Version [96050]
Dies ist eine alte Version von DSMassnahmen erstellt von WojciechLisiewicz am 2021-01-12 19:18:18.
Maßnahmen zur Sicherstellung der Datensicherheit
ausgewählte Beispiele und Erfahrungen mit diesen
Die Sicherstellung der (möglichst weitreichenden) Daten- und IT-Sicherheit erfordert den Einsatz unzähliger Instrumente und Werkzeuge, ebenso unzählige Maßnahmen können notwendig sein. Im Grunde genommen hängt der Umfang der einzusetzenden Maßnahmen davon ab, wie komplex die eingesetzten Datenverarbeitungssysteme selbst und wie einschneidend ihr Einsatz in einer Organisation sind. Es ist kaum möglich, alle Maßnahmen im Rahmen einer kleinen Lehrveranstaltung in hinreichendem Umfang vorzustellen, deshalb kann hier nur eine (willkürliche - bzw. auf der Erfahrung des Autors basierende) Auswahl getroffen und erläutert werden.
Vor der Vorstellung einiger, wichtiger Ansätze ist allerdings ein systematischer Überblick über die Maßnahmen insgesamt erforderlich.
A. Systematik
Die Maßnahmen, die zur Sicherstellung der Datensicherheit eingesetzt werden können bzw. müssen, haben nicht nur technischen Charakter. Leider erscheinen viele von Ihnen, wie überflüssige Bürokratie und aus Sicht eines Praktikers vom eigentlichen Problem weit entfernt - Erfahrung lehrt aber, dass die rein technische Betrachtung definitiv nicht ausreichend ist, Datensicherheit optimal zu gewährleisten. Folgende Arten von Maßnahmen müssen stets in die Betrachtung einbezogen werden, wenn Daten- und IT-Sicherheit erfolgreich angegangen werden soll [1]:
1. Verträge und andere rechtliche Regelungen
In Arbeitsverträgen, Verpflichtungserklärungen, in Verträgen mit Lieferanten und Kunden können Regelungen getroffen werden, die für das Sicherheitssystem relevant sind. Insbesondere können sie dazu beitragen, dass bestimmte Verhaltensweisen als rechtliche Pflicht übernommen werden, so dass ihre Einhaltung zumindest wahrscheinlicher erscheint und für den Fall einer Zuwiderhandlung rechtliche Konsequenzen gezogen werden können. Damit tragen sie zur Steigerung des Sicherheitsniveaus bei.
In Arbeitsverträgen, Verpflichtungserklärungen, in Verträgen mit Lieferanten und Kunden können Regelungen getroffen werden, die für das Sicherheitssystem relevant sind. Insbesondere können sie dazu beitragen, dass bestimmte Verhaltensweisen als rechtliche Pflicht übernommen werden, so dass ihre Einhaltung zumindest wahrscheinlicher erscheint und für den Fall einer Zuwiderhandlung rechtliche Konsequenzen gezogen werden können. Damit tragen sie zur Steigerung des Sicherheitsniveaus bei.
2. Organisation
Werden Mitarbeiter, Vertragspartner und sonstige Mitglieder einer Organisation nicht dazu klar aufgefordert, bestimmte Regeln zu befolgen, ist die Wahrscheinlichkeit nicht groß, dass sie sie auch befolgen werden. Nicht aus böser Absicht, sondern aus Mangel an Bewusstsein und wegen Fokussierung auf ihre primären Aufgaben - das Thema der Daten- und IT-Sicherheit steht häufig einer schnellen Aufgabenerledigung im Wege...
Werden Mitarbeiter, Vertragspartner und sonstige Mitglieder einer Organisation nicht dazu klar aufgefordert, bestimmte Regeln zu befolgen, ist die Wahrscheinlichkeit nicht groß, dass sie sie auch befolgen werden. Nicht aus böser Absicht, sondern aus Mangel an Bewusstsein und wegen Fokussierung auf ihre primären Aufgaben - das Thema der Daten- und IT-Sicherheit steht häufig einer schnellen Aufgabenerledigung im Wege...
Deshalb sollte man manche Regeln schlicht transparent festlegen, die für das Sicherheitssystem im konkreten Fall unabdingbar sind:
- welche Zugriffsrechte und daraus folgend Pflichten haben einzelne Personen?
- welche Verhaltensregeln sollen gelten, wenn Prozesse mit IT realisiert werden?
