Slideshow

Consulting

IT-Security Consulting

IT-Sicherheit entsteht zunächst in unseren Köpfen. Fehlt es hier an diesem Gedanken, muss in den Unternehmen selbst hart daran gearbeitet werden. Der Mensch ist von zu Hause aus faul. Alles was Mehrarbeit bedeutet, wird meist erst einmal ignoriert. IT-Sicherheit ist kein Produkt. IT-Sicherheit ist ein Prozess, ein langwieriger Prozess, egal ob für neue oder bestehende Prozeduren.

In der Psychologie der IT-Sicherheit wurde bereits grob darauf eingegangen, warum es so ist wie es ist mit der Sicherheit in der IT-Sicherheit. IT-Sicherheit ist wie Kindererziehung, das ist unsere Meinung. Wobei die Kindererziehung schwereloser sein kann, wie die, die bei Erwachsenen angewandt werden muss, in Bezug auf neue Lernfortschritte. Die Erziehung eines Erwachsenen kostet teilweise richtig Kraft und beispielloses Engagement.

Ein weiterer Kern sind Sicherheitsrichtlinien, die teilweise schlichtweg ignoriert werden, in der Betrachtungsweise, wenn wir in den Unternehmen selbst schauen. Auf anderer Seite kann deutlich erkannt werden, dass jedoch die Unternehmen selbst auch sehr oft Rücksichtslos agieren. Und nicht nur das. Durch diese Rücksichtslosigkeit werden Richtlinien, Gesetze und Normen verletzt, die allesamt zu schwerem Schaden führen können. Zu nennen sind beispielsweise IT-Compliance Thematiken.

 

Um Ihnen dort ein Beispiel zu nennen – ein einfaches aber wirkungsvolles – da es sehr viele von Ihnen betrifft:

Monitoring-Software. Was ist eine Monitoring-Software?

Google Analytics, PIWIK, WebTrekk usw. sind Monitoring-Software Module. Hier ist es so, dass die Regeln, Normen und Gesetze ignoriert werden. Konkret bedeutet das, dass Unternehmer und Unternehmen, Organisationen usw. verpflichtet sind, sich gesetzeskonform gegenüber dieser Software zu verhalten. Dazu hat der Düsseldorfer Kreis am 15.09.2011 die Umsetzbarkeit dieser Software beschlossen. Einzelheiten erfahren Sie hier. Es mag Ihnen nicht bewusst sein, aber Sie verstoßen damit gleich gegen mehre Gesetze, wenn Sie die Umsetzung nicht den Anforderungen anpassen. Relevant sind hier die Regelungen der §13 und 15 des Telemediengesetzes, welches besagt, dass personenbezogene Daten nach §12 TMG nur zugelassen werden, wenn der Besucher vorher zugestimmt hat oder eine gesetzliche Ermächtigung vorliegt. Eine Einwilligung muss dabei bewusst erfolgen (§13 Abs. 2 TMG) und darf dabei nicht gegen §307 BGB verstoßen. Weiter findet auch §§ 11, 4b Absätze 2 und 3 des Bundesdatenschutzgesetzes Anwendung. Ignorieren Sie din gesetzeskonformen Einsatz, so drohen Ihnen strafrechtliche Maßnahmen, die sich in §16, Abs.2, Nr. 5 TMG wiederspiegeln, außerdem verhalten Sie sich Wettbewerb widrig, was nach §1 UWG sanktioniert ist.

Das war ein Beispiel für den nicht korrekten Einsatz von Monitoring Software, die zur Kategorie IT-Compliance gehört. Erkennen Sie die schwere der Nichtbeachtung? Bei Abmahnung hilft Ihnen auch Ihre Versicherung nicht. Wir sprechen hier von einem Größen Bereich von 50 - 100T Euro. Für kleinere Unternehmen kann das durchaus das "Aus" bedeuten.

Es ist leider so, dass interne Angestellte oft nicht wissen oder anderes gesagt unwissentlich diese Verstöße begehen, anderen scheint es egal zu sein oder ignorieren Bewusst die Einführung von IP-Anomysing. Aber in jedem Fall gilt hier der Satz: „Unwissenheit schützt vor Strafe nicht“.

