|
|
| (14 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| == Umsetzungsbereiche ==
| | [[Kategorie:ISMS/Rahmen]] |
| Zur Sensibilisierung für die Gefahren im Bereich der IT-Sicherheit und um mögliche Gegenmaßnahmen aufzuzeigen, existieren in Deutschland einige Initiativen.
| |
| * Dazu zählen der Cyber-Sicherheitsrat Deutschland e. V., der Verein [[Deutschland sicher im Netz]], die Allianz für Cyber-Sicherheit und die [[Sicherheitskooperation Cybercrime]].
| |
| | |
| === Privathaushalte ===
| |
| Programmierfehler in fast jeder [[Software]] machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen.
| |
| * Durch den Anschluss von Computern mit sensiblen Daten (zum Beispiel [[Electronic Banking|Homebanking]], Bearbeitung der [[Dissertation]]) an das [[Internet]] sind diese Schwachstellen auch von außen nutzbar.
| |
| * Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der [[Infrastruktur]] (zum Beispiel [[unterbrechungsfreie Stromversorgung]], Einbruchsschutz) ergriffen werden.
| |
| | |
| Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.
| |
| | |
| Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist, die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen.
| |
| * So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen [[Server]]-Programme laufen.
| |
| * Server-Dienste werden von vielen Betriebssystemen in der Standardinstallation geladen; mit deren Deaktivierung schließt man eine Reihe wichtiger Angriffspunkte.
| |
| | |
| Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen sind vielen Benutzern ebenfalls fremd.
| |
| * Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.
| |
| | |
| Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise [[Firewall]]s, [[Intrusion Detection System|Intrusion-Detection-Systeme]] etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht.
| |
| * Allzu oft gelingt es [[Hacker]]n, durch Ausnutzung eines zu schwachen [[Passwort|Kennworts]] oder durch sogenanntes [[Social Engineering (Sicherheit)|Social Engineering]] Zugang zu sensiblen Daten zu erlangen.
| |
| | |
| === IT-Sicherheit bei Sparkassen und Banken ===
| |
| Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von [[Basel II]], die Vorschriften von [[Bundesanstalt für Finanzdienstleistungsaufsicht|BaFin]] und des [[Kreditwesengesetz|KWG]] sowie der einzelnen Verbandsrevisionen der [[Sparkasse]]n und [[Bank]]en beigetragen.
| |
| * Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt.
| |
| * Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen.
| |
| * Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.
| |
| * Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.
| |
| Siehe auch|Krisenreaktionszentrum für IT-Sicherheit der Deutschen Versicherungswirtschaft
| |
| | |
| === IT-Sicherheit bei anderen Unternehmen ===
| |
| Auch wenn die Gesetzgebungen und Prüfungen in anderen Sektoren der Wirtschaft weniger Vorgaben macht, behält die IT-Sicherheit ihren hohen Stellenwert.
| |
| * Hilfestellungen gewähren die kostenfreien [[IT-Grundschutz-Kataloge]] des [[Bundesamt für Sicherheit in der Informationstechnik|BSI]].
| |
| | |
| Durch die zunehmende Vernetzung verschiedener Niederlassungen z. B. bei Firmenzukäufen gewinnt eine Absicherung der IT-Systeme größere Bedeutung.
| |
| * Durch die Datenübertragung aus einem internen, geschlossenen Netzwerk über eine externe, öffentliche Verbindung zum anderen Standort entstehen risikobehaftete Situationen.
| |
| | |
| Die Auswirkungen für Unternehmen sind u. a.:
| |
| | |
| * Verlust von Daten,
| |
| * Manipulation von Daten,
| |
| * unzuverlässiger Empfang von Daten,
| |
| * verspätete Verfügbarkeit von Daten,
| |
| * Abkopplung von Systemen für das operative Geschäft,
| |
| * unzulässige Verwertung von Daten,
| |
| * fehlende Entwicklungsfähigkeit der eingesetzten Systeme.
| |
| | |
| Die Gefahr liegt nicht nur im firmeninternen Datenaustausch.
| |
| * Zunehmend werden Anwendungen direkt zu den Nutzern übertragen, oder externe Mitarbeiter und outgesourcte Dienstleister können auf interne Daten zugreifen und diese bearbeiten und verwalten.
| |
| * Dies erfordert entsprechende Zugriffsberechtigungen ([[Authentifizierung]]) sowie eine Dokumentation der getätigten Aktionen wie Datenabruf oder Datenänderungen.
| |
| | |
| Dieser Thematik folgend entstehen neue Anforderungen an die bestehenden Sicherheitskonzepte.
| |
| * Hinzu kommen die gesetzlichen Vorgaben, die ebenfalls in das IT-Sicherheitskonzept mit integriert werden müssen.
| |
| * Die entsprechenden Gesetze werden von externen und internen Prüfern kontrolliert.
| |
| * Da keine Methoden definiert worden sind, um diese Ergebnisse zu erreichen, wurden hier für die jeweiligen Bereiche verschiedenen „Best Practice“-Methoden entwickelt, wie zum Beispiel [[ITIL]], [[COBIT]], ISO oder [[Basel II]].
| |
| | |
| Hier gilt der Ansatz, ein Unternehmen so zu führen und zu kontrollieren, dass die relevanten und möglichen Risiken abgedeckt sind ([[IT-Governance]]).
| |
| * Grundlagen dafür sind sowohl die ''zwingenden Standards'', also Gesetze ([[Handelsgesetzbuch|HGB]], [[Abgabenordnung|AO]], GOB) und Fachgutachten ([[Sarbanes-Oxley Act]], 8. EU-Audit-Richtlinie), als auch die ''unterstützenden Standards'' ([[Best Practice]]).
| |
| | |
| Die Risiken müssen identifiziert, analysiert und bewertet werden, um ein ganzheitliches Sicherheitskonzept aufbauen zu können.
| |
| * Dies beinhaltet nicht nur die eingesetzten Technologien, sondern auch konzeptionelle Aspekte wie Zuständigkeiten, Berechtigungen, Kontrollinstanzen oder Mindestanforderungen für bestimmte Sicherheitsmerkmale.
| |
| | |
| So werden nun an die EDV besondere Anforderungen gestellt:
| |
| | |
| # Verhinderung von Manipulationen
| |
| # Nachweis von Eingriffen
| |
| # Installation von Frühwarnsystemen
| |
| # Interne Kontrollsysteme
| |
| | |
| Dabei ist zu beachten, dass die Daten der Automation derart gespeichert werden, dass sie jederzeit lesbar, nachvollziehbar und konsistent sind.
| |
| * Dazu müssen diese Daten vor Manipulation und Löschung geschützt werden.
| |
| * Jegliche Änderung soll ein Versionsmanagement auslösen und die Reporte und Statistiken über die Prozesse und deren Änderungen müssen direkt zentral abrufbar sein.
| |
| | |
| Eine Abhilfe können hier hochentwickelte Automatisierungslösungen sein.
| |
| * Dadurch, dass weniger manuelle Eingriffe notwendig sind, werden potenzielle Gefahrenquellen ausgeschlossen.
| |
| * Die RZ-Automation umfasst somit folgende Gebiete:
| |
| | |
| * Risikofaktor Prozessablauf
| |
| * Risikofaktor Ressourcen
| |
| * Risikofaktor Technologie
| |
| * Risikofaktor Zeit
| |
| | |
| === IT-Sicherheit in öffentlichen Einrichtungen und Behörden ===
| |
| Im Bereich öffentliche Einrichtungen und Behörden sind die [[IT-Grundschutz-Kataloge]] des [[Bundesamt für Sicherheit in der Informationstechnik|Bundesamtes für Sicherheit in der Informationstechnik (BSI)]] Standardwerke.
| |
| * In großem Maße erhalten diese Stellen das zugehörige [[GSTOOL]], welches die Durchführung deutlich vereinfacht, kostenlos.
| |