Grundlagen der IT-Sicherheit, die Ihre Firma bereits kennen sollte

Gehen Sie nie davon aus, dass Mitarbeiter so viel wie Sie über IT-Security wissen. Der Zustand lässt sich allerdings relativ einfach verbessern.

Als ich kürzlich an einer Auswertung zu Sicherheitslücken arbeitete, hatte ich eine Offenbarung in Sachen IT-Sicherheit....

Ich hatte mit einem IT-Leiter zu tun, der angeblich sehr versiert in Sachen IT-Security ist. Er startete eine Konversation über einige Sicherheitsgrundlagen rund um das Thema Passwörter. Wir Experten kennen den Drill, der uns seit Jahren in den Kopf gehämmert wird: Mindestens acht Zeichen, eine hohe Komplexität und so weiter und so fort. Bei meiner Unterhaltung mit dem Herrn wurde mir ziemlich bald eine Sache klar. Er sprach über diese Konzepte, als würden sie neu sein.

Dann hatte ich einen Geistesblitz. Wir gehen allzu oft davon aus, dass diese Security-Grundlagen allen bekannt sich. Allerdings sollten Sie niemals voraussetzen, dass die Menschen in Ihrer Organisation die grundlegenden Prinzipien von IT-Sicherheit verstehen. Dabei macht es keinen Unterschied, ob Sie mit dem Top-Management oder einem Mitarbeiter aus dem Empfangsbereich sprechen. Sie dürfen nicht davon ausgehen, dass andere innerhalb Ihres Unternehmens die Kernelemente in Sachen IT-Sicherheit kennen. Sie sollten sogar voraussetzen, dass Menschen überhaupt nichts über das Thema Security wissen. Das macht den Bereich Informationssicherheit so schwierig. Mit steigender Erfahrung werden Sie während Ihres IT-Berufslebens feststellen, dass Sie IT-Sicherheit nicht nur aus dem technischen Blickwinkel betrachten dürfen. Die Kommunikation mit den Menschen ist ein ebenso wichtiger Teil des Themas.

Sie sollten bei Ihrer täglichen Arbeit folgende Bereiche im Hinterkopf behalten, bei denen falsche Annahmen schnell gefährlich werden können.

  • Passwörter: Die Länge ist ausschlaggebend. Allerdings ist das Thema damit nicht abgeschlossen. Sie können beispielsweise mehr Probleme schaffen, wenn Sie Anwender alle 45 bis 60 Tage zum Ändern der Passwörter zwingen. Denn mit so einer Regel schreiben die Anwender Passwörter wahrscheinlich auf.
  • Regeln oder Policies: Nur eine Dokumentation zur Verfügung zu stellen reicht nicht aus. Die Regeln müssen angemessen und vollstreckbar sein. Am Wichtigsten ist aber, dass Sie die Policies auch durchsetzen.
  • Technologien: Gute Technologie kann hinsichtlich Schwachstellen bei Sicherheits-Management und -Prozeduren viel wettmachen. Leider wissen das viele Leute nicht oder vertrauen im Gegenteil zu stark auf diese Technologien.
  • Betriebsprüfungen und Gutachten: Eine reine Durchführung dieser Aktionen nur zur Gewissensberuhigung ist sinnlos. Risiken lauern überall und warten darauf, aufgedeckt zu werden.
  • Anwälte und Verträge: Nur weil der Anwalt einen Vertrag oder ein SLA (Service Level Agreement) abgesegnet hat, sind Sie nicht unverwundbar. Es wird weiterhin Vorfälle geben, um die Sie sich kümmern müssen und die Sie im schlimmsten Fall in die Schlagzeilen bringen.

Der IT wird auferlegt, das Informationsrisiko zu minimieren. Das ist ein üblicher, jedoch auch rückwärtsgewandter Schritt. Es bedeutet noch lange nicht, dass Ihre Kollegen alles Wissenswerte zum Thema IT-Sicherheit kennen. Wenn einer der fünf oben genannten Punkte verletzt wird, könnte das die Sicherheit Ihres Unternehmens empfindlich kompromittieren.

Des Weiteren sollten Sie nie davon ausgehen, dass andere mit Computern oder sensiblen Informationen umgehen können. Es herrscht eine gewisse „Apathie des Zuschauers“, die Sie im Hinterkopf behalten sollten. Sehr zu unserem Leidwesen verschwenden viele Menschen keinen Gedanken an IT und Security. Leute kommen und verlassen Ihr Unternehmen. Außerdem vergessen Menschen die Grundlagen der IT-Sicherheit wieder. Dass Mitarbeiter nicht wie Sie ständig über IT und Sicherheit nachdenken ist verständlich. Es ist nicht Teil ihrer Stellenbeschreibung.

Wenn Sie gegen das mangelnde Verständnis in Sachen Informationssicherheit ankämpfen wollen, werden Sie oft wie eine hängende Schallplatte klingen. Aber das ist so in Ordnung. Wiederholen und diskutieren Sie die Security-Grundlagen immer wieder. Auch wenn Menschen das bereits wissen müssten, ist das Gegenteil wahrscheinlich. Weihen Sie die Leute in die grundlegenden Security-Policies ein und halten Sie das Thema so interessant wie möglich. Weiterhin müssen Sie die Gespräche über die IT-Sicherheit aufrechterhalten. Das Thema ist nicht mit einem einmaligen Gespräch oder Vortrag abgetan. Wenn Sie diese einfachen Schritte befolgen, hat das einen enormen Einfluss auf die IT-Sicherheit des Unternehmens. Der Aufwand dafür ist relativ gering. Das ungeschriebene Gesetz der Sicherheit besagt schließlich: „Vertrauen ist gut, Kontrolle ist besser!“

Über den Autor: Kevin Beaver ist seit 12 Jahren freiberuflicher Berater für Informationssicherheit, Gutachter und professioneller Sprecher und Gründer der Principle Logic LLC. in Atlanta. Er ist spezialisiert auf das Durchführen von Sicherheitsgutachten für das Risikomanagement im Informationsbereich und ist daneben Autor und Co-Autor vielzähliger Bücher, darunter „The Practical Guide to HIPAA Privacy and Security Compliance” and „Hacking for Dummies”.

Artikel wurde zuletzt im November 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheitstraining und interne Bedrohungen

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close