n:etworking - nitsche Computersysteme GmbH
n:etworking - nitsche Computersysteme GmbH
n:etworking - nitsche Computersysteme GmbH
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Allerdings gibt es durchaus Empfehlungen:<br />
Seit 16 Jahren bietet das Bundesamt für Sicherheit<br />
in der Informationstechnik (BSI) mit<br />
dem IT-Grundschutz eine einfache Methodik<br />
für Unternehmen und Behörden, um Informationssicherheit<br />
in der Praxis zu strukturieren<br />
und umzusetzen.<br />
Außerdem spezifi ziert die internationale<br />
Norm ISO27001 (Information technology –<br />
Security techniques – Information security<br />
management systems – Requirements) die<br />
Anforderungen für Herstellung, Einführung,<br />
Betrieb, Überwachung, Wartung und Verbesserung<br />
eines dokumentierten Informationssicherheits-Managementsystems.<br />
Die Geschäftsführung bzw. Firmenleitung<br />
muss sich natürlich nicht persönlich um<br />
die Umsetzung der erforderlichen Maßnahmen<br />
kümmern, sondern den Rahmen dafür<br />
schaffen und entsprechende qualifi zierte<br />
Mitarbeiter einsetzen.<br />
Der IT-Leiter haftet (mit)<br />
So sollte zusätzlich zum gesetzlich vorgeschriebenen<br />
Datenschutzbeauftragten ein IT-<br />
Sicherheitsbeauftragter benannt werden, der<br />
die entsprechenden Maßnahmen überwacht.<br />
Dieser steht im Übrigen ggf. auch in der Haftung<br />
gegenüber der Unternehmensleitung.<br />
Die folgende Checkliste gibt Ihnen in Stichpunkten<br />
einen Überblick über die wichtigsten<br />
Fragestellungen und Maßnahmen:<br />
I. Management der IT-Sicherheit<br />
Besteht in Ihrer Firma ein übergreifendes,<br />
von der Unternehmensleitung beaufsichtigtes<br />
und regelmäßig aktualisiertes IT-Sicherheits-Regelwerk?<br />
Erkennen die IT-Spezialisten Sicherheitslücken<br />
oder -Probleme in Ihrem Unternehmen,<br />
und wird die Geschäftsleitung über die nötigen<br />
Gegenmaßnahmen informiert?<br />
Hat die Unternehmensleitung stets einen<br />
Überblick darüber, welche Informationen<br />
oder Geschäftsdaten sensibel sind, in welchen<br />
IT-Systemen diese Daten liegen und ob<br />
sie dort sicher sind?<br />
Werden die Unternehmensmitarbeiter regelmäßig<br />
über IT-Sicherheitsthemen informiert<br />
und für gefährliche Bedrohungen aus dem Internet<br />
– wie z.B. Phishing-Mails – sensibilisiert?<br />
Sind private E-Mails verboten, damit die<br />
Postfächer der Mitarbeiter keine Tabuzone<br />
für den Arbeitgeber werden? Wird die Einhaltung<br />
des Verbots überwacht?<br />
Gibt es einen IT-Sicherheitsbeauftragten als<br />
Ansprechpartner für Sicherheitsfragen, der<br />
direkt an die Unternehmensleitung berichtet,<br />
für alle Mitarbeiter erreichbar ist und der die<br />
Koordination von eventuellen Anfragen von<br />
Polizei und Staatsanwaltschaft nach einem<br />
Hackerangriff koordinieren kann?<br />
II. Betriebsorganisation<br />
Gibt es Anweisungen für die E-Mail- und<br />
Internet-Nutzung oder für den Umgang mit<br />
Passwörtern und anderen sensiblen Daten?<br />
Werden E-Mails (wie alle Geschäftsbriefe und<br />
Faxe) für Finanz- und Ermittlungsbehörden für<br />
zehn Jahre archiviert? Wird dies konsequent<br />
umgesetzt?<br />
Bestehen auch für Ihre externen Dienstleister<br />
– z.B. wie Internet- oder Servicebetreiber<br />
und Outsourcing-Anbieter – verbindliche<br />
Sicherheitsrichtlinien?<br />
Kennen die Mitarbeiter die Inhalte der Sicherheitsrichtlinien,<br />
und könnten Sie das zur Not<br />
vor Gericht beweisen?<br />
Haben Sie aktuelle, getestete Notfallpläne –<br />
etwa beim Verlust geschäftskritischer Daten,<br />
Virenbefall oder Hackerangriffen – und wissen<br />
alle, wie sie sich im Notfall verhalten müssen?<br />
III. Technische Maßnahmen<br />
Werden vor allem die Geschäftsdaten, die<br />
für die Existenz der Firma entscheidend sind,<br />
regelmäßig gesichert? Wir die ordnungsgemäße<br />
Sicherung auch überprüft? Gibt es eine<br />
Rücksicherung, falls trotzdem Daten verloren<br />
gehen sollten?<br />
Ist Ihr Firmennetzwerk durch Firewalls vor<br />
einem unberechtigten Zugriff von außen<br />
geschützt? Und ist sichergestellt, dass mobilen<br />
Geräte der Mitarbeiter (z.B. Notebooks,<br />
Blackberrys, iPhones, etc.) diesen Schutz<br />
nicht unterlaufen?<br />
Sind auf allen wichtigen Schnittstellen des<br />
Netzwerks, vor allem zum Internet, Viren-<br />
Scanner installiert? Werden diese auch regelmäßig<br />
aktualisiert?<br />
Du kommst hier nicht rein<br />
Wirkungsvoller Schutz vor unberechtigtem Zugriff ist Grundvoraussetzung<br />
07