angepasste Sicherheitsmassnahmen sind umge-setzt
Für die geschäftskritischen Prozesse existiert ein Betriebshandbuch
Es wurde ein Notfall- oder Katastrophen-Vorsorge-plan erstellt und wird regelmässig getestet
Neue Software und Patches werden vor der Instal-lation getestet
Gesetzliche Auflagen werden periodisch auf Ein-haltung überprüft (Beachtung auch von ausländi-schen Gesetzen)
Es ist ein IS-Beauftragter mit entsprechenden Rechten und Pflichten ernannt
Die regelmässigen Reports des IS-Beauftragten werden kontrolliert und bearbeitet (z.B. Pendenzen-listen)
Grundschutz für KMU
20
4 Grundschutz für KMU
In der Praxis hat sich bewährt, auf einen guten Grund-schutz zu achten, d.h. alle Geschäftsprozesse werden unabhängig von ihrer Risikoeinstufung möglichst gut gesichert. Ist das Unternehmen speziellen Risiken aus-gesetzt, dann sind eine spezifische Risiko-Analyse und darauf basierend erhöhte Sicherheitsmassnahmen un-umgänglich.
Um die Entwicklung von Sicherheitskonzepten zu ver-einfachen, wurden Standards (Normen) geschaffen. Nachfolgend eine Übersicht über die meist angewand-ten:
Abbildung 4: Übersicht über die Rahmenwerke in IS: COP, CobiT, BSI-IT-Grundschutz-Kataloge, ITSEC / CC, DSG
In Europa ist ISO 27001, hervorgegangen aus dem Code of Practice (COP) für das Management von In-formationssicherheit, am meisten gebräuchlich. Zur Abdeckung des Grundschutzes in der IT wird oft auf die BSI-IT-Grundschutz-Kataloge abgestützt. Liefert eine Firma Waren oder Software in die USA, dann sind oft Zertifikate nach Common Criteria gefordert. Jede Firma in der Schweiz untersteht dem Datenschutzgesetz. Meldepflichtig sind Datenbanken mit sensiblen Perso-nendaten (wie Geburtsdatum, Religion oder Gesund-heitsdaten).2
2 Verschiedenen Ausbildungsprogramme und Checklisten finden Sie
unter www.datenschutz.ch und www.edoeb.admin.ch.
Informationssicherheit umsetzen
71
8 Informationssicherheit umsetzen
8.1 Projektmanagement
Unter Projektmanagement versteht man die Gesamtheit von Führungsaufgaben, -organisation, -techniken und -mitteln für die Abwicklung eines Projektes (Definition nach DIN-Norm 69901). Als Hauptelement steht der Prozess, welcher eine sachlogisch zusammenhängen-de Reihe von zielgerichteten Tätigkeiten zur Erreichung eines definierten Ergebnisses und dabei Kosten durch den Verbrauch von Ressourcen verursacht. Die Merk-male eines Prozesses sind: Ziel, Aktivität (Tätigkeiten), Bedingungen (soziales Umfeld), Input (Auslöser), Out-put (Ergebnis) und die Qualität (Leistungsindikatoren).
Abbildung 29: Projektmanagement
Als wichtige Normen seien hier ITIL, CobiT, PRINCE2 und ISO 20000 genannt.
ITIL
ITIL ist eine herstellerunabhängige Sammlung von Best Practices, mit denen IT-Organisationen über einen prozessorientierten, skalierbaren Ansatz ermöglicht wird, Effizienzsteigerungen innerhalb ihrer IT-Prozesse zu erzielen. ITIL steht als Abkürzung für «Information Technology Infrastructure Library».