Aus diesem Grund ist es wichtig, einen externen Berater hinzu zufügen, der die Belange der Unternehmenssicherheit für den Bereich der IT-Sicherheit gewährleistet und begleitet. Das gilt übrigens auch für kleine Unternehmen. Gerade bei diesen sind die Ausmaße der nicht vorhandenen IT-Sicherheit besonders hoch. Informationssicherheit ist ein lebendiger Prozess, welcher die Vertraulichkeit, Verfügbarkeit und Integrität von Daten sicherstellen soll. Mit Informationssicherheit schützen und steigern Sie Ihre Unternehmenswerte. In vielen Unternehmen scheint es schwierig, ein angemessenes Informationssicherheitsniveau einzurichten und aufrecht zu erhalten. Dafür gibt es vielerlei Faktoren: fehlende Ressourcen, knappe Budgets und steigende Anforderungen. Der Trend geht eindeutig hin zu externen Beratern, die die Sicherheit gewährleisten sollen und es besser gestalten können, weil Sie die Bedürfnisse, Anforderungen, Risiken und Maßnahmen mit ganz anderen Augen betrachten können, wie jene, die intern mehr oder weniger zur Verfügung stehen.

 

Ein weiteres Beispiel:

Ein 8 Mann starkes Unternehmen setzt fertige Sicherheitsapplikationen gegen Störungen von außen ein. Störungen in Form von nicht berechtigten Zugriffen, Phishing, Viren, Malware usw.

Ein Mitarbeiter eines Systemhauses installiert diese Applikation auf einem Server, auf den Clients, stellt entsprechende Hardware auf usw. Die neu angeschafften Produkte haben viel Geld gekostet. Der Geschäftsführer wiegelt sich aber nun in Sicherheit, dass alles getan wurde um der IT-Sicherheit (IT-Security) einen Namen zu geben. Ganz klar ist, dass man hier nicht wirklich von IT-Security sprechen kann.

Nun ist es so, dass viele Hersteller viele Versprechungen machen, was die Sicherheit angeht. Auch geht es darum, das oft die Geräte nicht richtig konfiguriert sind, sondern im Ursprungszustand belassen werden. Es handelt sich hier um ein Produkt von der Stange, was den Belangen des Unternehmens angepasst werden muss. Diese Geräte müssen in die interne Struktur einer Leitlinie mit einfließen.

Ein Beispiel zu diesem ist Barracuda mit einer fertigen Appliance-Produktpalette. Mehr dazu finden Sie hier (Backdoors in vielen Barracuda-Appliances | Cyber-Labor.de - http://is.gd/GHqNKZ). Hier ging es darum, dass der Hersteller seine Geräte mit fest voreingestelltem Benutzeraccount ausgeliefert hat, von wo man aus der Ferne per SSH zugreifen kann. Diese Lücke betrifft fast alle Produkte von diesem Hersteller. Die Liste anderer ist jedoch auch lang und kann sich in diesem Beispiel mit einreihen.

Es gilt jedoch nicht nur, das Augenmerk auf außen zu legen, sondern, das Hauptaugenmerk ist innen zu suchen. Im Unternehmen selbst. Eine Studie besagt, 70 Prozent der Angriffe, nicht Gesetzes Konformität, Regelverstöße, umgehen der Sicherheitsrichtlinien, Leitlinien, usw.  intern passieren und tatsächlich nur 30 Prozent sind auf Außentäter zurückzuführen. Oft ist es auch so, das nicht geschultes Personal teils schwerwiegende Fehler begehen und sei es unwissentlich, was jedoch nachhaltig für ein Unternehmen schwere Konsequenzen mit sich ziehen kann.

Wichtig ist demnach für Sie, dass Sie erkennen, dass IT-Sicherheit nicht einmalig implementiert werden kann, sondern Sie müssen diesen Prozess in Ihre Unternehmensstruktur integrieren. Auch ist es wichtig zu wissen, dass Gelder, die Sie für Hard- und Software verauslagen, nicht die Sicherheit verspricht und Ihnen gibt, die man Ihnen glaubhaft machen will.

Wir unterstützen Sie von der Planung bis zur Implementierung geeigneter Maßnahmen für die Sicherheit in Ihrem Unternehmen und darüber hinaus. Unser Konzept basiert auf Strategischer Sicherheit - "Next Generation Security" und erfasst eine umfassende Plan- und Implementierungsstrategie.

Eine Variante zur erfolgreichen Gestaltung der Unternehmenssicherheit, die sich bewährt hat, ist die Einführung eines Informationssicherheits-Managementsystem (ISMS).

Der BSI lehnt sich mit dem Grundschutz-Standard (BSI-Standard 100-1 – Managementsysteme für Informationssicherheit) an die ISO / IEC 27001 an, die inhaltlich mit dieser übereinstimmt. In diesem wird die Einführung eines solchen Systems beschrieben. Wir lehnen uns an diese Praktiken an, da diese sich bewährt haben. Jedoch ist jede Planung individuell und wird auch so behandelt, da jedes Unternehmen andere Anforderungen an die Unternehmenssicherheit hat.

 

Sie als Unternehmen schaffen so vertrauen für Ihre Kunden sowie eine echte IT-Sicherheit für Ihr Unternehmen.

 

Wir beraten Sie gern.