Herausforderungen

Wir bauen echte Partnerschaften mit unseren Kunden auf

• Unzureichende Netzwerkabwehr
• Fehlerhafte Content Security
• Anfällige TK-Netzwerke
• Drahtlose Netzwerke
• Menschliche Schwachstellen

Bei der IT-Sicherheit geht es nicht nur um Technologie, sondern auch um das Personal. Es hat keinen Zweck, vorbildliche Sicherheitsrichtlinien auszuarbeiten, wenn niemand sie befolgt. Auch die beste Technologie nützt Ihnen gar nichts, wenn Sie einen wichtigen Server mitsamt Daten in einem unbewachten Zimmer im Erdgeschoss aufbewahren, der weder von einem Wachmann noch von Überwachungskameras gesichert wird. Werden Bewerber oder Vertragsunternehmer von Ihrer Organisation eigentlich überprüft? Die Sicherheit Ihrer Netzwerkgrenzen mag zwar solide sein. Was ist aber mit dem Schutz Ihrer Informationswerte vor „schwarzen Schafen“ beim Reinigungspersonal, die zu Ihrem System einen physischen Zugang haben?

Vielleicht macht es Ihnen nichts aus, wenn man in Ihren Büros nach Belieben ein und ausgeht. Trotzdem benötigen sie auf jeden Fall ein offizielles Verfahren zur Begleitung von Besuchern auf Ihrem Geschäftsgelände. Dies gilt umso mehr, wenn Besucher in die Nähe von Desktop-Computer kommen, die für einen Zugriff auf elektronische Daten oder Dokumentenablageeinrichtungen genutzt werden können. Ein Unternehmen fragte an, ob wir helfen könnten: Es wären Bänder mit unverschlüsselten Daten einer ganzen Woche aus einem Großraumbüro gestohlen worden, wo man sie unbeaufsichtigt hatte liegen lassen. Wir konnten dem Kunden zeigen, wie er künftig die Bänder verschlüsseln kann und rieten ihm, seine Bandspeicherverfahren zu ändern und die Bänder außerdem außerhalb der Geschäftsräume aufzubewahren.

Es sollten auch Richtlinien vorhanden sein, die den Zutritt zu Gebäudebereichen für Zeitpersonal regeln. Manchmal können die Verfahrensweisen für ausscheidende oder auf Probe eingestellte Mitarbeiter Sicherheitsprobleme verursachen. Einige Beispiele: Zugangsberechtigungen werden zu spät aufgehoben, Benutzerkonten früherer Mitarbeiter werden nicht gelöscht oder ein neuer Mitarbeiter verfügt über zu weitreichende Zugriffsrechte auf kritische Bereiche des Rechnerverbunds oder den Bürozonen. Empfehlenswert sind auch Richtlinien zur Abschwächung von Bedrohungen infolge herausnehmbarer Speichereinheiten wie USB-Speichergeräten, PDAs und der allgegenwärtige iPod, die eine Übertragung und Speicherung zunehmend größerer Datenmengen erlauben.

Die Belegschaftsangehörigen sind zu schulen, damit ihnen die Bedeutung von Sicherheit klar wird und sie die Sicherheitsrichtlinien ernst nehmen. Empfehlenswert sind auch Richtlinien für Auswahl und Änderung von Kennwörtern, das Abschließen von Workstations mit vertraulichen Daten, sobald ein Mitarbeiter seinen Schreibtisch verlässt oder auch das Vernichten vertraulicher Informationen in Unterlagen. Alle diese Richtlinien müssen aber auch durchgesetzt werden. Dies heißt jedoch nicht, dass die Organisation wie ein Polizeistaat auftreten muss, sondern eher das Verfolgen eines vernünftigen Sicherheitskonzeptes.

Schließlich muss auch klar gemacht werden, dass Richtlinien zur Nutzung von E-Mail und Internet keineswegs dazu da sind, um die Mitarbeiter zu ärgern, sondern das Unternehmen (und auch die Mitarbeiter) zu schützen. Es gibt zwar eine nicht endende Anzahl von amüsanten und grauenhaften Geschichten zu den Folgen eines Versendens der falschen E-Mail an die falsche Person, aber viele Mitarbeiter haben offensichtlich noch nicht begriffen, welchen möglichen Schaden ein Missbrauch von E-Mail verursachen kann.

Näheres über die Möglichkeiten, wie unsere Consulting Services Ihrer Organisation in diesen Bereichen helfen und die betrieblichen Risiken senken können, erfahren Sie auf den Seiten Physische Sicherheit und Risikomanagement.

© Copyright 2012 Context Information Security.

Main Navigation

• Home /
• Über uns /
• Herausforderungen /
• Unsere Dienstleistungen /
• Research /
• Kontakt