CobiT
Das CobiT-Modell (Control Objectives for Information and related Technology) wurde von Revisoren aus der Industrie und dem Berufsstand (ISACA – Information Systems and Control Association) auf Basis bestehen-der Revisionsrichtlinien, von Kontrollmodellen und branchenspezifischen Regularien und Richtlinien entwi-ckelt. Bei der Entwicklung von CobiT galt es, dem An-
Prozessbedingungen
Prozess-owner
Qualitätsparameter & Leitungsindikatoren
Ziele desProzesses
Ressourcen Rollen
Input(inklusive Spezifikationen)
Output(inklusive Spezifikationen)
Aktivitäten undSubprozesse
Prozessausführung
Prozessüberwachung
Informationssicherheit umsetzen
72
spruch eines IT-spezifischen Kontrollsystems gerecht zu werden, welches in optimaler Weise die bestehen-den wie auch die zukünftigen Geschäftsprozesse unter-stützt.
PRINCE2
PRINCE steht für PRojects IN Controlled Environments und wurde 1989 erstmals von der CCTA – Central Computer and Telecommunications Agency – als der Standard der britischen Regierung für IT-Projektmanagement ins Leben gerufen. Durch ständige Weiterentwicklung wurde daraus ein generischer An-satz zur Steuerung, Organisation und zum Management von Projekten jeglicher Art und Grösse.
ISO 20000
ISO 20000 wurde vom British Standard Institute (BSI) 5000 übernommen und ist der erste weltweite Standard für IT-Service-Management. Dieser Standard beschreibt einen integrierten Satz von Management-Prozessen für die Lieferung von Dienstleistungen zwischen internen und externen Organisationen im Rahmen des IT-Service-Managements. ISO 20000 ist ausgerichtet auf die Prozessbeschreibungen von ITIL und ergänzt diese komplementär.
8.2 Security-Management
Das Prozess Security-Management ist als Zyklus ent-sprechender Aktivität zu sehen:
Abbildung 30: Security-Management
Security-Management ist der Prozess, mit dem ein angemessener, definierter Grad an Sicherheit für die Informationen und IT-Services erreicht werden soll. Der dadurch angestossene Security-Management-Prozess
Kunde
Report SLA
Planung
Implementierung
Betrieb
Bewertung
Kontrolle
Informationssicherheit umsetzen
73
hat die Aufgabe, durch kontinuierliche Planung, Imple-mentierung und Bewertung von Sicherheitsmass-nahmen das definierte Niveau an IT-Sicherheit auf-rechtzuerhalten. Sicherheitsmassnahmen betreffen das Personal, die Organisation, die Infrastruktur und die Technologie. Eine weitere Aufgabe ist die angemesse-ne Reaktion auf Sicherheitsverletzungen (Security In-cidents).
Zielsetzung des Security-Managements
Vermeidung von Sicherheitsverletzungen durch ein klares und sämtliche Abhängigkeiten berücksichti-gendes Security-Management
Angemessene und planvolle Reaktion auf Sicher-heitsverletzungen
Zusammenführung der Sicherheitsanforderungen und der geschäftlichen Anforderungen
Erstellung des Security-Plans, u.a. zur Doku-mentation der Anforderungen
Festlegung von Toleranzen zur Abgrenzung eines vertretbaren Restrisikos
Berücksichtigung von strategischen, taktischen und operativen Rahmenbedingungen
Zu den wesentlichen Security-Prozessaktivitäten zäh-len:
Steuerung
Festlegen der Prozesse, Funktionen und Verant-wortlichkeiten sowie der Organisationsstrukturen zwischen den Subprozessen
Reports
Planung
Z.B. Service Level Agreements
Implementierung
Förderung des Bewusstseins Personenbezogene Sicherheitsmassnahmen Physikalische, bauliche Massnahmen Technische Sicherheitsmassnahmen Zugriffskontrolle Klassifizierung, Registrierung und Behandlung von
Sicherheitsverletzungen festlegen
Informationssicherheit umsetzen
74
Bewertung
Vermeidung von Phantom-Sicherheit durch Audits und Sicherheitsüberprüfungen zur allgemeinen Qualitätssicherung
Interne und externe Audits Auswertungen
Betrieb
Sicherheit im laufenden Betrieb aufrechterhalten Erfahrungen sammeln Verbesserungen
8.3 Akzeptanz von Sicherheitsmassnahmen
Die Akzeptanz hängt ganz stark mit der Art der Einfüh-rung zusammen. Der Mensch ist ein Gewohnheitstier und nimmt Änderungen nur ungern in Kauf. Aus diesem Grund gilt es, Mitarbeiter von Beginn weg in die Pro-zesse einzubeziehen. Es gilt, eine Feedback-Kultur einzuführen. Jeder soll die Möglichkeit erhalten, seine Wünsche und Ideen einzubringen. Sollten Massnahmen nicht möglich sein, ist dies in leicht verständlichen Wor-ten zu erklären. Ein Killerkriterium ist sicherlich, dass Massnahmen nicht für alle gelten. Es darf nicht sein, dass Massnahmen (meistens mit Einschränkungen verbunden, wie zum Beispiel das komplexe Passwort) für alle gelten – ausser für das Management. Dies weckt Missgunst. Bei der Einführung von neuen Sicher-heitsmassnahmen gilt es, von Beginn weg den Sinn bzw. den Nutzen und den Zweck aufzuzeigen. Nur so werden Massnahmen im täglichen Umfeld auch gelebt.
