Schritt für Schritt zu mehr IT-Sicherheit

Die IT-Sicherheitsziele müssen festgelegt werden, damit angemessene Maßnahmen definiert werden können

Der erste Schritt bei der Beschäftigung mit IT-Sicherheit ist die Bestandsaufnahme:

► Welche Rahmenbedingungen gibt es (Gesetze, Verträge, Kundenanforderungen, Konkurrenzsituation)?

► Welche Rolle spielen IT und IT-Sicherheit für das Unternehmen bzw. die Behörde?

► Welche Werte sind zu schützen (Know-how, Betriebsgeheimnisse, personenbezogene Daten, IT-Systeme)? Was sind mögliche Schadensfälle?

Die Schutzbedarfsfeststellung— ist notwendiger Bestandteil jeder Sicherheitsanalyse. Sie soll sicherstellen, dass die definierten Schutzziele und die hieraus abgeleiteten Sicherheitsmaßnahmen angemessen sind und den individuellen Gegebenheiten entsprechen. Da sich Rahmenbedingungen im Laufe der Zeit ändern können, sollte regelmäßig überprüft werden, ob die Einstufung des Schutzbedarfs noch der aktuellen Situation entspricht. Bei der Schutzbedarfsfeststellung ist die Orientierung an den drei Grundwerten der IT-Sicherheit Vertraulichkeit, Integrität und Verfügbarkeit hilfreich.

Zu jedem vorhandenen Sicherheitsziel und jeder zugehörigen Maßnahme sollten geeignete Regelungen getroffen werden

IT-Sicherheit ist ein dauerhafter Prozess.— Diese Aussage trifft das Kernproblem sehr gut: Die meis-ten mit IT-Sicherheit assoziierten Aufgaben müssen regelmäßig wiederholt und neu durchlaufen werden. Jede identifizierte Maßnahme sollte dahingehend untersucht werden, ob sie nur ein einziges Mal oder regelmäßig ausgeführt werden muss (Beispiel: regelmäßiges Update des Viren-Schutzprogramms und dessen Viren-Signaturen).

Kontrolle und Aufrechterhaltung der IT-Sicherheit:

Die IT-Sicherheit sollte regelmäßig überprüft werden

Das Niveau der IT-Sicherheit sollte regelmäßig bewertet und kontrolliert werden. Wenn ein ausreichendes Budget zur Verfügung steht, sollte überlegt werden, einmal pro Jahr unabhängige Experten mit der Überprüfung von besonders kritischen Bereichen der IT zu beauftragen. Der Blick muss in die Zukunft gehen: Gibt es neue Sicherheitsstandards oder neue, wichtige

Nach außen angebotene Daten sollten auf das erforderliche Mindestmaß beschränkt werden

Zahlreiche sensitive Informationen werden für berechtigte Benutzer auch über offene Netze bereit-gestellt. Vertrauliche Daten sind damit von außen zugreifbar. Ihr Schutz hängt ausschließlich von zuverlässigen Authentisierungs-und Autorisierungsmechanismen ab. Sind diese jedoch falsch konfi-guriert oder enthalten sie eine Schwachstelle, so geraten schutzbedürftige Informationen leicht in die falschen Hände. Solche Fehler sind eher die Regel als die Ausnahme. Daher sollte im Einzelfall stets geprüft werden, ob schutzbedürftige Daten überhaupt außerhalb des eigenen, gut geschützten Netzes bereitgestellt und verarbeitet werden müssen.

Nach außen angebotene Dienste und Programmfunktionalität sollten auf das erforderliche Mindestmaß beschränkt werden

Alle Funktionen, Serverdienste und offenen Kommunikationsports, die nach außen angeboten werden, erhöhen das Risiko einer möglichen Sicherheitslücke. Deshalb sollte in jedem einzelnen Fall sorgfältig geprüft werden, ob es wirklich erforderlich ist, einen potentiellen ‡Problemkandidaten— zu aktivieren und nach außen anzubieten. Das damit verbundene Sicherheitsrisiko kann in Abhängigkeit von der jeweiligen Technik und Implementierung sehr unterschiedlich sein. Bei bestehenden Installationen sollte regelmäßig überprüft werden, ob einzelne Dienste oder Funktionen nicht schlicht aus Versehen oder Bequemlichkeit aktiviert sind, obwohl sie von niemandem benötigt werden. Der durch diese Beschränkungen reduzierte Administrationsaufwand erlaubt darüber hinaus, die gewonnene Zeit gewinnbringend in eine vertiefte Sicherheitsadministration der verbleibenden Prozesse zu investieren.

Beim Umgang mit Web-Browsern ist besondere Vorsicht geboten, riskante Aktionen sollten unterbunden werden

Im Web-Browser sollten nur die aktiven Inhalte bzw. Skriptsprachen und Multimedia-PlugIns zugelassen werden, die für die Arbeit wirklich unverzichtbar sind. Besonders riskante Skriptsprachen sollten in jedem Fall deaktiviert werden.

Welche Skripte, Protokolle oder Zusatzprogramme Sie meiden sollten, kann sich mit neuen technischen Entwicklungen immer wieder ändern. Aktuelle Hinweise über riskante Techniken finden Sie auf den Internetseiten des BSI. Zurzeit gelten ActiveX, Active Scripting und JavaScript als besonders gefährlich.

Für alle bestehenden Sicherheitsvorgaben sollten Kontrollmechanismen aufgebaut werden

Die persönliche Einsicht, Akzeptanz und Freiwilligkeit bei allen geforderten Sicherheitsmaßnahmen ist stets das oberste Ziel. Die Einhaltung von Vorgaben scheitert allerdings aus verschiedenen Grün-den. Bewusste Missachtung ist eher die Ausnahme. Vielmehr sind Irrtümer und Nachlässigkeiten die häufigsten Ursachen. Deren Vermeidung durch geeignete Maßnahmen liegt im Interesse aller Betei-ligten. Aus diesem Grund sollte für jede bestehende Sicherheitsvorgabe zugleich überlegt werden, wie deren Einhaltung kontrolliert werden kann. Die Kontrolle kann beispielsweise durch technische Prüfwerkzeuge erfolgen oder durch Auditoren bzw. Revisoren, durch Auswertung vorhandener Protokol-lierungsdaten, anhand von Stichproben durch Vorgesetzte etc. Nicht zuletzt sollte die Möglichkeit der Selbstkontrolle angeboten werden, beispielsweise durch Abarbeitung geeigneter Checklisten. Optional können solche ausgefüllten Checklisten dann unterzeichnet und weiter gereicht werden.

Menschliche Fehlhandlungen:

„Die größte Sicherheitslücke sitzt oft vor der Tastatur“