Organisatorische IT-Sicherheit

Lesezeit
2 Minuten
Bis jetzt gelesen

Organisatorische IT-Sicherheit

12.10.2018 - 09:37
Veröffentlicht in:
Im Mittelstand kommt es darauf an, pragmatische wie bezahlbare Verfahren in Sachen IT-Sicherheit zu entwickeln und umzusetzen. In diesem Grundlagenartikel beleuchten wir wesentliche organisatorische Anforderungen hierzu, darunter Richtlinien für Benutzer sowie Datenschutz- und Datensicherheitskonzepte.
Die Absicherung der im Rahmen einer Risikoanalyse identifizierten Risiken muss grundsätzlich auf organisatorischer und auf technischer Ebene erfolgen. Auf organisatorischer Ebene werden die Rahmenbedingungen und Verhaltensweisen beispielsweise per Arbeitsanweisung oder Betriebsvereinbarung an die Mitarbeiter kommuniziert. Auf der technischen Ebene erfolgt dann die Umsetzung der vereinbarten Rahmenbedingungen, indem mit den entsprechenden Werkzeugen (Firewall, URL-Filter, Device-/Applikationskontrolle et cetera) die Richtlinien durchgesetzt werden.

Leider vernachlässigen vor allem kleinere Unternehmen die organisatorische Seite noch und suchen ihr Heil alleine in der Technik. Doch das geht meist nicht gut, weil fehlende organisatorische Regelungen sich im Schadensfall schnell als Showstopper erweisen. So kann die Aufnahme interner Ermittlungen gegen Mitarbeiter bereits an einer fehlenden IT-Richtlinie scheitern oder die Einsichtnahme in Mailboxen der Mitarbeiter ist nicht möglich, weil das Unternehmen die private Nutzung des geschäftlichen E-Mail-Accounts geduldet hat. Denn die private E-Mail-Kommunikation ist in Deutschland durch das Telekommunikationsgesetz geschützt und auch Richter in Arbeitsprozessen bewerten den Schutz der Persönlichkeitsrechte der Angestellten meist höher als die wirtschaftlichen Interessen eines Unternehmens.

Die folgenden Richtlinien sollten daher in keinem Unternehmen fehlen:

  • IT-Richtlinie / Benutzerrichtlinie
  • Admin-Richtlinie / Vertraulichkeitsvereinbarung für externe Dienstleister
  • Datenschutz- und Datensicherheitskonzept

Ist im Unternehmen ein Betriebsrat vorhanden, müssen Umfang und Inhalt der Dokumente mit diesem abgestimmt und anschließend als Betriebsvereinbarung veröffentlicht werden. In Unternehmen ohne Betriebsrat kann die Unternehmensleitung die Richtlinien dagegen direkt als verbindliche Arbeitsanweisung für alle Mitarbeiter einführen und sich die Kenntnisnahme schriftlich bestätigen lassen.

Die IT-/Benutzerrichtlinie ist ein für alle IT-Benutzer verbindliches Dokument, in dem vor allem folgende Aspekte der IT-Nutzung geregelt werden sollten:
  1. Einhaltung von Rechtsvorschriften, keine Nutzung der IT-Systeme für rechtswidrige Zwecke.
  2. Nutzung der IT-Systeme ausschließlich für dienstliche Zwecke, Verbot der Nutzung privater Hard- und Software zu dienstlichen Zwecken.
  3. Verpflichtung, Unternehmensdaten ausschließlich auf Netzlaufwerken zu speichern damit jederzeit eine zuverlässige Sicherung der Daten gewährleistet ist.
  4. Die Installation von Software darf ausschließlich vom IT-Personal vorgenommen werden.
  5. Passwortrichtlinie, Bildschirmschonerpasswort, Verpflichtung zum Abmelden bei Verlassen des Arbeitsplatzes.
  6. Internet- und E-Mail nur für die dienstliche Nutzung.
  7. Vertretungsregelung sowie Regelung für den Postfachzugriff bei Abwesenheit.
  8. Verhaltensregeln bei sicherheitsrelevanten Vorfällen.