8.4 Make or Buy
Immer wieder stellt sich folgende Frage: Soll man IT-Sicherheitsmassnahmen selber umsetzen, oder wird externe Hilfe geholt? Hier ist ganz klar festzuhalten, dass die Grundidee zwingend selber entstehen muss. Diese Arbeit kann Ihnen niemand abnehmen. Sie kennen Ihre Firma in- und auswendig und können die notwendigen Vorgaben liefern. Suchen Sie sich an-schliessend einen Partner, der Sie versteht bzw. die gleiche Sprache spricht. Wenn Sie Massnahmen selber umsetzen, sollten Sie in jedem Fall eine externe Kon-trolle vorsehen. Dies lohnt sich auch, wenn Ihre IT durch eine externe Firma betreut wird. So werden mög-liche Gefahren oder Risiken frühzeitig erkannt. Die Erfahrungen zeigen, dass die IT als Mittel zum Zweck
Informationssicherheit umsetzen
75
eingesetzt und wenig Zeit in Sicherheitsmassnahmen investiert wird. Auch externe Firmen sind immer mehr unter Zeit- und Gelddruck und versuchen, in der knap-pen Zeit alles zum Laufen zu bringen. Die Sicherheit ist dabei leider nicht immer im Mittelpunkt! Wählen Sie für die Kontrolle nicht Ihren bestehenden Partner, denn auch hier gilt: Wer gibt schon gerne die eigenen Fehler zu? Ein Audit läuft in der Regel wie folgt ab:
Abbildung 31: Ablauf eines Audits
Bedürfnisaufnahme
Mit dem Kunden zusammen wird der Fokus, sprich: die Tiefe der einzelnen Themen, festgelegt. Dies ist abhän-gig vom Wissen und Stand der IT.
Vorbereitung
Die dem Auditor zur Verfügung gestellten Unterlagen werden sorgfältig studiert und bilden die Grundlage für das nachfolgende Audit. Vorgängige Interviews können diesen Schritt abrunden.
Bedürfnisaufnahme
Vorbereitung
Audit
Auswertung
Präsentation
Nachbesprechung
Informationssicherheit umsetzen
76
Audit
Vor Ort, je nach Grösse und Anzahl der Standorte in circa 2 bis 3 Tagen (Fragenkatalog zur organisatori-schen Umgebung, technische Überprüfung von Ser-vern, Clients und Netzwerkelementen, Rundgang im Gebäude (Zutritt, Serverraum, Arbeitsplätze, Patch-Schränke etc.).
Auswertung
Erstellen des Gefahrenkataloges und der notwendigen (Gegen-)Massnahmen.
Präsentation
Präsentation und Besprechung der Resultate mit den IT-Verantwortlichen und der Geschäftsleitung. Die wich-tigsten Risiken und Massnahmen werden detailliert vorgestellt. Anschliessend wird der Bericht übergeben.
Nachbesprechung
Viele Fragen entstehen erst beim Studium der Unter-lagen. Daher ist es wichtig, offene Fragen an einer Nachbesprechung zu klären.
