IT-Sicherheit für GBVs
IT-Sicherheit ist heutzutage ein wichtiges Thema, um neben weiteren Faktoren den Fortbestand eines Unternehmens zu gewährleisten. Einerseits, weil Unternehmensprozesse heute weitestgehend IT-gestützt abgewickelt werden und andererseits es dahingehend eine Vielzahl von Bedrohungsarten bzw. -szenarien gibt, welche den Betrieb der IT-Infrastruktur einschränken, empfindlich stören oder sogar bis zum Totalausfall führen können.
Im erweiterten Kontext geht es demnach um das C.I.A. Prinzip, also Confidentiality, Integrity und Availability (zu Deutsch: Vertraulichkeit, Integrität, Verfügbarkeit)
- Wie gewährleiste ich Vertraulichkeit und vermeide den unbefugten Zugriff auf die Daten.
- Wie bewahre ich die Korrektheit von Daten und eine korrekte Funktionsweise der Systeme.
- Wie gewährleiste ich, dass meine IT immer zur Verfügung steht und falls es doch einmal eine Beeinträchtigung gibt, wie stelle ich den Normalbetrieb schnellstmöglich wieder her.
Ein Unternehmen sollte zu Beginn anhand einer durchgeführten Risikoanalyse und einer Business Impact Analyse einschätzen, welche Geschäftsprozesse und damit im Zusammenhang stehend, welche Komponenten und Services der IT-Infrastruktur in welchem Maße kritisch sind. Daraus lassen sich Maßnahmen ableiten, um bestmöglichen Schutz bzw. Verfügbarkeit zu gewährleisten.
Welche Maßnahmen braucht es?
Die Möglichkeiten für IT-Sicherheit zu sorgen sind scheinbar grenzenlos. Je nach Größe und IT-Ausstattung eines Unternehmens wird die Umsetzung von Maßnahmen verschieden sein. Anhaltspunkte wären beispielsweise die folgenden:
- notwendige Maßnahmen,
- effizienter Ablauf der Geschäftsprozesse sollte gewährleistet bleiben,
- Maßnahmen lassen sich leicht bzw. schnell umsetzen und erreichen sofort eine deutliche Verringerung des IT-Risikos,
- Kosten.
Unterscheiden kann man zwischen organisatorischen und technischen Maßnahmen. Während die organisatorischen Maßnahmen das Verhalten des Mitarbeiters bzw. der Mitarbeiterin regeln, sorgen technische Maßnahmen neben der beabsichtigten Schutzwirkung unter anderem für die Einhaltung und Kontrolle der organisatorischen Maßnahmen.
Beispiel:
Organisatorische Maßnahme - Der Mitarbeiter oder die Mitarbeiterin wurde angewiesen, dass er oder sie den Virenschutz am Computer nicht deaktivieren darf.
Technische Maßnahme – Der Virenschutz-Agent ist so konfiguriert, dass man diesen nicht ausschalten kann und die Mitarbeiter und Mitarbeiterinnen keine Administrator-Rechte auf den Computern haben.
Nachfolgend finden Sie eine exemplarische Aufzählung von Maßnahmen:
- IT-Security-Richtlinie
- Berechtigungskonzept
- Passwortrichtlinie und Kennwortsperrrichtlinie
- Einspielen von Updates / Patches
- E-Mail-Security
- Virenschutz mit Verhaltensanalyse
- Backup (Datensicherung)
- Monitoring
- Vermeidung unnötiger Software am Endgerät
- Datenverschlüsselung (z.B. interne Datenträger, USB-Stick. externe Festplatten)
- Bildschirmsperre
- Zwei-Faktor-Authentifizierung
- Applikationskontrolle
- Verschlüsselte Verbindungen (z.B. WLAN, VPN, E-Mail)
- Webfilter
- Firewall
- Standardpasswörter ändern
- Support und Wartungslaufzeiten von Hardware und Software
- Awareness-Schulungen
Permanentes Dranbleiben
Eine reine Implementierung der Maßnahmen reicht nicht aus. Es ist eine periodische Kontrolle bzw. ein wiederkehrender Review notwendig, um die dauerhafte Wirksamkeit der Maßnahmen sicherzustellen.
Als Beispiel sei hier ein implementierter Backup-Job genannt, welcher jedoch nicht kontrolliert wird. Es besteht das Risiko, dass es seit einiger Zeit keine erfolgreiche Datensicherung mehr gegeben hat und somit die Daten bei einer notwendigen Wiederherstellung veraltet sind.
Zusammenfassend kann man festhalten, dass IT-Sicherheit an vielen Stellen im Unternehmen eine Rolle spielt. Erkennbar ist jedoch, dass durch Themen wie Cloud, Vernetzung, Online-Anwendungen oder mobiles Arbeiten der Endpoint immer mehr zum Angriffspunkt wird. Das heißt, nicht nur der Computer am Arbeitsplatz, sondern auch Notebooks, Tablets und Smartphones müssen entsprechend abgesichert sein. Und nicht zu vergessen wäre da noch der Mitarbeiter als Faktor Mensch, der seinen Beitrag zur IT-Sicherheit im Unternehmen leisten muss.
Dipl.-Inf. Sven Uhlig, CISA, Leiter IT Verband der gemeinnützigen Bauvereinigungen
WKO Broschüre zu finden unter: https://www.wko.at/site/it-safe/mitarbeiter-handbuch.html