Ist eine Security-Policy notwendig?

Eine Darstellung der bekanntesten "Social-Hacking-Varianten" würde viele Seiten füllen und den Einfallsreichtum von Angreifern zeigen. Als Basis erfolgt meist irgendein "Spoofing-Angriff" (Vorspiegelung falscher Tatsachen) mit dem Ziel, einen naiven User zu überlisten und ihn möglicherweise zu einem nicht sahnenden Komplizen werden zu lassen. Wenn einem einfachen "User" nicht gesagt wird, wie ein Passwort auszusehen hat oder wie er damit umgehen soll ("Awareness-Bildung") wird er im LAN und von außen (z. B. für Phishing-Attacken) angreifbar sein.

Deshalb müssen wir den Bogen viel weiter spannen, wenn wir von "Sicherheit" reden, und dürfen uns nicht nur auf technische Fragen wie den Einsatz von Firewalls oder VPNs beschränken: die Informationssicherheit und deren Organisation tritt in den Vordergrund. Der Aufbau eines ISMS (Informations-Sicherheits Management Systems) wäre das Ziel.

Ziele eines ISMS sind:

• Festlegen von Schutzklassen, welche Informationen sind firmenkritisch,
• Definition von Umsetzungsrichtlinien für den Schutz der Informationen,
• Formulierung von "Policies",
• regelmäßige Überprüfung der Einhaltung der "Policies",
• eventuelle Anpassung der "Policies" an die praktischen Gegebenheiten.

Speziell für ISMS gibt es eine Reihe von Standards und Normen, wie BS7799, ISO17799 oder seit Oktober dieses Jahres ISO27001, aber auch "Grundschutzhandbücher" vom BSI oder von A-SIT. Mittelständische Unternehmen und vor allem Großbetriebe beschäftigen sich schon länger mit Informationssicherheit, während sich (besonders kleinere) KMUs gerade erst zögernd und meist ausschließlich auf das Thema technische Security einlassen.

Zusammenfassend möchte ich eindeutig feststellen, dass einfache Regeln (ob sie jetzt als "Policy" bezeichnet werden oder nicht) für einen gesicherten Betrieb einer IT-Landschaft unumgänglich sind! Es zwar sinnvoll, eine Zertifizierung anzustreben, aber für manche KMUs wäre es bereits ein großer Schritt, wenigstens "in Anlehnung an ISO17799" vorzugehen, wenn die Zertifizierungskosten abschrecken sollten.

In diese Richtung werden in den nächsten Monaten einige koordinierte Aktionen zwischen WKW, WIFI und RICS erfolgen, die besonders zur Bewusstseinsbildung im Bereich der kleinsten KMUs führen sollen.

Im nächsten Monat widme ich mich der Frage:"WLAN und Security - ein Widerspruch in sich ?"

Dr. Manfred Wöhrl, Manfred.Woehrl@rics.at, ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, http://www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger.

Sie Haben Security-Probleme - Fragen Sie Dr.Wöhrl

Sollten Sie Fragen zum Aufbau einfacher Securitypolicies oder anderen Security-Problemen haben, senden Sie eine kurze E- Mail an die MONITOR-Redaktion, troger@monitor.co.at , wir leiten Ihre E-Mail gerne an Dr. Manfred Wöhrl weiter.