Grundlagen

Organisatorische IT-Sicherheit

Im Mittelstand kommt es darauf an, pragmatische wie bezahlbare Verfahren in Sachen IT-Sicherheit zu entwickeln und umzusetzen. In diesem Grundlagenartikel beleuchten wir wesentliche organisatorische Anforderungen hierzu, darunter Richtlinien für Benutzer sowie Datenschutz- und Datensicherheitskonzepte.
Die Absicherung der im Rahmen einer Risikoanalyse identifizierten Risiken muss grundsätzlich auf organisatorischer und auf technischer Ebene erfolgen. Auf organisatorischer Ebene werden die Rahmenbedingungen und Verhaltensweisen beispielsweise per Arbeitsanweisung oder Betriebsvereinbarung an die Mitarbeiter kommuniziert. Auf der technischen Ebene erfolgt dann die Umsetzung der vereinbarten Rahmenbedingungen, indem mit den entsprechenden Werkzeugen (Firewall, URL-Filter, Device-/Applikationskontrolle et cetera) die Richtlinien durchgesetzt werden.

Leider vernachlässigen vor allem kleinere Unternehmen die organisatorische Seite noch und suchen ihr Heil alleine in der Technik. Doch das geht meist nicht gut, weil fehlende organisatorische Regelungen sich im Schadensfall schnell als Showstopper erweisen. So kann die Aufnahme interner Ermittlungen gegen Mitarbeiter bereits an einer fehlenden IT-Richtlinie scheitern oder die Einsichtnahme in Mailboxen der Mitarbeiter ist nicht möglich, weil das Unternehmen die private Nutzung des geschäftlichen E-Mail-Accounts geduldet hat. Denn die private E-Mail-Kommunikation ist in Deutschland durch das Telekommunikationsgesetz geschützt und auch Richter in Arbeitsprozessen bewerten den Schutz der Persönlichkeitsrechte der Angestellten meist höher als die wirtschaftlichen Interessen eines Unternehmens.

Die folgenden Richtlinien sollten daher in keinem Unternehmen fehlen:

  • IT-Richtlinie / Benutzerrichtlinie
  • Admin-Richtlinie / Vertraulichkeitsvereinbarung für externe Dienstleister
  • Datenschutz- und Datensicherheitskonzept

Ist im Unternehmen ein Betriebsrat vorhanden, müssen Umfang und Inhalt der Dokumente mit diesem abgestimmt und anschließend als Betriebsvereinbarung veröffentlicht werden. In Unternehmen ohne Betriebsrat kann die Unternehmensleitung die Richtlinien dagegen direkt als verbindliche Arbeitsanweisung für alle Mitarbeiter einführen und sich die Kenntnisnahme schriftlich bestätigen lassen.

Die IT-/Benutzerrichtlinie ist ein für alle IT-Benutzer verbindliches Dokument, in dem vor allem folgende Aspekte der IT-Nutzung geregelt werden sollten:
  1. Einhaltung von Rechtsvorschriften, keine Nutzung der IT-Systeme für rechtswidrige Zwecke.
  2. Nutzung der IT-Systeme ausschließlich für dienstliche Zwecke, Verbot der Nutzung privater Hard- und Software zu dienstlichen Zwecken.
  3. Verpflichtung, Unternehmensdaten ausschließlich auf Netzlaufwerken zu speichern damit jederzeit eine zuverlässige Sicherung der Daten gewährleistet ist.
  4. Die Installation von Software darf ausschließlich vom IT-Personal vorgenommen werden.
  5. Passwortrichtlinie, Bildschirmschonerpasswort, Verpflichtung zum Abmelden bei Verlassen des Arbeitsplatzes.
  6. Internet- und E-Mail nur für die dienstliche Nutzung.
  7. Vertretungsregelung sowie Regelung für den Postfachzugriff bei Abwesenheit.
  8. Verhaltensregeln bei sicherheitsrelevanten Vorfällen.

