Startseite

“Innentäter “

Ein kleines Traditionsunternehmen stellt seit vielen Jahren spezielle Farben und Lacke nach geheim gehaltenen Rezepturen her. Eines Tages wechselt ein Mitarbeiter aus der Marketingabteilung zur Konkurrenz. Ein halbes Jahr später bringt das Konkurrenzunternehmen nahezu identische Lacke auf den Markt. Es ist zunächst nicht ersichtlich, wie die geheimen Formeln das Unternehmen verlassen konnten, da die Entwicklungsabteilung aus Sicherheitsgründen weder an das Intranet noch an das Internet angeschlossen ist. Das Unternehmen vermutet daher Industriespionage des früheren Mitarbeiters und erstattet Anzeige.

Die Kriminalpolizei kann mit Hilfe geeigneter Werkzeuge nachweisen, dass auf dem PC des Verdächtigen Dateien abgespeichert und später wieder gelöscht wurden, die die fraglichen Rezepturen enthielten. Konfrontiert mit diesem Sachverhalt legt der Verdächtige ein Geständnis ab. Die Räume der Entwicklungsabteilung waren nachts nicht verschlossen und können daher von jedem Mitarbeiter, der über einen Schlüssel zum Gebäude verfügt, unbemerkt betreten werden. Nach Feierabend hatte er die Entwicklungsabteilung aufgesucht und sich mit Hilfe einer Boot-Diskette unter Umgehung des Kennwortschutzes Zugang zu den entsprechenden Rechnern verschafft. Sein neuer Arbeitgeber hatte ihn nämlich bei seiner Bewerbung gefragt, ob er auch über wertvolle Zusatzkenntnisse aus dem Unternehmensumfeld— verfüge, die ihn gegenüber anderen Bewerbern hervorheben würden.

Sowohl der Dieb als auch zwei Manager seines neuen Arbeitgebers werden angeklagt und erhalten eine Vorstrafe. Die beiden Unternehmen einigen sich außergerichtlich auf eine Schadensersatzzahlung. Trotzdem hat das Unternehmen seinen Wettbewerbsvorteil weitgehend eingebüßt, was zu einer zunehmenden Verschlechterung seiner wirtschaftlichen Lage führt.

Maßnahmen

► Räume und Gebäude gegen unbefugten Zutritt sichern

► wichtige Daten verschlüsseln … Alle Vorgänge im Netzwerk loggen … interne, sowie als auch intern nach extern, also in das Internet.

Schritt für Schritt zu mehr IT-Sicherheit

Die IT-Sicherheitsziele müssen festgelegt werden, damit angemessene Maßnahmen definiert werden können

Der erste Schritt bei der Beschäftigung mit IT-Sicherheit ist die Bestandsaufnahme:

► Welche Rahmenbedingungen gibt es (Gesetze, Verträge, Kundenanforderungen, Konkurrenzsituation)?

► Welche Rolle spielen IT und IT-Sicherheit für das Unternehmen bzw. die Behörde?

► Welche Werte sind zu schützen (Know-how, Betriebsgeheimnisse, personenbezogene Daten, IT-Systeme)? Was sind mögliche Schadensfälle?

Die Schutzbedarfsfeststellung— ist notwendiger Bestandteil jeder Sicherheitsanalyse. Sie soll sicherstellen, dass die definierten Schutzziele und die hieraus abgeleiteten Sicherheitsmaßnahmen angemessen sind und den individuellen Gegebenheiten entsprechen. Da sich Rahmenbedingungen im Laufe der Zeit ändern können, sollte regelmäßig überprüft werden, ob die Einstufung des Schutzbedarfs noch der aktuellen Situation entspricht. Bei der Schutzbedarfsfeststellung ist die Orientierung an den drei Grundwerten der IT-Sicherheit Vertraulichkeit, Integrität und Verfügbarkeit hilfreich.

Zu jedem vorhandenen Sicherheitsziel und jeder zugehörigen Maßnahme sollten geeignete Regelungen getroffen werden

IT-Sicherheit ist ein dauerhafter Prozess.— Diese Aussage trifft das Kernproblem sehr gut: Die meis-ten mit IT-Sicherheit assoziierten Aufgaben müssen regelmäßig wiederholt und neu durchlaufen werden. Jede identifizierte Maßnahme sollte dahingehend untersucht werden, ob sie nur ein einziges Mal oder regelmäßig ausgeführt werden muss (Beispiel: regelmäßiges Update des Viren-Schutzprogramms und dessen Viren-Signaturen).

Kontrolle und Aufrechterhaltung der IT-Sicherheit:

Die IT-Sicherheit sollte regelmäßig überprüft werden

Das Niveau der IT-Sicherheit sollte regelmäßig bewertet und kontrolliert werden. Wenn ein ausreichendes Budget zur Verfügung steht, sollte überlegt werden, einmal pro Jahr unabhängige Experten mit der Überprüfung von besonders kritischen Bereichen der IT zu beauftragen. Der Blick muss in die Zukunft gehen: Gibt es neue Sicherheitsstandards oder neue, wichtige

Nach außen angebotene Daten sollten auf das erforderliche Mindestmaß beschränkt werden

Zahlreiche sensitive Informationen werden für berechtigte Benutzer auch über offene Netze bereit-gestellt. Vertrauliche Daten sind damit von außen zugreifbar. Ihr Schutz hängt ausschließlich von zuverlässigen Authentisierungs-und Autorisierungsmechanismen ab. Sind diese jedoch falsch konfi-guriert oder enthalten sie eine Schwachstelle, so geraten schutzbedürftige Informationen leicht in die falschen Hände. Solche Fehler sind eher die Regel als die Ausnahme. Daher sollte im Einzelfall stets geprüft werden, ob schutzbedürftige Daten überhaupt außerhalb des eigenen, gut geschützten Netzes bereitgestellt und verarbeitet werden müssen.

Nach außen angebotene Dienste und Programmfunktionalität sollten auf das erforderliche Mindestmaß beschränkt werden

Alle Funktionen, Serverdienste und offenen Kommunikationsports, die nach außen angeboten werden, erhöhen das Risiko einer möglichen Sicherheitslücke. Deshalb sollte in jedem einzelnen Fall sorgfältig geprüft werden, ob es wirklich erforderlich ist, einen potentiellen ‡Problemkandidaten— zu aktivieren und nach außen anzubieten. Das damit verbundene Sicherheitsrisiko kann in Abhängigkeit von der jeweiligen Technik und Implementierung sehr unterschiedlich sein. Bei bestehenden Installationen sollte regelmäßig überprüft werden, ob einzelne Dienste oder Funktionen nicht schlicht aus Versehen oder Bequemlichkeit aktiviert sind, obwohl sie von niemandem benötigt werden. Der durch diese Beschränkungen reduzierte Administrationsaufwand erlaubt darüber hinaus, die gewonnene Zeit gewinnbringend in eine vertiefte Sicherheitsadministration der verbleibenden Prozesse zu investieren.

Beim Umgang mit Web-Browsern ist besondere Vorsicht geboten, riskante Aktionen sollten unterbunden werden

Im Web-Browser sollten nur die aktiven Inhalte bzw. Skriptsprachen und Multimedia-PlugIns zugelassen werden, die für die Arbeit wirklich unverzichtbar sind. Besonders riskante Skriptsprachen sollten in jedem Fall deaktiviert werden.

Welche Skripte, Protokolle oder Zusatzprogramme Sie meiden sollten, kann sich mit neuen technischen Entwicklungen immer wieder ändern. Aktuelle Hinweise über riskante Techniken finden Sie auf den Internetseiten des BSI. Zurzeit gelten ActiveX, Active Scripting und JavaScript als besonders gefährlich.

Für alle bestehenden Sicherheitsvorgaben sollten Kontrollmechanismen aufgebaut werden

Die persönliche Einsicht, Akzeptanz und Freiwilligkeit bei allen geforderten Sicherheitsmaßnahmen ist stets das oberste Ziel. Die Einhaltung von Vorgaben scheitert allerdings aus verschiedenen Grün-den. Bewusste Missachtung ist eher die Ausnahme. Vielmehr sind Irrtümer und Nachlässigkeiten die häufigsten Ursachen. Deren Vermeidung durch geeignete Maßnahmen liegt im Interesse aller Betei-ligten. Aus diesem Grund sollte für jede bestehende Sicherheitsvorgabe zugleich überlegt werden, wie deren Einhaltung kontrolliert werden kann. Die Kontrolle kann beispielsweise durch technische Prüfwerkzeuge erfolgen oder durch Auditoren bzw. Revisoren, durch Auswertung vorhandener Protokol-lierungsdaten, anhand von Stichproben durch Vorgesetzte etc. Nicht zuletzt sollte die Möglichkeit der Selbstkontrolle angeboten werden, beispielsweise durch Abarbeitung geeigneter Checklisten. Optional können solche ausgefüllten Checklisten dann unterzeichnet und weiter gereicht werden.

Menschliche Fehlhandlungen:

“Die größte Sicherheitslücke sitzt oft vor der Tastatur”

Überblick über gesetzliche Regelungen zur IT-Sicherheit

Während der vergangenen Jahre wurden mehrere Rechtsvorschriften erlassen, aus denen sich zu Fragen der IT-Sicherheit unmittelbare Handlungs-und Haftungsverpflichtungen der Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen. Diese Regelungen gelten sowohl für Aktien-gesellschaften als auch für GmbHs. Dies ist in der Öffentlichkeit noch nicht hinreichend bekannt.

In diesem Zusammenhang wird immer wieder auf das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hingewiesen. Das KonTraG ist ein sog. Artikelgesetz und ergänzt bzw. ändert verschiedene Gesetze wie das Handelsgesetzbuch und das Aktiengesetz. Insbesondere die Forderung nach einem Risikomanagement für Kapitalgesellschaften -d. h. für Aktiengesellschaften und GmbHs -waren in den bisherigen Vorschriften nicht enthalten.

Im Einzelnen könnten Sie z. B. von folgenden Regelungen betroffen sein:

Im Aktiengesetz wird festgelegt, dass ein Vorstand persönlich haftet, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG).

Geschäftsführern einer GmbH wird im GmbH-Gesetz  die Sorgfalt eines ordentlichen Geschäfts-mannes— auferlegt (§ 43 Abs. 1 GmbHG).

Die im Aktiengesetz genannten Pflichten eines Vorstands gelten auch im Rahmen des Handelsgesetzbuches (§ 317 Abs. 4 HGB). Weiterhin verpflichtet das Handelsgesetzbuch Abschlussprüfer zu prüfen, ‡ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind— (§ 317 Abs. 2HGB).

Die oben genannten Formulierungen klingen für den juristischen Laien teilweise recht allgemein und unverbindlich. In der Tat lassen sich hieraus jedoch konkrete Verpflichtungen für die Gewährleistung eines angemessenen IT-Sicherheitsniveaus im eigenen Unternehmen ableiten. IT-Sicherheitsvorfälle können massive wirtschaftliche Schäden verursachen und schlimmstenfalls den Bestand eines Unter-nehmens gefährden.

Für bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die sogar Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten bzw. Klienten ohne Einwilligung öffentlich gemacht werden (§ 203 StGB). Ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter Umständen bereits erfüllen.

Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt. Die Verwendung von Informationstechnik, die Nutzung des Internets oder von Telekommunikationsdiensten werden zum Teil sehr genau geregelt. Einschlägig sind z. B.: Gesetz zur Nutzung von Telediensten, Telekommuni-kationsgesetz, Mediendienste-Staatsvertrag, Urheberrecht sowie verschiedene Richtlinien auf EU-Ebene.

Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt.

WebSpy Vantage Ultimate

Sie haben Fragen?
Sie wünschen ein Angebot??

wählen Sie (+49) 02262 – 69 03 50