Datensicherheit – Verpflichtung einen hohen Standard einzuhalten:
Als Unternehmen haben Sie nach dem Datenschutzgesetz aus dem Jahre 2000 auch die Verpflichtung für die Sicherheit, Ihrer personenbezogenen Daten zu sorgen (vor allem im Hinblick auf von Daten Ihrer Kunden, Lieferanten etc.).
Je nach Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Berücksichtigung des Stands der technischen Möglichkeiten und auf die der wirtschaftlichen Vertretbarkeit ist sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass die Datenverwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.
Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung eines Unternehmens und sollte Top-Down organisiert sein. Die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien und die Installation eines Sicherheitsmanagementsystems ist Aufgabe des obersten Managements. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig.
Maßnahmen sind unter anderem physische, beziehungsweise räumliche Sicherung von Daten, Zugriffskontrollen, Maßnahmen der Datensicherung und die Verschlüsselung. Ein effektives Sicherheitskonzept berücksichtigt jedoch neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.
Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit getroffen werden können, gehören unter anderem folgende Punkte:
- Software aktualisieren – Für viele Programme werden Aktualisierungen angeboten. Diese sorgen nicht immer nur für eine erweiterte oder verbesserte Funktionalität, sondern beheben häufig auch schwere Sicherheitslücken. Die Aktualisierungen sollten so schnell wie möglich auf den entsprechenden Rechnersystemen installiert werden. Viele Programme bieten eine automatische Funktion an, die die Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die neue Software direkt aus dem Internet geladen wird.
- Antiviren-Software verwenden – Wenn Daten aus dem Internet oder von Mailservern heruntergeladen oder von Datenträgern kopiert werden, besteht immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden. Um dies zu vermeiden, sollten nur Dateien oder Anhänge geöffnet werden, denen man vertraut und es muss zudem ein Antivirenprogramm installiert werden. Auch bei dieser Software ist darauf zu achten, dass sie regelmäßig (unter Umständen sogar mehrmals täglich) aktualisiert wird. Schadprogramme sind in der Regel auf spezielle und auch oft auf weit verbreitete Betriebssysteme oder häufig genutzte Browser ausgerichtet.
- Diversifikation von Software (für speziell gefährdete Betriebe) – Das heißt, Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden. Die Angriffe von Crackern zielen oftmals auf Produkte von großen Software-Herstellern. Insofern kann es ratsam sein, auf Produkte von kleineren und weniger bekannten Unternehmen oder zum Beispiel auf Open-Source-Software zurückzugreifen.
- Firewalls – Für Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist es unerlässlich eine Netzwerk-Firewall zu haben. Viele unerwünschte Zugriffe auf den Computer und unbeabsichtigte Zugriffe vom eigenen Computer, die vom Benutzer meist gar nicht bemerkt werden, können auf diese Weise verhindert werden. Die Konfiguration einer Firewall ist nicht trivial und erfordert eine professionelle Kenntnis der Vorgänge und Gefahren.
- Eingeschränkte Benutzerrechte verwenden – Der Systemadministrator darf tiefgehende Änderungen an einem Computer durchführen. Das erfordert entsprechende Kenntnis der Gefahren und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines Administrators im Internet zu surfen, Dateien oder E-Mails herunterzuladen. Moderne Betriebssysteme verfügen daher über die Möglichkeit, die Benutzerrechte einzuschränken, so dass zum Beispiel Systemdateien nicht verändert werden können.
- Aktive Inhalte deaktivieren – Bei diesen handelt es sich um Funktionen, die welche die Bedienung eines Computers vereinfachen sollen. Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass diese schädlichen Code ausführen und so den Rechner infizieren. Um dies zu vermeiden, sollten aktive Inhalte, wie zum Beispiel ActiveX, Java oder JavaScript, soweit wie möglich, deaktiviert werden.
- Sensible Daten verschlüsseln – Daten, die nicht in die Hände Dritter geraten sollen, müssen durch geeignete Maßnahmen verschlüsselt werden. Dies betrifft nicht nur Daten, die zwischen zwei bestimmten Rechnern ausgetauscht werden, sondern auch solche, die sich auf Massenspeichern befinden. Auch beim Übertragen sensibler Daten, wie zum Beispiel Kreditkartennummern, während des Surfens im Internet, sollte auf Verschlüsslung geachtet werden. Ein Zugriff auf die Inhalte darf nur dann möglich sein, wenn die Beteiligten über den richtigen Schlüssel verfügen. Besonders gefährdet sind unverschlüsselte, kabellose Netze, wie zum Beispiel nicht konfigurierte WLANs, da hierbei Unbefugte unbemerkt Zugriff auf die Daten und sogar die Kontrolle über den ungeschützten Computer erlangen können.
- Sicherungskopien erstellen – Von jeder Datei, die wichtig ist, muss mindestens eine Sicherungskopie auf einem separaten Speichermedium angefertigt werden. Hierzu gibt es zum Beispiel Backup-Software, die diese Aufgaben regelmäßig und automatisch erledigt.
- Protokollierung – Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.
- Sensibilisierung und Befähigung der Mitarbeiter – Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-Awareness. Das Verbandsverantwortlichkeitsgesetz fordert den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Zusätzliche Bedeutung bekommt diese menschliche Seite der Informationssicherheit außerdem, dadurch dass Industriespionage oder gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln ausgeführt werden. Um ihren Opfern zu schaden oder Informationen zu stehlen, nutzen die Angreifer beispielsweise Social Engineering, das nur abzuwehren ist, wenn die Mitarbeiter über mögliche Tricks der Angreifer aufgeklärt sind und gelernt haben, mit potenziellen Angriffen umzugehen.
- Audits/Überprüfung – Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund. Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden.
Download ICC Policy Primer on Cybersecurity
Für nähere Informationen rufen Sie uns bitte an, wir helfen gerne weiter.
ICC Austria - Internationale Handelskammer
Wiedner Hauptstraße 57, 1040 Wien
Tel: +43-1-504 83 00
E-Mail: icc(at)icc-austria.org