Der Ausschluss der privaten Nutzung von Internet- und E-Mail sowie privater Geräte für dienstliche Zwecke kann Ihnen eine Menge Ärger ersparen. Denn durch das Verbot der privaten Nutzung dieser Arbeitsmittel dürfen Sie davon ausgehen, dass beispielsweise in E-Mails auch nur dienstliche Daten enthalten sind – diese gelten dann als Handelsbriefe. Und auf diese darf das Unternehmen dann auch jederzeit zugreifen, das systematische Mitlesen der Korrespondenz einzelner Mitarbeiter ist dennoch weiterhin nicht erlaubt.

Richtlinien für Admins und externe IT-Dienstleister
Vor allem kleinere Unternehmen lagern die Administration ihrer IT-Systeme häufig an externe Dienstleister aus. Doch egal, ob Sie einen internen Administrator einsetzen oder einen externen Dienstleister beschäftigen, die Richtlinie für Administratoren beziehungsweise für externe IT-Dienstleister sollte immer mindestens die folgenden Punkte regeln:

  • Wahrung von Datenschutz und Datensicherheit.
  • Ausschließliche Nutzung personalisierter Admin-Accounts.
  • Die Verfügbarkeit der IT-Infrastruktur ist zu gewährleisten.
  • Die Aktualität der IT-Infrastruktur ist zu gewährleisten.
  • Die Datensicherung ist nach dem jeweiligen Stand der Technik durchzuführen und Wiederherstellbarkeit jederzeit zu gewährleisten.
  • Es ist eine Systemdokumentation zu erstellen und jederzeit aktuell zu halten.

Datenschutz- und Datensicherheitskonzept
Zu den organisatorischen Anforderungen gehört auch die Erstellung eines Datenschutz- und Datensicherheitskonzepts. Dies gilt umso mehr, da seit 25. Mai 2018 die Übergangsfrist der EU-Datenschutz-Grundverodnung abgelaufen und die Verordnung damit auch in Deutschland rechtswirksam in Kraft getreten ist. Beim Datenschutzkonzept geht es vorrangig um den Schutz personenbezogener Daten. Das Datensicherheitskonzept beschreibt dagegen die konkrete Umsetzung der getroffenen Schutzmaßnahmen zum Schutz dieser Daten und der dafür genutzten IT-Systeme.
12.10.2018/Thomas Zeller/dr

Nachrichten

Sensible Daten auf Gebrauchtgeräten [22.01.2021]

Egal ob Computer, mobile Geräte wie Smartphones oder Speichermedien, circa die Hälfte der Nutzer in Deutschland hat solche Geräte bereits gebraucht weiterverkauft. Die Käufer freuen sich dabei nicht nur über verbilligte Geräte, sondern oftmals auch über mitgelieferte Daten wie Musik, Fotos, Logindaten oder Kopien von Ausweisdokumenten des Vorbesitzers. Diese Ergebnisse gehen aus einer aktuellen Kaspersky-Umfrage hervor. [mehr]

Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor [11.01.2021]

Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden. Diese Art von Malware ermöglicht einen Fernzugriff auf den Computer eines Opfers. Die Erkenntnisse könnten Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen. [mehr]

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

"Liegt das neue Jahr vor dir und das alte hinter dir, lass das alte liegen und hebe das neue auf." Dieses Sprichwort bringt es ganz gut auf den Punkt. 2020 war kein leichtes Jahr, liegt aber hinter uns und wir können mit guten Vorsätzen und Zuversicht ins neue Jahr starten. Wir hoffen, dass Sie trotz der aktuellen Umstände eine frohe Weihnachtszeit hatten und drücken die Daumen für 2021. Damit Sie auch in diesem Jahr ausreichend mit Lesestoff versorgt sind, sollten Sie einen Blick auf unser Sonderheft "VMware vSpehere 7 – Server, Netze und Storage virtualisieren" werfen. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen