Kategorie:ISMS/Massnahmen

Aus Foxwiki

Beschreibung

Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden Unternehmenswerte angepasst werden. Zu viele Maßnahmen bedeuten zu hohe finanzielle, organisatorische oder personelle Aufwände. Akzeptanzprobleme treten auf, wenn die Mitarbeiter nicht genügend in den Prozess der IT-Sicherheit eingebunden werden. Implementiert man zu wenig Maßnahmen, bleiben für Angreifer lohnende Sicherheitslücken offen.

Management

Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down-Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (englisch: Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements kann die Einführung und der Betrieb eines Informationssicherheitsmanagement-Systems (ISMS) sein. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen für den Schutz der Unternehmenswerte geschaffen werden. Weitere Informationen sind im Artikel IT-Sicherheitsmanagement zu finden.

Operative Maßnahmen

Maßnahmen sind unter anderem physische beziehungsweise räumliche Sicherung von Daten und weitere Vorkehrungen der Datensicherung, Verschlüsselung, Zugriffskontrollen sowie der Einsatz fehlertoleranter Systeme. Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.

Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in Unternehmen, aber vor allem auch von privaten Nutzern von Computern und Netzwerken für die Informationssicherheit getroffen werden können, gehören unter anderem die folgenden Punkte.[1]

Zugangskontrolle

Der berechtigte Zugang zu Computersystemen und Anwendungssoftware muss durch eine zuverlässige und sichere Zugangskontrolle gewährleistet werden. Dies kann mit individuellen Benutzernamen und hinreichend komplexen Kennwörtern und insbesondere mit weiteren Faktoren realisiert werden (siehe auch Zwei-Faktor-Authentifikation), wie zum Beispiel mit Transaktionsnummern oder mit Security-Token.

Eingeschränkte Benutzerkonten verwenden

Der Systemadministrator darf tiefgehende Änderungen an einem Computer durchführen. Dies erfordert entsprechende Kenntnis der Gefahren, und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines Administrators im Internet zu surfen, Dateien oder E-Mails herunterzuladen. Moderne Betriebssysteme verfügen daher über die Möglichkeit, die Benutzerrechte einzuschränken, so dass zum Beispiel Systemdateien nicht verändert werden können.

Restriktive Konfiguration

Die Verwendung eingeschränkter Benutzerkonten für die tägliche Arbeit verhindert die Kompromittierung des Betriebssystems selbst, der Systemkonfiguration und der (schreibgeschützt) installierten Anwendungs- und System-Programme, bietet aber keinen Schutz gegen Kompromittierung der Benutzerdaten und der Benutzerkonfiguration: unter eingeschränkten Benutzerkonten sind beliebige Programme (dazu zählen auch Shellskripts und Stapelverarbeitungsdateien) ausführbar, obwohl die wenigsten Benutzer diese Möglichkeit überhaupt nutzen.

Da Benutzer typischerweise (nur) die mit dem Betriebssystem gelieferten sowie die von ihrem Administrator installierten Programme verwenden, ist es möglich, Benutzern die Rechte zum Ausführen von Dateien nur dort zu gewähren, wo das Betriebssystem und die installierten Programme abgelegt sind (und sie nicht schreiben können), und überall dort zu entziehen, wo sie selbst schreiben können. Schädliche Programme, die beispielsweise von einer infizierten Webseite heruntergeladen und vom Benutzer unbemerkt als sog. „Drive-by-Download“ im Cache des Browsers abgelegt werden, werden damit unschädlich gemacht.

Aktuelle Versionen von Microsoft Windows erlauben die Umsetzung dieser Restriktion mit den sog. „Softwarebeschränkungsrichtlinien“[2][3][4][5][6] alias „SAFER“.

Die Datenausführungsverhinderung[7] aktueller Betriebssysteme wendet dieselbe Restriktion im virtuellen Speicher an.

Software aktuell halten

Für viele Programme werden (regelmäßig) Aktualisierungen angeboten. Diese bieten nicht immer nur eine veränderte oder verbesserte Funktionalität, sondern beheben häufig auch Sicherheitslücken und Programmfehler. Besonders betroffen sind vor allem Programme, die über Netzwerke mit dem Internet kommunizieren, wie zum Beispiel Betriebssysteme, Browser, Schutzprogramme oder E-Mail-Programme.

Sicherheitsrelevante Software-Aktualisierungen sollten so schnell wie möglich aus überprüfbaren und zuverlässigen Quellen auf den entsprechenden Rechnersystemen installiert werden. Viele Geräte im Internet der Dinge und Programme bieten eine automatische Funktion an, die die Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die aktualisierte Software direkt aus dem Internet geladen wird.