Der Ausschluss der privaten Nutzung von Internet- und E-Mail sowie privater Geräte für dienstliche Zwecke kann Ihnen eine Menge Ärger ersparen. Denn durch das Verbot der privaten Nutzung dieser Arbeitsmittel dürfen Sie davon ausgehen, dass beispielsweise in E-Mails auch nur dienstliche Daten enthalten sind – diese gelten dann als Handelsbriefe. Und auf diese darf das Unternehmen dann auch jederzeit zugreifen, das systematische Mitlesen der Korrespondenz einzelner Mitarbeiter ist dennoch weiterhin nicht erlaubt.

Richtlinien für Admins und externe IT-Dienstleister
Vor allem kleinere Unternehmen lagern die Administration ihrer IT-Systeme häufig an externe Dienstleister aus. Doch egal, ob Sie einen internen Administrator einsetzen oder einen externen Dienstleister beschäftigen, die Richtlinie für Administratoren beziehungsweise für externe IT-Dienstleister sollte immer mindestens die folgenden Punkte regeln:

  • Wahrung von Datenschutz und Datensicherheit.
  • Ausschließliche Nutzung personalisierter Admin-Accounts.
  • Die Verfügbarkeit der IT-Infrastruktur ist zu gewährleisten.
  • Die Aktualität der IT-Infrastruktur ist zu gewährleisten.
  • Die Datensicherung ist nach dem jeweiligen Stand der Technik durchzuführen und Wiederherstellbarkeit jederzeit zu gewährleisten.
  • Es ist eine Systemdokumentation zu erstellen und jederzeit aktuell zu halten.

Datenschutz- und Datensicherheitskonzept
Zu den organisatorischen Anforderungen gehört auch die Erstellung eines Datenschutz- und Datensicherheitskonzepts. Dies gilt umso mehr, da seit 25. Mai 2018 die Übergangsfrist der EU-Datenschutz-Grundverodnung abgelaufen und die Verordnung damit auch in Deutschland rechtswirksam in Kraft getreten ist. Beim Datenschutzkonzept geht es vorrangig um den Schutz personenbezogener Daten. Das Datensicherheitskonzept beschreibt dagegen die konkrete Umsetzung der getroffenen Schutzmaßnahmen zum Schutz dieser Daten und der dafür genutzten IT-Systeme.


Thomas Zeller/dr

Tags

Ähnliche Beiträge

Pass-the-Hash-Angriffe

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Der ursprünglich sehr aufwendige Pass-the-Hash-Attacke ist heute nur noch eine Sache weniger Klicks. Wir beleuchten die Grundlagen dieses Angriffsvektors.

Browser-Isolation mit Adaptive-Clientless-Rendering

Web-Browser gehören heute zu den wichtigsten Anwendungen in Unternehmen - damit allerdings auch zu den bedeutendsten Schwachstellen für Angriffe. Das simple Laden einer bösartigen Web-Site reicht aus, um das Endgerät des Nutzers zu kompromittieren und kann zur Installation von Malware, Datendiebstahl oder der Penetration von Firmennetzen führen. Neue Isolationstechniken versprechen Abhilfe. Dieser Grundlagen-Artikel erläutert, wie die Browser-Isolation mit Adaptive-Clientless-Rendering funktioniert.

Physische Sicherheit im Serverraum

Eines der komplexesten Themengebiete im Bereich der IT-Sicherheit ist der physische Schutz. Gleichwohl ist dies eine der unterschätztesten Sicherheitsaufgaben. Sehr viele Unternehmen ergreifen konkrete technische Maßnahmen zur Absicherung vor Viren und sonstigem Schadcode oder dem Hacker- Angriff von außen. Vernachlässigt wird dabei immer wieder, das eigene Rechenzentrum gegen einschlägige Gefahren zu wappnen.