Erich Scheiber, CIS: Informationssicherheit in DSG-Novelle Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


07.10.2009 Edmund E. Lindau

Erich Scheiber, CIS: Informationssicherheit in DSG-Novelle

Die Computerwelt im Interview mit Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS.

Die Gefahr von Datenverlusten spitzt sich zu. Laut »The Ponemon Institute« vermelden 53 Prozent der in Deutschland befragten Unternehmen zumindest einen Datendiebstahlfall innerhalb der letzten zwölf Monate. Der Vorjahreswert lag noch bei 34 Prozent (plus 64 Prozent). Für die Studie »German Enterprise Encryption Trends« wurden 490 IT-Verantwortliche befragt. Die Gesetzgeber haben bereits reagiert und in Deutschland mit Anfang September eine Datenverlust-Meldepflicht für Unternehmen und öffentliche Stellen in Kraft gesetzt.

Eine ähnliche Regelung ist für Österreich mit der DSG-Novelle in Vorbereitung, die im Jänner 2010 in Kraft treten soll. »Demnach müssten bei Datenlecks die betroffenen Personen informiert werden. Ob direkt oder per Zeitungsanzeige wird noch diskutiert«, berichtet Hans-Jürgen Pollirer, Obmann der Bundessparte Information und Consulting der Wirtschaftskammer Österreich. Ein offener Punkt seien auch die Kriterien zur Beurteilung, wann Daten als »systematisch und schwerwiegend unrechtmäßig verwendet« einzustufen wären.

Während der Gesetzgeber die Schraube enger dreht, stolpern Unternehmen in der Praxis vor allem über die Komplexität des Themas Informationssicherheit. »Ohne strukturierte Personal Policies werden entscheidende Sicherheitslücken zu leicht übersehen«, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS.

COMPUTERWELT: Ist das Mysterium Mensch in den Griff zu bekommen? Erich Scheiber: Bis zu einem hohen Grad: Ja. Die massiven Datenverlust-Fälle der letzten Monate können entweder als Problem gewertet werden, oder positiv formuliert: als Aufruf zu neuem Denken. Wer Informationssicherheit systematisch umsetzt, schließt nicht nur Sicherheitslücken, sondern weckt Potenzial, strafft Prozesse und bringt durch mehr Transparenz frische Motivation zu den Mitarbeitern – gerade auch in Krisenzeiten.

Welche typischen personellen Sicherheitsrisiken gibt es in der Praxis? Ein weit unterschätztes Problemfeld ist Leihpersonal wie am Help-Desk: niedrig bezahlt, ohne Identifizierung mit dem Arbeitgeber, aber mit Zugriff zu Kundendaten und Intranet. Oder: Portiere können erstaunliches IT-Wissen mitbringen und per Generalschlüssel unbeobachtet agieren. Ein großes Schlupfloch ist auch Mobilität: Vertrauliche Daten auf Smart Phones, mangelhafte Updates am Teleworking-PC oder die Nutzung von Data-Sharing im Web.

Welchen Schutz bietet Standardisierung? Der internationale Zertifizierungsstandard ISO 27001 mit der dazugehörigen Guideline ISO 27002 ermöglicht strukturiertes Sicherheitsmanagement. Klassifizierungen von Daten, Personen und Ressourcen gehören ebenso dazu wie Risikoanalysen und Policies. So wird Schutz im gesamten »Information Life Cycle« gewährleistet: von der Erstellung, Benutzung, Archivierung bis zur Vernichtung.

Zum Beispiel … Im Bereich personelle Sicherheit liefert ISO 27002 detaillierte Vorgaben für Mobile Computing, Teleworking, Leasing-Personal und Dienstleister. Wenn Mitarbeiter CRM-Daten mobil speichern oder Netzwerkpläne per Teleworking bearbeiten, fordert die Norm den Einsatz von Verschlüsselungs- und Kontrolltechnologien: Device Control ermöglicht die Definition von Policies für externe Gerätetypen, Application Control Einschränkungen für das Installieren von Programmen.

Was gilt für Personal Policies? Interner Informationsabfluss wird immer noch unterschätzt: Oft können Mitarbeiter Monate lang auf ehemalige Projekte zugreifen, über Schreibrechte verfügen oder Schlüssel behalten. Eine Personell Policy nach ISO 27002 deckt daher alle Phasen der Beschäftigung ab: Einstellung, Arbeitsverhältnis, Positionswechsel, Beendigung. Generell gilt es, Mitarbeiter als motivierte Träger des Security-Systems zu gewinnen, durch flächendeckende Schulungen nach dem Train-the-Trainer-Prinzip.

Wie ist mit Zulieferern umzugehen? Vertragliche Absicherung genügt hier leider nicht, es müssen Sicherheitsgates an den Schnittstellen implementiert werden. Bei Audits und zunehmend auch bei Ausschreibungen werden Nachweise gefordert, dass relevante Drittfirmen auf demselben Security-Level arbeiten müssen.

Kontrolle ist ein brisantes Thema … Dies ist ein heikler Punkt bei knappen IT-Budgets: In der Praxis werden Log-Files überschrieben, um Speicherplatz zu sparen. Dazu sieht ISO 27001 eine Risikoabschätzung vor, wonach Zugriffslogs in der Regel länger aufzubewahren sind als operative Logs. Um Protokoll- und Loginformationen vor nachträglicher Veränderung zu schützen, ist ein richtig eingesetztes Vier-Augen-Prinzip effektiv. Je nach Datensensibilität ist es sogar bis hin zum 16-Augen-Prinzip anwendbar. Technisch lässt sich das Prinzip durch Verschlüsselung auf mehrere Personen aufteilen.

Wie ist ISO 27001 organisatorisch umzusetzen? Information-Security-Manager sind laut Norm als Stabstelle direkt der Geschäftsführung zu unterstellen und müssen technologisches Wissen mit Führungskompetenz vereinen. IS-Management zu leiten, verlangt zusätzliche Qualifikationen. Daher führt die CIS auch akkreditierte Ausbildungen mit Personenzertifizierungen durch.

Setzt man mit ISO 27001 auf das richtige Pferd? Der Standard ist weltweit der einzige, der zertifizierbar ist, was neben Wettbewerbsvorteilen vor allem bei Haftungsfragen relevant wird. Das ISO-Zertifikat entspricht vor Gericht einem staatlich anerkannten Dokument. Im September 2009 gab es weltweit bereits über 5.800 zertifizierte Unternehmen, pro Jahr kommen etwa 1.000 dazu.

Das Gespräch führte Edmund E. Lindau.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr

Hosted by:    Security Monitoring by: