sich schützen
 

Kurz gefasst

Die große Mehrheit der Unternehmen verfügt über wichtige oder vitale Daten (Fabrikationsgeheimnisse, Kunden-, Buchungs- oder Finanzdaten,...) sowie über unverzichtbare oder nicht austauschbare Arbeitsmittel, welche gegen ungewollte Offenlegung (Verlust von Vertraulichkeit), Veränderung (Verlust der Integrität) oder Zerstörung (Verlust der Verfügbarkeit) geschützt werden müssen.
Im Allgemeinen werden sich Verantwortliche von Unternehmen erst nach einem schweren Zwischenfall dem wahren Wert der Werte bewusst. Es ist jedoch dann oft schon zu spät, um kurative oder präventive Maßnahmen zu ergreifen.

Vorfälle und Auswirkungen

Es ist wichtig, seinen Computer zu schützen - die Gründe dafür sind vielfältig.
Viele Zwischenfälle sind nur schwer zu erkennen. Wie können Sie erkennen, dass jemand Ihre Passwörter gestohlen hat oder alle Ihre E-Mail-Kommunikationen mit Ihren Zulieferern, Kunden oder Mitarbeitern abhört?  Wie soll man herausfinden, dass man Sie direkt über Ihren Rechner ausspioniert, Zugriff auf Ihren Datei-Server hat oder illegale Inhalte über Ihren Web-Server veröffentlicht? Viele Zwischenfälle bleiben unentdeckt und die Mehrheit der Auswirkungen wird sträflich unterschätzt.

Den richtigen Ansatz wählen

Es ist sehr wichtig, sowohl Präventiv- als auch Schutzmaßnahmen so früh wie möglich umzusetzen. Man kann sich hierbei entweder für einen "schrittweisen" oder einen "allgemeinen" Ansatz entscheiden. Dieser Ansatz kann mehr oder weniger methodologisch sein und vom Umsetzen bewährter Praktiken über das Einsetzen spezifischer Maßnahmen, bis zur Umsetzung eines vollwertigen ISMS gehen. Das Unternehmen sollte jene Lösung auswählen, die am besten zu ihm passt, beziehungsweise, die es bereit bzw. fähig ist, umzusetzen.

Quick Wins

Unabhängig vom gewählten Ansatz ist es immer von Vorteil, "quick wins" (wie etwa das Patchmanagement, Verschlüsselung von WiFi-Netzen Verwaltung von Passwörtern, …) zu identifizieren, welche man schnell umsetzen kann. Sie garantieren sofortige Resultate und sind oft wichtig, um dringende Probleme zu beheben, beziehungsweise um die Betriebsleitung von der Wichtigkeit der Sicherheitsmaßnahmen zu überzeugen.

Schrittweiser Ansatz

Die beste Weise, sein Unternehmen zu schützen, besteht darin, sich für den Weg der ständigen Verbesserung zu entscheiden, indem man die wirklichen Sicherheitsbedürfnisse des Unternehmens berücksichtigt. Dieser Ansatz benötigt mehr Zeit, als der generelle Ansatz, wird aber schlussendlich besser an die wirklichen Bedürfnisse des Unternehmens angepasst, und somit effizienter und kostengünstiger sein, jedoch länger für die Umsetzung benötigen. (Lesen Sie auch den Artikel Sein Unternehmen schützen)

Risikoanalyse

Um die wichtigen oder vitalen Daten und Werte schützen zu können, muss man diese zuerst mit Hilfe einer, wenn auch rudimentären, Risikoanalyse identifizieren.

Um dies zu tun, muss man die unverzichtbaren Daten und Werte des Unternehmens identifizieren, anschließend in Frage kommende Bedrohungen identifizieren sowie die Wahrscheinlichkeit ihres Auftretens, die Schwere der menschlichen und technischen Schwachstellen ermitteln sowie die möglichen Auswirkungen bewerten. Dies kann mehr oder weniger formalisiert ablaufen und durch eine Methode oder sogar ein Werkzeug unterstützt werden.

Daten schützen

Anschließend muss man zum Schutz der Daten übergehen: Einmal klassifiziert, muss man ihren Schutz garantieren, etwa durch Sicherheitskopien, während des Transports oder während der Übertragung der Daten. Natürlich muss man auch eine sichere Zerstörungder Daten vorsehen.

Rechner schützen

Um Ihre unverzichtbaren Arbeitswerkzeuge zu schützen, sollten Sie Schutz- und Präventivmaßnahmen für Ihre Computer, Laptops, Fileserver, Mail-Server sowie ihre WEB-Server umsetzen. Setzen Sie Maßnahmen zur Behandlung von Informationssicherheitsvorfällen um.

Das Netzwerk schützen

Denken Sie auch an den Schutz Ihres Netzwerks, egal ob es sich dabei um ein kabelgebundenes Netzwerk oder um ein WiFi-Netzwerk handelt. Setzen Sie die notwendigen Maßnahmen um.

Sensibilisieren und Ausbilden

Denken Sie daran, alle Ihre Mitarbeiter zu sensibilisieren und weiterzubilden. Die Annahme guter Verhaltensregeln durch das Personal ist eine sehr wichtige Maßnahme. In der Tat ist es oft sinnvoll, größere Anstrengungen auf der Organisations- und Verhaltensebene, als auf der technischen Ebene vorzunehmen, um die Sicherheit Ihrer Daten effektiv zu erhöhen.

Informieren Sie Ihre Mitarbeiter über die Risiken in Bezug auf die Verwendung von sozialen Netzwerken sowie über Risiken bezüglich "Social Engineering". Lehren Sie Ihre Mitarbeiter, sich verantwortungsbewusst auf Dienstreisen zu benehmen.

Physikalische Sicherheit

Vernachlässigen Sie schlussendlich nicht die Aspekte der physikalischen Sicherheit Ihres Unternehmens. Viele Bedrohungen können Schwachstellen auf physikalischer Ebene ausnutzen, egal ob es sich dabei um menschliche, natürliche oder umweltbezogene Bedrohungen handelt.

Genereller Ansatz

Neben dem schrittweisen Ansatz, die Sicherheit des Unternehmens zu erhöhen, kann dieses auch bewährte Praktiken anwenden, beziehungsweise gängige Maßnahmen umsetzen. Der allgemeine Ansatz lässt sich schneller umsetzen, als der schrittweise Ansatz und setzt auch weniger Know-How innerhalb des Unternehmens voraus. Allerdings geht er nicht unbedingt auf die wirklichen Bedürfnisse des Unternehmens ein.

Bewährte Praktiken

Einige Beschreibungen bewährter Praktiken stehen auf der Webseite von CASES zur Verfügung:

Eine Nutzer-Charta einführen

Übliche Maßnahmen

Diese Checklisten bieten organisatorische, technische und Verhaltens-Maßnahmen aufgrund der Analyseergebnisse der häufigsten Bedrohungen.