Geschäftsprozesse und Daten werden als primäre Vermögenswerte bezeichnet (Klassifikation der Werte; Risikomangement). Wenn man ein Informationssystem schützen will, ist die erste Priorität der Schutz der primären Vermögenswerte.

Jede Organisation hat ein besonderes Interesse daran, ihre Unternehmensdaten zu schützen, vor allem wenn es sich um Daten handelt, die benötigt werden, um ein Geschäftsmodell zu verwirklichen. Gesetzliche Anforderungen und Erwartungen der Kunden sind darüber hinaus auch Gründe, die ein Unternehmen zum Schutz bestimmter Daten anhalten.

Verschiedene Arten von Daten, die geschützt werden müssen:

• geistiges Eigentum

• Fertigungsgeheimnisse

• Kundendaten

• Prozessdaten wie etwa Logistikdaten, Daten aus der Buchhaltung, Lieferentendaten, ...

Datenverlust hat in der Regel äußerst negative Auswirkungen für jede Entität.

Vor der Implementierung von Schutzmaßnahmen muss die Organisation eine wenigstens knappe Klassifikation der von ihr verarbeiteten Daten durchführen. Diese Klassifikation ist wichtig, um sich des wirklichen Werts der Daten bewusst zu werden (Vertraulichkeit, Integrität und Verfügbarkeit) . Abhängig vom Wert der Daten, beziehungsweise von der Größe der bei einer Kompromittierung zu erwartenden Auswirkung, kann die Organisation über die Höhe der zum Schutz der Daten benötigten Maßnahmen entscheiden.

Bemerkung: das Klassifikationssystem welches auf Daten angewandt wird, muss auch auf die Behälter, also auf Datenbehälter, Lokale und Datenträger angewandt werden. Der Begriff Behälter muss im weitesten Sinne des Wortes verstanden werden

Sicherheitsleitlinie KMU:

• Management von organisationseigenen Werten
• Zugangskontrolle --- Leitlinie für Zugangskontrolle und Verwaltung von Benutzerberechtigungen

Alle Daten der Organisation, für welche ein erhöhter Verfügbarkeitsbedarf festgestellt wurde, müssen gesichert werden (Backup). Durch die Erstellung von Backups kann der Verlust oder die Zerstörung der Originaldaten einfacher kompensiert werden. Das Backup von Daten wird jedoch schwieriger falls die zu sichernden Daten einen erhöhten Bedarf an Vertraulichkeit oder Integrität aufweisen.

Vertrauliche Daten müssen gegen jeden unerlaubten Zugriff geschützt werden, unabhängig davon, auf welchem Datenträger sie gespeichert sind und unabhängig vom Ort, wo sie gelagert werden.

Daten mit einem erhöhten Integritätsbedarf müssen gegen jede unerlaubte Veränderung geschützt werden. Dies gilt natürlich auch für Sicherheitskopien. Für digitalisierte Papieroriginale müssen natürlich die Leitlinien für die Ablage elektronischer Dokumente befolgt werden.

Sicherheitsleitlinie für KMUs:

• Betriebs- und Kommunikationsmanagement --- Backup von Informationen

• Physische und umgebungsbezogene Sicherheit --- Sicherheitsbereiche und Regeln im Sicherheitsbereich

• Zugangskontrolle --- Leitlinie für Zugangskontrolle und Verwaltung von Benutzerberechtigungen

Daten, die das Unternehmen nicht mehr benötigt, bzw. solche, die vernichtet werden müssen, müssen natürlich so vernichtet werden, dass die Regeln der Vertraulichkeit nicht verletzt werden.

Eine endgültige und sichere Datenvernichtung muss bestimmte Sicherheitsanforderungen erfüllen. Es gibt Methoden, welche eine Wiederverwendung der Datenträger oder sogar der Computer ermöglichen.

Für streng vertrauliche Daten wird jedoch dringend empfohlen, die Speichermedien einschließlich Festplatten durch einen Schredder oder Entmagnetisierer zu zerstören.

Sicherheitsleitlinie für KMUs:

• Physische und umgebungsbezogene Sicherheit --- Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln

Datenübertragungstechniken müssen Kriterien der Vertraulichkeit und Integrität der Daten berücksichtigen (seltener Verfügbarkeitskriterien).

Zum Schutz der zu übertragenden Daten puncto Vertraulichkeit und Integrität wird die Verwendung von kryptografischen Mitteln empfohlen.

Jede Kommunikation über das Internet (Download, FTP) muss also verschlüsselt werden, wenigstens mit Hilfe von SSL oder durch ein VPN. Das Verschicken vertraulicher, unverschlüsselter Informationen über E-Mail ist strengstens verboten.

Sicherheitsleitlinie für KMUs:

• Betriebs- und Kommunikationsmanagement --- E-Mail

• Beschaffung, Entwicklung und Wartung von Informationssystemen --- Kryptografische Maßnahmen

• Kontrolle von Netzverbindungen

SOS:

• Man fragt mich nach vertraulichen Informationen

Die Technologie, welche zum Transport von Informationen verwendet wird, muss den Klassifikationskriterien in puncto Vertraulichkeit, Integrität und Verfügbarkeit gerecht werden (besonders bei Originalen).

Es wird dringend empfohlen, kryptografische Mittel sowie Maßnahmen aus der physischen Sicherheit anzuwenden um den Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit zu verhindern.

Sicherheitsleitlinie für KMUs:

• Betriebs- und Kommunikationsmanagement --- Sicherheit der Datenträger während des Transports

• Physische und umgebungsbezogene Sicherheit --- Sicherheit von außerhalb des Standorts befindlicher Ausrüstung

• Beschaffung, Entwicklung und Wartung von Informationssystemen --- Kryptografische Maßnahmen