Essential Guide

Notfall-Management mit Business Continuity und Disaster Recovery

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Tipp: IT-Sicherheit alleine genügt nicht für das sichere Unternehmen

Firmen sollten sich Sicherheit aus verschiedenen Perspektiven und nicht nur von IT-Seite ansehen. Fühlen Sie sich nicht zu sicher mit dem Ist-Zustand.

Bei vielen Firmen steht IT-Sicherheit ganz oben auf der Agenda.

Organisationen verwenden mehrstufige Authentifizierung. Damit wollen sie sicherstellen, dass der Anwender auch der ist, der er vorgibt zu sein. Sie führen die Nutzung von Tokens ein, um damit so genannten Man-in-the-Middle-Angriffen vorzubeugen. Firmen verschlüsseln ihre Daten und Backups und setzen VPN-Verbindungen für alle Sitzungen außerhalb der Firewall ein. Auch Anti-Malware-Systeme wie Antivirus-Software und Schutzmaßnahmen gegen so genannte Denial-of-Service-Angriffe finden Verwendung. Dies sind ganz normale und gebräuchliche Herangehensweisen, um die Daten einer Organisation zu schützen und Sie nur den autorisierten Anwendern zugänglich zu machen. Viele Firmen verwenden alle der oben genannten Maßnahmen. Sind sie aber wirklich auf der sicheren Seite?

Leider führt eine reine IT-Herangehensweise in Bezug auf Sicherheit zu etwas, dass Organisationen augenscheinliche „Sicherheit“ nennen. Eine Festung mit IT-Mitteln zu erschaffen ist schön und gut. Aber physische Sicherheit ist mehr wie ein Schweizer Käse. An dieser Stelle können immer noch Informationen und Betriebsgeheimnisse zu leicht den Weg ans Tageslicht finden. Sehen Sie sich als Beispiel die ganzen Politiker an. Diese tragen massenweise Papiere mit sich herum, die ein Pressefotograf einfach im Bild festhalten kann.

Eine Firma muss ein Risiko-Profil erstellen. Um dieses wiederum kann das Unternehmen dann eine komplette Sicherheitsrichtlinie (Security Policy) erschaffen. In vielen Fällen dringen Informationen aus Versehen an die Öffentlichkeit. Schuld sind hier in der Regel Mitarbeiter und andere Personen mit Zugriff auf Unternehmensdaten, wie zum Beispiel Berater und Dienstleister. Dies kann wiederum zu IT-Sicherheitsproblemen innerhalb der Firma führen. Auf technischer Ebene helfen Ihnen diverse Tools beim Datenschutz. Dazu gehören DLP (Data Loss Prevention) und DRM (Digital Rights Management). Weiterhin helfen diese Technologien bei Angriffen, um sich Informationen zu ergaunern.

Allerdings bleiben die weniger technischen Bereiche der Informations-Sicherheit außen vor. Das Gebäude-Management muss involviert werden, um mögliche Schwachpunkte in Hinsicht auf die Sicherheit auszumerzen. Dazu gehören zum Beispiel Drucker. Mit dem Einsatz von PIN-Codes und Tokens lässt sich sicheres Drucken (Pull Printing) realisieren. Nur wer die richtigen Tools oder Codes hat, kann den Druckauftrag bei einem speziellen Drucker entnehmen. Somit stellen Sie sicher, dass vertrauliche Papiere nicht herumliegen und in falsche Hände geraten. Fax-Maschinen sollten durch Multifunktions-Geräte ersetzt werden. Bei Scan-to-Fax-Technologie lassen sich DLP-Systeme einbinden, die sich um die entsprechende Sicherheit kümmern.

Auch auf Telefonebene sollten Sie Systeme einsetzen, die einen Teil der Gespräche aufzeichnen. Natürlich müssen der Betriebsrat, Angestellte und Anrufer über eine eventuelle Aufzeichnung des Gesprächs entsprechend informiert sein. Diese Mitschnitte lassen sich natürlich nicht nutzen, um Gespräche einfach abzubrechen. Als Abschreckung dienen sie auf jeden Fall. Weiterhin könnten Sie die aufgezeichneten Gespräche in Schulungen zu Rate ziehen. Zeigen Sie den Teilnehmern, wie schnell Betriebsgeheimnisse durch Versprecher ausgeplaudert werden können. Bei all diesen Methoden müssen Gebäude-Management und IT-Abteilung eng zusammenarbeiten. Sie greifen hier auf jeden Fall zu Technologie, um die gesamte Sicherheit im Unternehmen zu verbessern.