- welche Regeln sind bei einzelnen Vorgängen) einzuhalten (Beispiel: externe Besuche)?
- welche Vorgaben gelten bei Datenmitnahme oder privater Nutzung von IT-Systemen des Unternehmens bzw. bei Nutzung privater Geräte für dienstliche Zwecke - oder soll dies gänzlich verboten sein?
- welche Passwortregeln und andere Zugriffsvorgaben sind einzuhalten?
- hinreichend qualifizierte Personen - auch und insbesondere im Hinblick auf die datenverarbeitenden Systeme - eingesetzt werden,
- sie auch ungeachtet ihrer Grundausbildung auf die entsprechenden Sicherheitsthemen aufmerksam und sensibilisiert werden (Trainings? mindestens adressatengerechte Kommunikation)
4. Infrastruktur
Nicht nur die Datenverarbeitungsprozesse selbst als eine virtuelle Erscheinung müssen möglichst sicher ausgestaltet werden - auch die physikalische Infrastruktur hat enorme Bedeutung für die Datensicherheit. Zugang zu Räumen, sichere Verlegung von Leitungen, Brandschutz etc. müssen häufig genauso gewährleistet werden, wie eine Netzwerkabsicherung vor digitalen Angriffen.
Nicht nur die Datenverarbeitungsprozesse selbst als eine virtuelle Erscheinung müssen möglichst sicher ausgestaltet werden - auch die physikalische Infrastruktur hat enorme Bedeutung für die Datensicherheit. Zugang zu Räumen, sichere Verlegung von Leitungen, Brandschutz etc. müssen häufig genauso gewährleistet werden, wie eine Netzwerkabsicherung vor digitalen Angriffen.
5. Technik
Netzwerke sind abzusichern, die eingesetzte Hardware und Software muss Sicherheitsstandard entsprechen oder gemäß den Sicherheitsanforderungen eingesetzt und konfiguriert werden. Wenn nötig, sind spezielle Sicherheitsfunktionen einzusetzen.
Netzwerke sind abzusichern, die eingesetzte Hardware und Software muss Sicherheitsstandard entsprechen oder gemäß den Sicherheitsanforderungen eingesetzt und konfiguriert werden. Wenn nötig, sind spezielle Sicherheitsfunktionen einzusetzen.
B. Validierung
Bei der Frage, ob eine Maßnahme für ein konkretes Szenario eingesetzt werden sollte, kann bereits im Vorfeld ihres Einsatzes - also deduktiv - zumindest grob überprüft werden, ob sie sinnvoll ist. Diese Überprüfung, die Validierung genannt wird, kann in folgenden gedanklichen Schritten vollzogen werden:
- (prinzipielle) Eignung, der Bedrohung zu begegnen oder Schäden zu mindern
- (hinreichende) Wirksamkeit, d. h. Widerstandsfähigkeit gegenüber der Bedrohung
- keine Maßnahmenkonflikte (die zum gegenseitigen Aushebeln von Mechanismen führen können)
- Praktikabilität (d. h. einfacher Einsatz, geringer Aufwand und keine Fehleranfälligkeit)
- Akzeptanz (keine Beeinträchtigung der betroffenen Beteiligten)
- Wirtschaftlichkeit (Kosten-Nutzen-Verhältnis)
- Angemessenheit (des Aufwands zur Bedeutung des geschätzten Prozesses)
Eine Auswahl der "Sicherheitstechnologien" oder schlicht derjenigen Werkzeuge, die bei digitaler Datenverarbeitung Sicherheit erhöhen können, wird nachstehend vorgestellt und in der Lehrveranstaltung - mit kleinen Beispielen - behandelt. Es handelt sich um keinen offiziellen Katalog oder Empfehlung offizieller Stellen - es sind Werkzeuge, deren Vorteile der Autor im praktischen Einsatz kennenlernen konnte.
- Backup - aber richtig
- Lücken minimieren - Security Updates
- Ins Netz gehen - der Router und nicht nur
- Vertraulichkeit mit Verschlüsselung
- Vertraulichkeit über öffentliche Netze => VPN
- Heterogenität und Isolation
- Analyse und Überwachung
- Problem: Trusted Computing!
[1] Vgl. dazu Kersten / Klett: Der IT Security Manager, Kapitel 7.1.
Diese Seite wurde noch nicht kommentiert.