Ein aktives, regelmäßiges Patch-Management verhindert das Ausnutzen von Schwachstellen in installierter Software, was laut BSI vor allem für Angriffsziele innerhalb Staat, Verwaltung und Wirtschaft zu den Top-Bedrohungen der IT-Sicherheit zählt.[8] Dem entgegen steht, dass lediglich 35,8 % der Unternehmen in Deutschland im Jahr 2021 ein aktives Patch-Management implementiert hatten.

Veraltete, unsichere und unbenutzte Software deinstallieren

Software, deren Hersteller die Wartung eingestellt hat, sogenannte End of Life (EOL), die unsicher ist oder die nicht mehr benutzt wird, muss deinstalliert werden, um den Schutz zu gewährleisten.

Sicherungskopien erstellen

Von jeder Datei, die wichtig ist, muss mindestens eine Sicherungskopie auf einem separaten Speichermedium angefertigt werden. Hierzu gibt es zum Beispiel Backup-Software, die diese Aufgaben regelmäßig und automatisch erledigt. Im Rahmen von wiederkehrenden Wartungsarbeiten müssen angefertigte Sicherungskopien auf Integrität, Vertraulichkeit und Verfügbarkeit geprüft werden.

Im Unternehmensbereich kommen Backup-Lösungen mit örtlicher Distanz wie beispielsweise durch ein zweites Rechenzentrum mit redundanter Spiegelung sowie Cloud-Lösungen infrage. Diese Lösungen sind oftmals kostspielig. Die Verbesserung der Datensicherheit durch Sicherungskopien ist im Privatbereich weniger kostenintensiv. So können je nach Datenmenge auch kleinere Wechseldatenträger wie DVD oder Blu-ray sowie externe (USB-)Festplatten oder NAS-Systeme zur Sicherung genutzt werden.

Grundsätzlich gilt, dass die Relevanz der Daten für unternehmerische oder private Zwecke über Art und Häufigkeit der Sicherung sowie über die Anzahl der Sicherungskopien entscheiden sollte.

Antiviren-Software verwenden

Wenn Daten aus dem Internet, von Mailservern heruntergeladen oder von Datenträgern kopiert werden, besteht immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden. Solche Schadprogramme sind oft auf weitverbreitete Betriebssysteme oder häufig genutzte Browser ausgerichtet.

Zur Vermeidung einer Kompromittierung sollten nur Dateien oder Anhänge geöffnet werden, denen man vertraut oder die von einem sogenannten Antivirenprogramm als unschädlich erkannt werden.

Allerdings können weder Vertrauen noch Antivirenprogramme vor allen schädlichen Dateien schützen. Eine vertrauenswürdige Quelle kann selbst infiziert sein, und Antivirenprogramme können unter Umständen neue sowie unbekannte Schädlinge nicht entdecken. Deshalb sollten sie regelmäßig, eventuell sogar mehrmals täglich aktualisiert werden.

Antivirenprogramme können sogar schädliche Nebenwirkungen haben, indem sie unschädliche Systemdateien irrtümlich als „infiziert“ erkennen und diese beseitigen, worauf das Betriebssystem nicht mehr korrekt funktioniert oder gar nicht mehr startet. Wie alle Computerprogramme können sie selbst Fehler und Sicherheitslücken haben, sodass unter Umständen das Computersystem nach der Installation nicht sicherer ist oder sogar unsicherer werden kann. Zudem können sie durch Werbeaussagen wie „bietet umfassenden Schutz gegen alle Bedrohungen“ zu riskanterem Verhalten verleiten.

Diversifikation

Eine weitere Maßnahme zur Reduktion der Gefahren besteht in der Diversifizierung von Software, also darin, Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden. Die Angriffe von Crackern zielen oftmals auf Produkte von großen Anbietern, weil sie bei kriminellen Angriffen damit den größten Gewinn erzielen und ansonsten gegebenenfalls den größten „Ruhm“ erlangen. Insofern kann es ratsam sein, auf Produkte von kleineren und weniger bekannten Unternehmen oder auf Open-Source-Software zurückzugreifen.

Firewalls verwenden

Gegen Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist eine Netzwerk-Firewall oder eine Personal Firewall unerlässlich. Sie verhindert unerwünschte Zugriffe auf den Computer und unbeabsichtigte Aktivitäten des eigenen Computers, die vom Benutzer meist gar nicht bemerkt werden. Die Konfiguration einer Firewall ist nicht trivial und erfordert eine gewisse Kenntnis der Vorgänge und Gefahren. Sollte man diese Grundkenntnisse nicht besitzen ist es ratsam, einen Experten zu konsultieren, sollte man sich trotzdem eine Firewall einrichten wollen.

Eine falsch eingestellte Firewall kann mehr Schaden anrichten, als verhindern.