Firmen müssen in ihren Arbeitsverträgen die physischen Sicherheitsrichtlinien hinterlegen und welche Konsequenzen es für den Angestellten hat, wenn er diese mutwillig verletzt. Zum Beispiel sollte sich eine Organisation das Recht vorbehalten, die Taschen eines Angestellten zu jeder Zeit inspizieren zu dürfen. Das gilt auch für Briefe, die aus der Firma an eine externe Adresse gesendet werden. Generell sind aber bei solchen Maßnahmen die Rechtsgrundlagen zu beachten. Taschenkontrollen können beispielsweise durch Tarifvertrag, Betriebsvereinbarungen oder Einzelarbeitsvertrag eingeführt werden.

Wenn ein Angestellter die Firma verlässt, muss dieser alle Geräte mit Unternehmensdaten und -Informationen zurückgeben. Sollte der scheidende Arbeitnehmer Daten auf eigenen Geräte haben, wie das durch BYOD (Bring Your Own Device) möglich sein könnte, muss er die Daten nachweislich vernichten. Manchmal lassen sich die Daten aber nicht zerstören, nämlich wenn sie sich im Kopf des ehemaligen Angestellten befinden. Machen Sie den Leuten verständlich, dass die Nutzung dieses Wissen gerichtliche und strafrechtliche Folgen haben kann.

Selbst wenn Sie im Data Center die besten technisch möglichen Sicherheitsmaßnahmen einsetzen, haben Sie eventuell trotzdem ein Problem mit der physischen Sicherheit. Das Gebäude-Management kann Sicherheit durch den Einsatz von einbruchssicheren Türen und qualitativ hochwertigen Überwachungskameras verbessern. Auf jeden Fall sind das wirksame Abschreckungs-Maßnahmen. Im Data Center sollten sich außerdem keine Fenster befinden. Somit hat es ein potentieller Einbrecher noch schwerer. Weiterhin schützen Sie sich so vor neugierigen Augen. Ebenso lassen sich Stimmen schwerer von außen aufnehmen oder elektronische Signale abfangen. Strom- und Internetkabel sollten ebenfalls ausreichend abgeschirmt und geschützt sein. Somit beugen Sie physikalischen Denial-of-Service-Angriffen vor.

Der Einsatz von hintereinander geschalteten Sicherheits-Systemen für Zutrittsbefugte ist ebenfalls denkbar: Multifaktor-Sicherheit an den Eingangstüren mit Biometrie und / oder Einmal-Passwörtern. Auch auf Nahbereichskommunikation (NFC) oder Smart-Card basierende Tracking-Systeme sind eine Möglichkeit. Der Einsatz von Überwachungskameras hilft, dass nicht zwei Menschen mit nur einem Security-Pass durch dieselbe Tür schlüpfen. Physische und mit elektronischen Schlössern gesicherte Käfige innerhalb des Data Centers lassen nur den Zutritt von autorisiertem Personal zu. Dienstleistern können Sie temporären Zugang zu den physischen Systemen gewähren.

Vollständige Firmen-Security können Sie nicht ausschließlich mit der IT erreichen. Es ist eine Mischung aus Richtlinien, die durch technische und physische Sicherheitsmethoden unterstützt werden. Die einzelnen Komponenten arbeiten dabei Hand in Hand. Um dies zu erreichen, müssen IT-Abteilungen und Gebäude-Management enger zusammenarbeiten. Andernfalls enden Sie nach einem Einbruch mit dem Schwarzen Peter in der Hand.

Über den Autor: Clive Longbottom ist Mitgründer und Service Director bei Quocirca. Er bringt als Analyst in der ITC-Industrie mehr als 15 Jahre Erfahrung mit sich. Bevor ihn sein Weg in die IT führte, hat er als Chemiker an Arzneimitteln gegen Krebs, Auto-Katalysatoren und Brennstoffzellen gearbeitet. Longbottom hat an vielen Automatisierungs-Projekten in Büros mitgewirkt. Weiterhin war er bei Projekten in Sachen Dokumenten-Management und Wissens-Datenbanken, sowie bei Control of Substances Hazardrous to Health involviert.

Artikel wurde zuletzt im Juli 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

Notfall-Management mit Business Continuity und Disaster Recovery

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close