"Security ist ein Prozess, kein Produkt"

Security braucht Pflege, Wartung, hat einen Lifecycle, der ständig betreut, begleitet und upgedatet werden muss. Jede Sicherheitspolitik sollte daher mit einer umfassenden Security Policy beginnen. Das ist der umfassende Leitfaden, der für jeden sicherheitsrelevanten Bereich angibt, welche Anforderungen an ihn gestellt werden und wie diese Anforderungen umzusetzen sind.

So machen sinnvolle Zielvorgaben klar, was mit den Maßnahmen erreicht werden will, welche und vor allem wo sich schützenswerte Daten befinden. Höchstmögliche Sicherheit erfordert eine ganzheitliche IT- und Informations-Sicherheits-Politik. Sie befasst sich mit IT-Sicherheit, und bezieht z.B. auch Gebäude- und Umgebungssicherheit mit ein und deckt damit die gesamte Security-Infrastruktur ab.

Neben der Technik zählen hier auch Organisation und Kommunikation zu ausschlaggebenden Faktoren. Dafür gibt es die Norm ISO 17799. CIS (Certification Information Security) hat auch BEKO Mitarbeiter zu zertifizierten Informations-Sicherheitsmanagern ausgebildet. Diese detaillierte Sicherheitsnorm setzt sich langsam auch in Österreich durch.

Worauf es laut BEKO bei Informationssicherheit ankommt:

• Authentifizierung: stellt sicher, dass jemand derjenige ist, für den er sich ausgibt.
• Autorisierung: regelt, welche Berechtigungen welcher Mitarbeiter/Partner etc. bekommt.
• Verfügbarkeit: stellt sicher, dass alle benötigten Ressourcen jederzeit für jeden zur Verfügung stehen.
• Geheimhaltung: ist jedermann sicher, dass seine persönlichen und geschäftlichen Daten gegenüber Dritten verborgen bleiben?
• Integrität: Texte, Dokumente und Daten müssen gegen unbefugte Veränderungen gesichert werden, bzw. Veränderungen müssen erkannt werden.
• Verbindlichkeit: Sowohl der Versand als auch der Empfang von Informationen muss verbindlich beweisbar sein.

BEKO Informatik: Services zu IT-Security

BEKO bietet Gesamtlösungen: von der Beratung, Planung, Implementierung, Qualitätsmanagement bis zum Help Desk vor Ort. Am Beginn steht eine Risikoanalyse, die alle sicherheitsrelevanten Komponenten erfasst, den maximalen Schaden als Basis für die Kostenplanung bewertet und einen aktuellen technischen Sicherheitscheck vorsieht. Security Awareness hilft dabei, die Aufmerksamkeit für das Thema zu schärfen, Sicherheitsprinzipien in einem Unternehmen zu verankern und entsprechende Ausbildungsmaßnahmen zu setzen. Security Policies helfen mit maßgeschneiderten Sicherheitsrichtlinien unter Berücksichtigung aller Komponenten und Prozesse, den gewünschten Sicherheitslevel zu erreichen und einzuhalten. Regelmäßige Penetrationstests und Software-Reviews helfen, Sicherheitslücken und Schwachstellen aufzudecken. Business Continuity Planning stellt Vorsorge- und Notfallpläne für eine permanente Verfügbarkeit der IT-Systeme bereit.

Die methodische Herleitung der IT-Sicherheit anhand anerkannter Standardverfahren schafft auch in Unternehmen ein Sicherheitsniveau, bei dem Aufwand und Nutzen der Schutzvorkehrungen in einem ausgewogenen Verhältnis zueinander stehen.

Praxis-Beispiele

• Erstellen einer Security Policy:

NEUSTART, Verein für Bewährungshilfe, hat unter der Moderation von BEKO in einem zweitägigen Workshop eine Security Policy erarbeitet. Im Rahmen des Workshops wurde die Sicherheitsfrage bei NEUSTART komplett aufgerollt. Der führende Sicherheitsexperte von BEKO moderierte und führte die Veranstaltung, an der die Schlüsselpersonen des Vereins aus Geschäftsführung, Rechtsabteilung, IT, Buchhaltung und Betriebsrat teilnahmen.

BEKO formulierte nach dem Workshop die Security Policy, eine zwölfseitige "Verfassung für Unternehmenssicherheit". Auf Grund dieser Basis wurden die entsprechenden Maßnahmenkataloge erarbeitet, die das Verhalten und die Verantwortlichkeiten bei Bränden, Einbrüchen, im Umgang mit Daten etc. regeln.

• Security Check

Die Autobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft (ASFINAG) wollte von unabhängiger Stelle wissen, wie sicher ihre Daten sind und beauftragte BEKO mit einem Security Check. Trotz heftigster Angriffe konnten die BEKO Experten das vorbildliche System nicht knacken.

Bei der ASFINAG ist Datensicherheit besonders wichtig. Angesichts der enormen Bedeutung eines intakten und effizienten Autobahnen- und Schnellstraßennetzes für die Wirtschaft und die Mobilität der Menschen, ist die Frage der IT-Security für die ASFINAG besonders wichtig. Das System muss jederzeit verlässlich und stabil arbeiten, die Daten müssen vor Verlust, Beschädigung oder Diebstahl geschützt werden.

http://www.beko.at

IT & Recht: Der Chef haftet

In Bezug auf Informationstechnologie könnte mangelnde Sorgfalt etwa darin liegen, dass die Sicherheit des Unternehmensnetzwerkes mangelhaft ist oder zur Gänze fehlt. Wenn Daten unwiederbringlich gelöscht werden, Programme abstürzen oder personenbezogene Kundendaten an die Öffentlichkeit gelangen, sind Geschäftsführer und Vorstände persönlich für den entstandenen Schaden haftbar und ersatzpflichtig (Strafrecht, Zivilrecht).

Persönliche Haftung in Sachen IT:

• gemäß § 91 Urheberrechts-Gesetz ist jede Speicherung oder Bearbeitung von urheberrechtlich geschützten Werken vorab auf deren rechtliche Erlaubtheit abzuklären (bei Verstößen drohen hohe Geldstrafen und Haftstrafen bis zu 2 Jahren);
• gemäß § 52 Datenschutz-Gesetz 2000 drohen Geldstrafen bis zu 18.890 EUR, wenn beispielsweise Daten in Verletzung des Datengeheimnisses übermittelt werden, und darüber hinaus gemäß § 51 Haftstrafen bis zu einem Jahr, wenn in Gewinn- oder Schädigungsabsicht gehandelt wurde;
• gemäß § 104 Telekommunikations-Gesetz wird der Versand verbotener eMail-Werbung mit Verwaltungsstrafen von bis zu 36.336 EUR geahndet; darüber hinaus drohen eine Klage auf Unterlassung gemäß § 1 UWG (Gesetz gegen den unlauteren Wettbewerb) und eventuell sogar Schadenersatzforderungen;
• empfindliche Strafen drohen auch bei IT-bezogenen Delikten wie Datenbeschädigung (§ 126a StGB) oder betrügerischem Datenverarbeitungsmissbrauch (§ 148a StGB).