Mobilität und Leihpersonal als Security-Fallen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.09.2009 Rudolf Felser

Mobilität und Leihpersonal als Security-Fallen

Der Zertifizierungsstandard ISO 27001 mit der zugehörigen Guideline ISO 27002 bietet ein Rahmenwerk für strukturiertes Sicherheitsmanagement.

Die Gefahr von Datenverlusten spitzt sich zu. Laut The Ponemon Institute vermelden 53 Prozent der in Deutschland befragten Unternehmen zumindest einen Datendiebstahlfall innerhalb der letzten zwölf Monate. Der Vorjahreswert lag noch bei 34 Prozent (plus 64 Prozent). Für die Studie "German Enterprise Encryption Trends" wurden 490 IT-Verantwortliche befragt. Die Gesetzgeber haben bereits reagiert und in Deutschland mit Anfang September eine Datenverlust-Meldepflicht für Unternehmen und öffentliche Stellen in Kraft gesetzt.

Eine ähnliche Regelung ist für Österreich mit der DSG-Novelle in Vorbereitung, die im Jänner 2010 in Kraft treten soll. Demnach müssten bei Datenlecks die betroffenen Personen informiert werden. Ob direkt oder per Zeitungsanzeige, wird noch diskutiert.

In der Praxis zeigt sich, dass Unternehmen vor allem über die Komplexität des Themas stolpern. "Ohne strukturierte Personal Policies werden entscheidende Sicherheitslücken übersehen", erklärt Herfried Geyer, Auditor der Zertifizierungsorganisation CIS. "Ein großes Thema ist Mobilität: Vertrauliche Daten auf Smartphones, nicht durchgeführte Updates am Teleworking-PC oder die Nutzung von Data-Sharing-Plattformen im Web. Ein weiteres Problemfeld ist Leihpersonal wie etwa am Help-Desk: niedrig bezahlt, ohne Identifizierung mit dem temporären Arbeitgeber, aber mit Zugriff zu Kundendaten und Intranet - so werden schädigende Handlungen begünstigt. Auch Leasing-Portiere können erstaunliches IT-Wissen mitbringen, verfügen über Generalschlüssel und können unbeobachtet agieren. Das klingt fast paranoid, aber die Praxis spricht ihre eigene Sprache", so Geyer weiter.

GANZHEITLICHE KONZEPTE Die Komplexität des ganzen Themas verlange ganzheitliche Konzepte, so der Experte: Der internationale Zertifizierungsstandard ISO 27001 (siehe auch "Durchblick mit neuer ISO 27000") mit der dazugehörigen Guideline ISO 27002 biete ein Rahmenwerk für strukturiertes Sicherheitsmanagement. Die Klassifizierung von Daten, Personen und Ressourcen gehören ebenso dazu, wie Risikoanalysen und wirksame Policies. Im Bereich personelle Sicherheit liefere der Implementierungsleitfaden ISO 27002 detaillierte Vorgaben für Mobile Computing, Teleworking, Leasing-Personal, Zulieferer und Dienstleister, erklärt Geyer.

Auch auf die Frage, wie mit Drittfirmen umzugehen ist, weiß der Security-Profi eine Antwort: "Vertragliche Absicherung genügt nicht, es müssen Sicherheitsgates an den Schnittstellen implementiert werden. Sonst ist es besser, eigene Mitarbeiter einzusetzen. Bei Audits hat die CIS als Prüforganisation Nachweise zu fordern, dass relevante Drittfirmen auf demselben Security-Level arbeiten. Auch bei Ausschreibungen wird dieser Punkt immer öfter gefordert."

Bei aus dem Unternehmen ausgeschiedenen Mitarbeitern sieht Geyer keine großen Probleme, diese Fälle seien in den Unternehmen meist gut geregelt. Bei internen Positionswechsel sehe die Lage jedoch anders aus. "Manche Mitarbeiter können noch auf ehemalige Projekte zugreifen, über Schreibrechte verfügen oder Schlüssel behalten. Eine Personell Policy nach ISO 27002 deckt daher alle Phasen der Beschäftigung ab: Einstellung, Arbeitsverhältnis, Positionswechsel, Beendigung. Wichtig sind vorab die Verifizierung von Zeugnissen sowie das Prüfen von Strafregisterauszügen oder Verschuldung. Generell gilt es, Mitarbeiter als motivierte Träger des Security-Systems zu gewinnen, durch flächendeckende Schulungen nach dem Train-the-Trainer-Prinzip."

VERTRAUEN IST GUT... ...Kontrolle ist besser. Dazu gehören vor allem technische Protokollierungen. "In der Praxis werden Log-Files wieder überschrieben, um Speicherplatz zu sparen. Dies ist ein heikler Punkt bei knappen IT-Budgets. Daher sieht ISO 27001 eine Risikoabschätzung vor, wobei Zugriffslogs auf sicherheitsrelevante Informationen in der Regel länger aufzubewahren sind als viele operative Logs. Zum Aufdecken von Betrugssituationen können Fraud-Detection-Programme zum Einsatz kommen, die unplausible Transaktionen auflisten", so Geyer. Um etwa Log Files vor nachträglicher Veränderung zu schützten, sei ein richtig eingesetztes 4-Augen-Prinzip effektiv.

Das Thema Kontrolle ist auch innerhalb der IT-Abteilung ein wichtiges Thema. Dort wird am wenigsten an personelle Sicherheit gedacht, nach dem Motto: "Das sind eh nur wir." "Wer personelle Sicherheit ernst nimmt, begegnet auch den Anforderungen der 8. EU-Richtlinie und des Sarbanes Oxley Act", schließt Geyer. (rnf/pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr

Hosted by:    Security Monitoring by: