Herfried Geyer, CIS: Datenverlusten einen Riegel vorschieben
Textgröße:  |
||
 |
verfasst von: Edmund Lindau | 11|3|2009 |
|
|
||
|
|
|
| Mobilität und Leihpersonal gelten als Fallen: "wasserdichte" Policies mit ISO 27001. |
||
|
Brisante Fälle von Datendiebstahl und Datenverlust zeigen: Mitarbeiter sind das größte Sicherheitsrisiko für betriebliche Informationen. Aktuelle Studien bestätigen dies: Laut Mcafee-Schätzungen betrug der Schaden aus Datenlecks 2008 weltweit 770 Milliarden Euro, wobei eigene Mitarbeiter oder Ex-Personal die häufigste Ursache sind. Der internationale Standard für Informationssicherheit ISO 27001 wurde entwickelt, um Datenverlust einen Riegel vorzuschieben. »Viele Sicherheitsvorfälle hätten vermieden oder rechtzeitig aufgedeckt werden können«, argumentiert Herfried Geyer, Auditor der akkreditierten Zertifizierungsorganisation CIS, im Interview. Computerwelt: Welche typischen personellen Sicherheitsrisiken finden Sie in Unternehmen? Herfried Geyer: Ein großes Thema ist Mobilität: vertrauliche Daten via Push-Service auf Smartphones, nicht durchgeführte Updates am Teleworking-PC oder die Nutzung von Data-Sharing-Plattformen im Web. Ein weiteres Problemfeld ist Leihpersonal: oft schlecht bezahlt, unter Druck, ohne Identifizierung mit dem temporären Arbeitgeber – so wird das Ausüben schädigender Handlungen begünstigt. Externes Help-Desk-Personal hat Zugriff zu Kundendaten und Intranet, wird aber selten in Personell Policies einbezogen. Auch Leasing-Portiere können erstaunliches IT-Wissen mitbringen, verfügen über Generalschlüssel und können unbeobachtet agieren. Das klingt ziemlich paranoid, aber die Praxis belehrt uns eines Besseren. Welchen Schutz bietet ISO 27001? Prozessdenken in der Informationssicherheit ist für viele Unternehmen Neuland. Aber der Trend geht von technischen Einzelmaßnahmen hin zu ganzheitlichen Konzepten. Der Zertifizierungsstandard ISO 27001 und der Implementierungsleitfaden ISO 27002 bieten nun ein Framework für lückenlose Sicherheitssysteme mit kontinuierlicher Verbesserung und Maßnahmenkontrolle. Klassifizierung von Daten, Personen und Ressourcen gehören ebenso dazu wie Risikoanalysen und wirksame Policies. Im Bereich personelle Sicherheit liefert ISO 27002 Vorgaben für Mobile Computing und Teleworking, Leasing-Personal, Zulieferer und Dienstleister. Wie ist mit Drittfirmen umzugehen? Vertragliche Absicherung genügt nicht, es müssen Sicherheitsgates an den Schnittstellen implementiert werden. Sonst ist es besser, eigene Mitarbeiter einzusetzen. Bei Audits fordert die CIS als Prüforganisation Nachweise, dass relevante Drittfirmen auf demselben Security-Level arbeiten wie das zu zertifizierende Unternehmen. Auch bei Ausschreibungen wird das immer häufiger gefordert. Welche Branchen sind relevant? Personell-Security zieht sich durch alle Branchen und Größen: Ob ein Mittelbetrieb für Kreditkarten-Abrechnungen, Rechenzentren für Großbanken oder Labore mit sensiblen Patientendaten. Wo sind Schwachpunkte? Das Ausscheiden von Mitarbeitern ist in Unternehmen meist gut geregelt. Interne Positionswechsel weniger: Da können Mitarbeiter nach Monaten auf Projektdaten zugreifen, über Schreibrechte verfügen oder Schlüssel behalten. Eine Personell Policy nach ISO 27002 deckt alle Phasen der Beschäftigung ab: Einstellung, Arbeitsverhältnis, Beendigung. Wichtig sind die Verifizierung von Zeugnissen – im Zeitalter guter Farbkopierer sowie das Prüfen von Strafregisterauszügen oder Verschuldung. Generell gilt es, Mitarbeiter als Träger des Security-Systems zu gewinnen, durch flächendeckende Schulungen nach dem Train-the-Trainer-Prinzip. Denn: Schäden entstehen manchmal durch ein schwarzes Schaf, aber häufig durch Nachlässigkeit von vielen. Kontrolle ist ein brisantes Thema – Dazu gehören technische Protokollierungen. In der Praxis werden Log Files wieder überschrieben, um Speicherplatz zu sparen. Dies ist ein heikler Punkt bei knappen IT-Budgets. Daher sieht ISO 27001 eine Risikoabschätzung vor, wobei Zugriffslogs länger aufzubewahren sind als operative Logs. Zum Aufdecken von Betrugssituationen kommen Fraud-Detection-Programme zum Einsatz, die unplausible Transaktionen auflisten. Und das 4-Augen-Prinzip? Um etwa Log Files vor nachträglicher Veränderung zu schützten, ist richtig eingesetztes 4-Augen-Prinzip effektiv. Vor allem auch innerhalb der IT: Dort wird am wenigsten an personelle Sicherheit gedacht, nach dem Motto: »Das sind eh nur wir«. Wer personelle Sicherheit ernst nimmt, begegnet den Anforderungen der 8. EU-Richtlinie. Auch das Vorbild Sarbanes Oxley für US-Börsen-notierte Unternehmen stellt wesentliche Anforderungen an personelle Sicherheit. Das Gespräch führte E. Lindau. |
||
 |
|
|