Sandbox

Eine Sandbox (übertragene Bezeichnung: „Sandkasten“) sperrt ein potenziell schädliches Programm ein. Im schlimmsten Falle kann das Programm im Innern der Sandbox Schaden anrichten. Beispielsweise gibt es keinen Grund, weshalb ein PDF-Reader auf OpenOffice-Dokumente zugreifen muss. Die Sandbox wäre in diesem Fall „alle PDF-Dokumente und sonst nichts“. Techniken wie AppArmor und SELinux ermöglichen den Bau einer Sandbox.

Aktive Inhalte deaktivieren

Bei aktiven Inhalten handelt es sich um Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen. Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass diese schädlichen Code ausführen und den Rechner infizieren. Um dies zu vermeiden, sollten aktive Inhalte, wie zum Beispiel ActiveX, Java oder JavaScript, so weit wie möglich deaktiviert werden.

Sensible Daten verschlüsseln

Daten, die nicht in die Hände Dritter geraten sollen, können durch geeignete Maßnahmen, wie zum Beispiel mit der Software GPG oder mit Festplattenverschlüsselung, geschützt werden (siehe auch Kryptographie). Dies betrifft nicht nur Daten, die sich zwischen zwei Rechnern im Transit befinden, sondern auch Daten, die sich stationär auf Massenspeichern befinden. Ein typisches Beispiel ist die Übertragung von Kreditkartennummern während des Online-Einkaufs, welche oft[9] via HTTPS geschützt werden. Der Zugriff auf den Inhalt ist nur dann möglich, wenn eine Partei über den richtigen Schlüssel verfügt. Besonders gefährdet sind unverschlüsselte, kabellose Netze, wie zum Beispiel offene WLANs. Sollten keine weiteren Schutzmaßnahmen ergriffen worden sein, wie z. B. der Einsatz von einem VPN, erhalten Unbefugte potenziell unbemerkten Zugriff auf die übertragenen Daten.

Auch für Behörden und Unternehmen ist die Datensicherheit, vor allem in Bezug auf den Datentransport, ein äußerst sensibles Thema. Immer wieder erfordern Geschäftsprozesse die mobile Verfügbarkeit von Forschungs-, Finanz-, Kunden- oder Kontodaten. Bei der Datenaufbewahrung und dem Datentransport müssen sich Behörden und Unternehmen auf höchste Sicherheit verlassen können. Gelangen sensible Daten in unbefugte Hände, entsteht meist ein irreparabler Schaden, insbesondere wenn die Daten verbreitet oder missbraucht werden. Um dies zu verhindern und höchste Datensicherheit für den mobilen Datentransport zu gewährleisten, müssen neben dem Kriterium der Datenverschlüsselung auch die Kriterien wie Datenintegrität (siehe Authentifizierung) und Lebenszyklus der Schlüssel beachtet werden.

Das angestrebte Niveau an Datensicherheit bestimmt die empfohlenen Verschlüsselungsmethoden und Verschlüsselungsstärken. Für Anwendungen mit symmetrischer Verschlüsselung empfiehlt das BSI (Deutschland) die Verschlüsselungsmethode AES mit einer Schlüssellänge ab 128 Bit[10]. Als Betriebsart werden CCM, GCM, CBC und CTR empfohlen.

Passwörter, persönliche Identifikationsnummern (PIN) und Transaktionsnummern (TAN) sollten nicht unverschlüsselt gespeichert oder übertragen werden.

Protokollierung

Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.

Sichere Entwicklungssysteme und Laufzeitumgebungen verwenden

Für die Generierung und Wartung sicherer Software ist es sehr nützlich, schon bei der Softwareentwicklung strukturiert zu programmieren und leicht überschaubare und erlernbare Werkzeuge zu verwenden, die möglichst enggefasste Sichtbarkeitsregeln und gekapselte Programmmodule mit eindeutig definierten Schnittstellen erlauben.[11] Durch eingeschränkte Freiheiten bei der Programmierung, wie zum Beispiel die Beschränkung auf einfache Vererbung oder das Verbot von Zirkelbezügen oder kritischen Typumwandlungen, wird in der Regel zugleich das Potenzial von Programmfehlern eingeschränkt. Dabei ist es auch sinnvoll und hilfreich, bereits getestete Software durch geeignete Maßnahmen wiederzuverwenden, wie zum Beispiel durch die Verwendung von Prozeduren oder objektorientierten Datenstrukturen.

Entwickler von Software, die zum sicheren Datenaustausch zwischen Rechnern eingesetzt wird, müssen moderne Entwicklungssysteme und Programmiersprachen einsetzen, da ältere Systeme häufig Sicherheitslücken aufweisen und nicht über die entsprechende Sicherheitsfunktionalität verfügen. Sichere Software ist nur in entsprechenden, modernen und sicheren Laufzeitumgebungen lauffähig und sollte mit Entwicklungswerkzeugen (wie zum Beispiel Compilern) erstellt werden, die ein möglichst hohes Maß an inhärenter Sicherheit bieten, wie zum Beispiel Modulsicherheit, Typsicherheit oder die Vermeidung von Pufferüberläufen.

