Sicherheitscharta
 

Kurz gefasst

Die Erstellung einer Sicherheits-Charta ist ein wesentlicher Schritt für jede Organisation, welche die Befolgung der Sicherheitsregeln durchsetzen will. Es handelt sich dabei in der Regel um ein kurzes Dokument von höchstens ein paar Seiten, das in groben Zügen die Strategie in puncto Sicherheit und die Grundregeln beschreibt, die von jedem Mitarbeiter befolgt werden müssen.

Unten finden Sie ein Beispiel der einzelnen Teile einer Charta.

3 wichtige Regeln

  • Sicherheit geht alle etwas an.
  • Jeder ist in seinem Bereich verantwortlich für die Sicherheit der ganzen Organisation.
  • Jeder muss den Sicherheitsbeauftragten benachrichtigen, sobald er ein Sicherheitsproblem entdeckt.

Die 3 Sicherheitsziele

Vertraulichkeit

Vertraulichkeit beschreibt die Eigenschaft einer Information nur für befugte Personen, Prozesse oder Anwendungen zugänglich zu sein. Der Zugang zur Information ist lediglich auf jene beschränkt, die autorisiert sind, sie zu einem ganz bestimmten Zweck einzusehen.

Integrität

Die Integrität beschreibt die Eigenschaft der Richtigkeit und Vollständigkeit der Information. Das heißt, man muss die Richtigkeit sowie die Vollständigkeit der Information sowie der Verarbeitungssysteme gewährleisten.

Verfügbarkeit

Verfügbarkeit beschreibt die Eigenschaft (eines Informationssystems) der Erreichbarkeit und der Fähigkeit, die vorgesehenen Funktionen in einem vordefiniertem Umfang und einer bestimmten Zeit einer berechtigten Anfrage zur Verfügung zu stellen. Man muss also ein System so schützen, dass es die vorgesehenen Aufgaben in puncto Zeit, Dauer und Leistung liefern kann.

Beweis

Gewissheit, dass man jede Information nachvollziehen und rechtfertigen kann.
Sie basiert auf den Prinzipien der Authentifizierung, der Nachweisbarkeit und der Rechenschftspflicht.
Der Beweis wird manchmal als viertes Sicherheits-Ziel bezeichnet.
 

Die 11 Regeln

1. Befolgen Sie die Regeln und Leitlinien der Sicherheit
Schlagen sie die Regeln und Leitlinien regelmäßig nach. Indem Sie sich in puncto Sicherheitsleitlinie auf dem Laufenden halten, sind Sie besser geschützt.

2. Schützen Sie Ihre Passwörter
Geben Sie Ihre Passwörter niemals weiter. Wenn jemand danach fragt, lehnen Sie ab. Unsere Sicherheit impliziert, dass Sie niemals Ihr Passwort weitergeben.

3. Halten Sie Geheimnisse für sich
Verraten Sie niemals vertrauliche Informationen, egal was passiert.
Diskutieren Sie nicht öffentlich, was geheim bleiben soll.

4. Sperren Sie den Zugang zu Ihrem Computer
Wenn Sie Ihren Arbeitsplatz verlassen, sperren Sie den Zugang zu Ihrem Computer.

5. Sichern Sie gewissenhaft Ihre Daten
Speichern Sie niemals Firmendaten in Ihrem privaten Bereich. Benutzen Sie einen Fileserver für den es einen Backup-Plan gibt. Falls Sie sich an diese Regel halten, werden Sie immer Ihre Daten wiederherstellen können und jederzeit darauf zugreifen können.

6. Fallen Sie nicht auf Social Engineering-Methoden herein
Während einer Diskussion über Mail oder Telefon, überzeugen Sie sich von der Identität des Kommunikationspartners. Seien Sie vorsichtig, falls man Sie um persönliche, vertrauliche oder betriebsrelevante Informationen bittet Beim Social Engineering werden menschliche Schwachstellen ausgenutzt, um an vertrauliche Informationen zu gelangen.

7. Vorsicht bei E-Mails
E-Mails können eine Bedrohung für Ihren Computer sowie für das gesamte Firmennetz darstellen. Beantworten Sie niemals E-Mails, die nach persönlichen oder vertraulichen Informationen fragen. Überprüfen Sie die Herkunft, Unbedenklichkeit und Integrität jeden Anhangs.

8. Benutzen Sie das Internet mit Verstand
Die Nutzung des Internets ist aus Sicherheitsgründen begrenzt. Der Zugang ist begrenzt (Internetfilter), aber ausreichend für den dienstlichen Gebrauch. Laden Sie nur Dateien herunter, die sie für Ihre Arbeit benötigen, niemals für Ihren privaten Gebrauch und achten Sie auf die empfangenen Dateien.

9. Benutzen Sie ein Antivirenprogramm
Antivirenprogramme sind unverzichtbar in einem professionellen Umfeld. Es wird automatisch gestartet und erlaubt es, alle Dateien zu untersuchen, noch bevor Sie sie öffnen. Die Updates werden automatisch durchgeführt, um bestens gegen neue Bedrohungen schützen zu können. Falls Sie glauben dass Ihr Rechner durch einen Virus infiziert ist, verständigen Sie unverzüglich Ihre EDV-Abteilung.