8.5 Zertifizierungen
Es gibt eine Vielzahl von Zertifizierungsmöglichkeiten15 im IT-Umfeld, aber lohnt sich eine entsprechende Zerti-fizierung? Diese Frage kann nicht mit Ja oder Nein beantwortet werden. Sicherlich lohnt sich eine Zertifizie-rung im internationalen Umfeld, oder wenn ein Partner dies fordert. Es darf sich aber niemals um eine Alibi-Übung handeln, sondern muss durchwegs gelebt wer-den.
Eine Zertifizierung kann auch als Qualitätsmerkmal verwendet werden. Vor allem im Bereich von sensiblen Daten (z.B. Kundendaten) ist eine Zertifizierung eine Garantie für korrekte und umfassende Massnahmen zum Schutz der anvertrauten Informationen.
Auch wenn keine Zertifizierung angestrebt wird, lohnt es sich, nach solchen Vorgaben den eigenen IT-Betrieb zu führen. So kann man sich auf Bestehendes verlassen und an die eigene Situation anpassen. Dies spart viel Zeit und Geld und garantiert ein lückenloses Vorgehen.
15 Unter de.wikipedia.org/wiki/Liste_der_IT-Zertifikate finden Sie eine
Vielzahl von IT-Zertifikaten, teilweise herstellerbezogene, aber auch unabhängige Zertifizierungen.
Informationssicherheit umsetzen
77
Zusammenfassend kann gesagt werden, dass zwar ein relativ grosser Aufwand damit verbunden ist, sich dieser aber sicherlich lohnen wird.16
16 Vorgehen zur Zertifizierung nach ISO 27001:
https://www.bsi.bund.de/ContentBSI/grundschutz/zert/ISO27001/Schema/zertifizierungsschema.html
Stichwortverzeichnis
78
9 Stichwortverzeichnis
Application-Layer-Firewall 54
Aufbewahrungspflicht 7
Availability 11
Awareness-Programm 38
B ac k up 59
Bedrohungsszenarien 24
Benchmarking 18
Betreiberrisiko 17
Betriebsprozesse 9
BIOS-Passwort 44
BSI 21
Buchführungsvorschriften 7
Chatten 28
CObIT 71
Code of Practice 20
Confidentiality 12
Content-Filter 54
Datenschutzgesetz 7
E-Commerce 17
E-Mail 47
FDA 10
Firewall 53
Geheimdienste 27
Geschäftsgeheimnisse 28
Identitätsdiebstahl 28
Images 61
Informationssicherheit 9
InfoSurance 33
Integrität 11
Intrusion Detection 66
IS-Beauftragte 16
IS-Massnahmen 19
ISO 27001 21
ITIL 71
IT-Sicherheit 9
Kostenoptimierung 16
Laptops 44
Managed Security Services 8
Mitarbeiterschulung 37
Mobiltelefone 28
Nachweisbarkeit 12
Netzwerksicherheit 53
Nutzenaspekte 17
Outsourcing 8
Paketfilter 54
Patentmissbrauch 28
PDAs 44
Personal Firewall 56
PGP 49
Phishing 43
Physische Bedrohungen 25
Policies 16
POP3 48
PRINCE2 72
Prozess-Verantwortliche 32
Remote-Gaming 28
Restore 59
Return on Security Investment 18
Risikoanalysen 29
Risiko-Management 32
ROSI 18
Schadenhäufigkeit 31
Schutzmassnahmen 37
Security Officer 5
Security-Management 72
Security-Policy 34
Sicherheitsbeauftragte 18
Sicherheitshandbuch Praxis 21
SLA 8
Social Engineering 45
Spam 39
Spionage 28
Spyware 42
Stateful Inspection 54
Tauschbörsen 28
Unversehrtheit 11
Verfügbarkeit 11
Verschlüsselung 48
Vertragsrecht 7
Vertraulichkeit 12
Vertraulichkeitsanforderungen 17
VLAN 68
X.509 51
Profil des Editionspartners
79
10 Profil des Editionspartners
Die Kernkompetenz der GO OUT Production GmbH ist die ganzheitliche Prüfung der IT-Sicherheit von unter-schiedlichen Unternehmungen und Behörden. Die Ana-lyse umfasst sowohl IT-spezifische Komponenten wie auch die IT-Organisation und IT-Strategien der Unter-nehmung.