Auch bei Geräten, die nicht in einem Rechnernetz beziehungsweise im Internet der Dinge betrieben werden, kann die Informationssicherheit durch geeignete Entwicklungssysteme und Laufzeitumgebungen erhöht werden. Datenverlust durch unzuverlässigen Programmcode (Computerabsturz) kann vorbeugend zum Beispiel durch compilergenerierte Überprüfung von Indizes von Datenfeldern, unzulässigen Zeigern oder nach dem Auftreten von Programmfehlern durch Ausnahmebehandlung in der Laufzeitumgebung vermieden werden. Ferner ist es in objektorientierten Laufzeitumgebungen unerlässlich und auch in anderen Systemen sicherer, eine automatische Speicherbereinigung durchzuführen, damit nicht versehentlich Speicherplatz freigegeben wird.

Manche Entwickler vertrauen auf die Verifikation von Programmcode, um die Korrektheit von Software zu verbessern. Ferner ist es möglich, bereits implementierte Software durch bestimmte Verfahren, wie zum Beispiel die Verwendung von Proof-Carrying Code, erst während der Laufzeit zu überprüfen und deren Ausführung bei der Nichteinhaltung von Sicherheitsrichtlinien zu verhindern.

Sensibilisierung und Befähigung der Mitarbeiter

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien.

Da Industriespionage oder gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln, sondern beispielsweise durch Social Engineering ausgeführt werden, erhält diese menschliche Seite der Informationssicherheit zusätzliche Bedeutung. Mitarbeiter sollten über mögliche Tricks der Angreifer orientiert sein und gelernt haben, mit potenziellen Angriffen umzugehen. Die Sensibilisierung variiert typischerweise von Unternehmen zu Unternehmen von Präsenzveranstaltungen über webbasierte Seminare bis hin zu Sensibilisierungskampagnen.

Der Fokus verschiebt sich dabei inzwischen von der reinen Sensibilisierung (Awareness) hin zur Befähigung (Empowerment) der Anwender, eigenverantwortlich für mehr Sicherheit im Umgang mit IT-gestützten Informationen zu sorgen.[12] In Unternehmen kommt dabei dem „Information Security Empowerment“ der Führungskräfte besondere Bedeutung zu, da sie Vorbildfunktion für ihre Abteilungsmitarbeiter haben und dafür verantwortlich sind, dass die Sicherheitsrichtlinien ihres Verantwortungsbereiches zu den Arbeitsabläufen passen – eine wichtige Voraussetzung für die Akzeptanz.[13]

  1. Vergleiche auch ENISA Quarterly Vol. 2, No. 3, Oct 2006, ENISA, abgerufen am 29. Mai 2012
  2. Beschreibung der Softwarebeschränkungsrichtlinien in Windows XP, abgerufen am 9. August 2013.
  3. So wird’s gemacht: Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003, abgerufen am 9. August 2013.
  4. Using Software Restriction Policies to Protect Against Unauthorized Software, abgerufen am 9. August 2013.
  5. Using Software Restriction Policies to Protect Against Unauthorized Software, abgerufen am 9. August 2013.
  6. How Software Restriction Policies Work, abgerufen am 9. August 2013.
  7. Detaillierte Beschreibung der Funktion „Datenausführungsverhinderung“ in Windows XP Service Pack 2, Windows XP Tablet PC Edition 2005 und Windows Server 2003, abgerufen am 9. August 2013.
  8. W3Techs Usage of Default protocol https for websites. Abgerufen am 30. Mai 2019.
  9. BSI TR-02102-1: Kryptographische Verfahren: Empfehlungen und Schlüssellängen, Seite 22–23, Bundesamt für Sicherheit in der Informationstechnik, Bonn, 22. Februar 2019. Abgerufen am 30. Mai 2019.
  10. ENISA Quarterly, Q4 2007, vol. 3, no. 4, ENISA, abgerufen am 29. Mai 2012
  11. Urs E. Gattiker: Why information security awareness initiatives have failed and will continue to do so. (PDF; 273 kB) Präsentation auf der govcert.nl 2007 conference.
  12. Axel Tietz, Johannes Wiele: Awareness ist nur ein Anfang. In: Informationsdienst IT-Grundschutz, Nr. 5/6, Mai 2009, S. 28–30, (Vorlage:ISSN)

Unterkategorien

Diese Kategorie enthält die folgenden 2 Unterkategorien (2 insgesamt):

G

Z

Seiten in der Kategorie „ISMS/Massnahmen“

Diese Kategorie enthält nur die folgende Seite.