10. Geben Sie auf Ihre Hard- und Software acht
Installieren Sie niemals private oder illegal erworbene Software. Benutzen Sie nur jene Software, die Ihnen von Ihrer Organisation zur Verfügung gestellt wird. Falls sie ein Programm benötigen, das nicht auf Ihrem Rechner installiert ist, beantragen Sie eine Installation.
Achten Sie auf Ihre Hardware: Laptops sind wesentlich empfindlicher und stellen auch ein attraktives Ziel für Diebe dar.
In Bezug auf Wechseldatenträger: die Benutzung von externen Festplatten und CDs ist begrenzt. Scannen Sie alle Wechseldatenträger um eventuelle Schadprogramme zu entdecken . Benutzen Sie diese Datenträger nur wenn sie deren Herkunft und Inhalt kennen.

11. Melden Sie alle Vorfälle
Jeder Vorfall muss so schnell wie möglich gemeldet werden. Dies kann ähnliche Vorfälle vorbeugen. Wir sind für die Sicherheit unserer Umgebung verantwortlich.
Nichteinhaltung oder Verletzung von Sicherheitsvorschriften kann zu Disziplinarmaßnahmen führen.

Sicherheitsreflexe

Sobald Sie ein Informationsverarbeitungsgerät benutzen, berücksichtigen Sie folgende goldenen Regeln.

Das Passwort: Kennwörter: Betreten
verboten Passwörter sind die Zugangsschlüssel zu Ihren Informationen und Online-Konten. Die Schwierigkeit besteht also darin, ein Kennwort zu finden, das Sie sich leicht merken können, das aber von anderen nur schwer erraten werden kann. Vermeiden Sie es, die Vornamen Ihrer Kinder oder andere persönliche Informationen zu benutzen, die Außenstehende leicht erraten können. Ändern Sie regelmäßig Ihr Passwort, teilen Sie es mit niemandem und benutzen Sie unterschiedliche Passwörter für verschiedene Anwendungen.

Antivirenprogramme: impfen Sie Ihren Computer
Auch ein Computer muss geimpft werden, um gesund zu bleiben und gegen Würmer und Viren gewappnet zu sein. Ein Antivirenprogramm installieren und aktuell halten ist ein unverzichtbarer Reflex in der Computersicherheit.

3. Firewall: Gut gerüstet gegen Angriffe
Installieren Sie eine Firewall und konfigurieren Sie sie richtig. So können Sie nicht nur Angriffe oder verdächtige Verbindungen, die möglicherweise auf Viren, Würmer oder Trojaner zurückgehen, abwehren, sondern auch eine unbeabsichtigte Preisgabe persönlicher und vertraulicher Informationen verhindern.

4. Anti-Spyware: Gegen organisiertes Ausspionieren
Sichern Sie Ihre E-Banking / E-Commerce Transaktionen, indem Sie ein Anti-Spyware-Programm installieren und untersuchen Sie regelmäßig den Rechner, um Schadprogramme zu entdecken die sich eventuell eingenistet haben.

5. Patches: stopfen Sie die Löcher
Aktualisieren Sie laufend Ihr Betriebssystem und Ihren Browser, um sich vor Angreifern zu schützen, die ständig nach Schwachstellen suchen. Dagegen gibt es nur ein Mittel – die von den betreffenden Softwareunternehmen bereitgestellten Patches. So wie das Antivirenprogramm muss auch das Betriebssystem ständig gewartet werden. Dazu gehören regelmäßige Updates, mit denen Sie Gefahren wie Würmern, Viren und Trojanern einen Strich durch die Rechnung machen können.

Rechtliche Aspekte

Das Nicht-Befolgen von Gesetzen im Bereich der Informationstechnologien kann eine Organisation in brenzlige Situationen bringen, gegenüber dem Gesetz, und seinen Kunden (Markenimage), kann aber auch finanzielle Konsequenzen (Geldstrafen) oder strafrechtliche Folgen (Verantwortung der Personen) haben.

Die Justiz erkennt und bestraft:

  • die Verantwortung des Angreifers;

  • die Verantwortung des Vermittlers des Angriffs:

  • die Verantwortung des Opfers des Angriffs: Die rechtliche Konsequenz für die Vernachlässigung der Sicherheit beim Umgang mit persönlichen Daten ist strafbar mit einer Gefängnishaft zwischen 8 Tagen und einem Jahr und einer Geldstrafe zwischen 251 und 125.000 Euro.

In der Tat muss jeder Betrieb eine Sicherheitsstufe auf Basis folgender Aspekte umsetzen:

  • des Risikos der Gefährdung des Privatlebens;

  • des Stands der Technik (beinhaltet die Verpflichtung zur Instandhaltung, und informiert zu bleiben);

  • der Kosten der Umsetzung.