Sicherheit für KMUs - Software und ihre Bedrohungen
 

Programme sind die von Cyberkriminellen am häufigsten verwendete Benutzeroberfläche um Informationen zu manipulieren. Die Programme unterliegen einer Vielzahl von Restriktionen und Bedrohungen welche das Funktionieren einer Organisation gefährden können. Dieser Abschnitt ist speziell den Schadprogrammen (Englisch: "Malware") gewidmet.

Unsachgemäße Programme

Um erwartungsgemäß arbeiten zu können und um die vorgesehenen Aufgaben erfüllen zu können, müssen die EDV-Geräte mit den entsprechenden Programmen ausgestattet sein. Man sollte also:

  • Die Software, welche für den ordnungsgemäßen Betrieb benötigt wird, identifizieren sowie alle möglichen Abhängigkeiten auflisten (Funktions-Bibliotheken). (Schreiben Sie eine Leitlinie zum Management von organisationseigenen Werten und sorgen Sie für deren Umsetzung).

  • Standard-Konfigurationen für Geräte-Software erstellen.

  • Die gesamte benötigte Software (stets aktualisiert) in einer digitalen Bibliothek, welche bei Installationsbedarf zur Verfügung steht, aufbewahren.

  • Die Software-Lizenzen verwalten. (Schreiben Sie eine Leitlinie zur Einhaltung von Vorgaben - Geistiges Eigentum und sorgen Sie für deren Umsetzung).

Verwendung von nicht genehmigter Software

Die Verwendung nicht genehmigter Software kann zum Verstoß gegen die Urheberrechte dieser Software führen oder aber der Organisation durch fehlerhafte Verarbeitung von Daten schaden. Es muss deswegen sichergestellt werden, dass die organisationsinterne EDV nicht durch unnötige oder unerlaubte Software gestört wird. Auf Folgendes sollten Sie achten:

  • Die Benutzer müssen die Richtlinien für die Benutzung der EDV-Ressourcen befolgen.

  • Die Leitlinie zur Verwendung von Software muss restriktiv sein und bereits auf Ebene des Betriebssystems festgelegt werden. Es muss eine Liste aller erlaubten Software erstellt werden. (Schreiben Sie eine Leitlinie zur Organisation der Informationssicherheit - Genehmigungsverfahren für informationsverarbeitende Einrichtungen und sorgen Sie für deren Einhaltung).

  • Benutzerkonten sollen nicht automatisch mit Administratorenrechten ausgestattet sein. (Schreiben Sie eine Leitlinie zur Zugangskontrolle -Trennung von Netzen und und Verwaltung von Benutzerberechtigungen sorgen Sie für deren Umsetzung).

Nicht-Verfügbarkeit der Administratoren

Die Verwaltung von EDV-Ressourcen (Hardware und/oder Software) ermöglicht es, auf Umwelteinflüsse zu reagieren und die Systeme den Bedingungen anzupassen. Man muss deswegen sicherstellen, dass alle Werte (EDV-Ressourcen) betriebsbereit sind, auch jene die von Dritten zur Verfügung gestellt werden und besonders dann, wenn nur ein externer Administrator das System verwalten kann. Auf Folgendes sollten Sie achten:

  • Ein System-Administrator sollte immer verfügbar sein. (Schreiben Sie eine Leitlinie zur Organisation der Informationssicherheit- Zuweisung der Verantwortlichkeiten) und sorgen Sie für deren Umsetzung.

  • Ein Administrator-Handbuch sollte immer vom Dienstleister zur Verfügung gestellt werden. (Schreiben Sie eine Leitlinie zur physischen und umgebungsbezogenen Sicherheit - Wartung und sorgen Sie für deren Umsetzung)

  • Stellen Sie nur vertrauensvolle System-Administratoren ein. (Schreiben Sie eine Leitlinie zur Personalsicherheit - Sicherheit als Aufgabe und sorgen Sie für deren Umsetzung).

  • Bilden Sie Administratoren aus. (Schreiben Sie eine Leitlinie zur Personalsicherheit - Schulung und Information) und sorgen Sie für deren Umsetzung.