Seit 1999 führen die Experten der GO OUT Production GmbH hersteller- und produkteneutrale Assessments in kleinen, mittleren und grösseren Unternehmungen aus allen Branchen durch.
Abbildung 32: Dienstleistungen der GO OUT Production GmbH
Die Kompetenzen der Auditoren umfassen: Dipl. Ing. FH, Dipl. Kom Techniker HF, ISO 27001 Lead Auditor, CISSP, Certified Ethical Hacker, Business Continuity Manager, OPST, MCITP Enterprise Server Administra-tor, IT-Sicherheitsbeauftragter BSI, compTIA Security+, ITIL Foundation v3 Version 2011, CISA.
Stetige Weiterbildungen garantieren ein umfassendes und aktuelles Audit mit auf Ihr Unternehmen angepass-ten Massnahmenvorschlägen.
Weitere Informationen über die Dienstleistungen und das Team sowie viele nützliche Informationen finden Sie im Internet unter www.goSecurity.ch.
GO OUT Production GmbH Schulstrasse 11 8542 Wiesendangen
052 320 91 20 www.goout.ch
Autorenteam & BPX
80
11 Autorenteam & BPX
Andreas Wisler
Dipl. Ing. FH, CISSP, CISA, ISO 27001 Lead Auditor, ITIL FE, Sicherheitsbeauftragter nach BSI
IT-Spezialist bei GO OUT Production GmbH, welche sich mit umfassenden Security Audits, Penetration Tests und Sicherheitsberatungen auseinander-setzt. Weiter unterrichtet er an der FHNW IT-Sicherheits-Themen.
Fredy Schwyter
Autor der 1. Auflage
Dipl. Ing. HTL/STV, CISA, CISM
Weiterbildung in Informationssicherheit:
www.hslu.ch
www.fhnw.ch
www.zhaw.ch
BPX steht für Best Practice Xperts
Martin & Martina Dalla Vecchia
Herausgeber der BPX-Booklets.
Ziel von BPX ist es, komplexe Themen praxisgerecht für das Management aufzubereiten: kurz & prägnant.
www.bpx.ch
Info
rmat
ion
ssic
her
hei
t fü
r K
MU
–S
ich
erh
eits
kon
zep
t &
pra
ktis
che
Um
setz
un
g
Informations-sicherheit für KMU
Andreas WislerFredy Schwyter
Gesetze & Verantwortung Grundschutz für KMU Praxis der
Informationssicherheit Kosten-Nutzen-Aspekte Technologie-Grundlagen Sicherheitskonzepte umsetzen Outsourcing &
Managed Security Services Praxisbeispiele Checklisten Trends
Was ist Informationssicherheit?Wie setzt ein KMU Sicherheitskonzepte um?Welche Gesetze sind zu beachten?Welche Verantwortung trägt das Management?Was sind Managed Security Services?Wie kann ein Grundschutz realisiert werden?Welche Schutzmassnahmen existieren?
In diesem Praxisleitfaden finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen. Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht.
Die Autoren Andreas Wisler und Fredy Schwytersind ausgewiesene Sicherheitsexperten. Anhand von Beispielen und Checklisten zeigen sie die zentralen Eckpunkte für ein modernes Sicherheits-konzept: Schritt für Schritt.
Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informations-quelle und ein übersichtliches Nachschlagewerk.
Rheinfelden/SchweizBPX-Edition 2013www.bpx.ch
30 CHF / 20 €
ISBN 978-3-905413-24-3
www.bpx.chwww.bpx.ch
Sicherheitskonzepte & praktische Umsetzung2. Auflage
Editionspartner: Editionspartner::
31