IT-Sicherheitsleitlinie

Die IT-Sicherheitsleitlinie

Jetzt Beratung anfragen

FON: 07127 / 811 610

WAS KÖNNEN WIR FÜR SIE TUN?

Informationssicherheit und it-sicherheit

 

Es gibt grundsätzlich zwei Arten von Computer Kriminalität, die Firmen in Schwierigkeiten bringen können. Zum einen sind das nicht gepatchte oder nicht aktuelle Systeme und zum anderen ist es Social Engineering. Also die Manipulation von Menschen anhand von psychologischen Tricks.

 

Eine Form des Social Engineerings ist Phishing. Also E-Mails, die den Nutzer dazu bringen wollen Schadcode zu installieren. Um das klarzustellen, Phishing hat nichts mit Dummheit zu tun. Phishing Techniken versuchen den Nutzer eben zu manipulieren und hinters Licht zu führen. Social Engineering Techniken, wie Phishing sind weniger aufwändig, als etwa Software zu manipulieren. wie gesagt, die Angreifer nutzen einfach Neugier, Vertrauen, Hilfsbereitschaft und andere menschliche Eigenschaften aus, um an sensible Unternehmensdaten zu gelangen. Wer sein Unternehmen schützen will, muss also zuerst seine Mitarbeiter schulen.

 

Grundsätzlich ist der Begriff Informationssicherheit ein Überbegriff und schließt die IT-Sicherheit mit ein. Von Informationssicherheit sprechen wir, wenn der komplette Umgang mit betrieblichen Informationen gemeint ist. Bei der Informationssicherheit geht es daher um mehr als nur die reine Sicherheit der IT-Infrastruktur.

 

Das Sicherheitskonzept

 

Die Geschäftsleitung gibt im Sicherheitskonzept

In einer Sicherheitspolicy (auch Security Policy oder Sicherheitspolitik genannt) gibt die Geschäftsleitung generelle Richtlinien für die Implementierung von Sicherheit im Unternehmen. Deswegen wären Sicherheitskonzept oder Sicherheitsrichtlinie ebenfalls gute Beschreibungen. Diese gibt die grundlegenden Regeln vor und bestimmt, welchen Grad von Sicherheit das Unternehmen implementieren möchte.

Es geht um Informationssicherheit und das ist mehr als IT-Sicherheit. Informationssicherheit ist auch verantwortlich für Informationen, die nicht in der EDV verarbeitet werden, d.h. z.B. auch Papierarchive und die Geschäftsdokumente auf den Schreibtischen und in den Papierkörben.

Worum geht es bei der Informationssicherheit?

 1. Vertraulichkeit (sicherstellen, dass die Informationen nur denen zur Verfügung stehen, die die Erlaubnis dafür haben)

 2. Integrität (sicherstellen, dass die Informationen nicht gelöscht oder unberechtigt verändert werden)

 3. Verfügbarkeit (sicherstellen, dass die Informationen und EDV-Anwendungen wenn sie für einen Geschäftsprozess benötigt werden, wirklich zur Verfügung stehen)

 4. Authentizität (sicherstellen, dass der wirkliche Absender von Informationen bekannt und sicher identifiziert ist)

Um diese Anforderungen zu erfüllen, müssen eine ganze Reihe von Maßnahmen, technischer und organisatorischer Art, getroffen werden. Die Beschreibung dieser Maßnahmen ist der Inhalt der Information Security Policy. (Es gibt übrigens eine Reihe von Vorlagen, die für die Erarbeitung genutzt werden können. Einige werden weiter hinten vorgestellt).