Datenverluste um 64 % gestiegen: Mobilität und Leihpersonal als Security-Fallen
Ab 2010 DSG-Novelle in Österreich - "Wasserdichte" Policies nach ISO 27001
Wien (pts017/24.09.2009/11:25) Die Gefahr von Datenverlusten spitzt sich zu. Laut "The Ponemon Institute" vermelden 53 Prozent der in Deutschland befragten Unternehmen zumindest einen Datendiebstahlfall innerhalb der letzten zwölf Monate. Der Vorjahreswert lag noch bei 34 Prozent (plus 64 Prozent). Für die Studie "German Enterprise Encryption Trends" http://www.encryptionreports.com wurden 490 IT-Verantwortliche befragt. Die Gesetzgeber haben bereits reagiert und in Deutschland mit Anfang September eine Datenverlust-Meldepflicht für Unternehmen und öffentliche Stellen in Kraft gesetzt. Eine ähnliche Regelung ist für Österreich mit der DSG-Novelle in Vorbereitung, die im Jänner 2010 in Kraft treten soll. Demnach müssten bei Datenlecks die betroffenen Personen informiert werden. Ob direkt oder per Zeitungsanzeige, wird noch diskutiert. Details und Zitate dazu: http://www.cis-cert.com/newsletter/sept_09/newspage_2009_09_01.html
In der Praxis zeigt sich, dass Unternehmen vor allem über die Komplexität des Themas stolpern. "Ohne strukturierte Personal Policies werden entscheidende Sicherheitslücken übersehen", erklärt Herfried Geyer, Auditor der Zertifizierungsorganisation CIS. Im Interview geht er auf typische Security-Fallen und "wasserdichte" Maßnahmen nach dem internationalen Standard für Informationssicherheit ISO 27001 ein.
Herr Geyer, welche typischen personellen Sicherheitsrisiken sehen Sie in der Praxis?
Ein großes Thema ist Mobilität: Vertrauliche Daten auf Smart Phones, nicht durchgeführte Updates am Teleworking-PC oder die Nutzung von Data-Sharing-Plattformen im Web. Ein weiteres Problemfeld ist Leihpersonal wie etwa am Help-Desk: niedrig bezahlt, ohne Identifizierung mit dem temporären Arbeitgeber, aber mit Zugriff zu Kundendaten und Intranet - so werden schädigende Handlungen begünstigt. Auch Leasing-Portiere können erstaunliches IT-Wissen mitbringen, verfügen über Generalschlüssel und können unbeobachtet agieren. Das klingt fast paranoid, aber die Praxis spricht ihre eigene Sprache.
Welchen Schutz bietet ISO 27001?
Die Komplexität des ganzen Themas verlangt ganzheitliche Konzepte: Der internationale Zertifizierungsstandard ISO 27001 mit der dazugehörigen Guideline ISO 27002 bieten ein Rahmenwerk für strukturiertes Sicherheitsmanagement. Die Klassifizierung von Daten, Personen und Ressourcen gehören ebenso dazu, wie Risikoanalysen und wirksame Policies. Im Bereich personelle Sicherheit liefert der Implementierungsleitfaden ISO 27002 detaillierte Vorgaben für Mobile Computing, Teleworking, Leasing-Personal, Zulieferer und Dienstleister.
Wie ist mit Drittfirmen umzugehen?
Vertragliche Absicherung genügt nicht, es müssen Sicherheitsgates an den Schnittstellen implementiert werden. Sonst ist es besser, eigene Mitarbeiter einzusetzen. Bei Audits hat die CIS als Prüforganisation Nachweise zu fordern, dass relevante Drittfirmen auf demselben Security-Level arbeiten. Auch bei Ausschreibungen wird dieser Punkt immer öfter gefordert.
Und was betrifft die eigenen Mitarbeiter?
Das Ausscheiden von Mitarbeitern ist in Unternehmen meist gut geregelt. Interne Positionswechsel oft weniger: Manche Mitarbeiter können noch auf ehemalige Projekte zugreifen, über Schreibrechte verfügen oder Schlüssel behalten. Eine Personell Policy nach ISO 27002 deckt daher alle Phasen der Beschäftigung ab: Einstellung, Arbeitsverhältnis, Positionswechsel, Beendigung. Wichtig sind vorab die Verifizierung von Zeugnissen sowie das Prüfen von Strafregisterauszügen oder Verschuldung. Generell gilt es, Mitarbeiter als motivierte Träger des Security-Systems zu gewinnen, durch flächendeckende Schulungen nach dem Train-the-Trainer-Prinzip.
Kontrolle ist ein interessantes Thema...
Dazu gehören vor allem technische Protokollierungen. In der Praxis werden Log-Files wieder überschrieben, um Speicherplatz zu sparen. Dies ist ein heikler Punkt bei knappen IT-Budgets. Daher sieht ISO 27001 eine Risikoabschätzung vor, wobei Zugriffslogs auf sicherheitsrelevante Informationen in der Regel länger aufzubewahren sind als viele operative Logs. Zum Aufdecken von Betrugssituationen können Fraud-Detection-Programme zum Einsatz kommen, die unplausible Transaktionen auflisten.
Und innerhalb der IT-Abteilung?
Um etwa Log Files vor nachträglicher Veränderung zu schützten, ist richtig eingesetztes 4-Augen-Prinzip effektiv. Vor allem auch innerhalb der IT: dort wird am wenigsten an personelle Sicherheit gedacht, nach dem Motto: "Das sind eh nur wir." Wer personelle Sicherheit ernst nimmt, begegnet auch den Anforderungen der 8. EU-Richtlinie und des Sarbanes Oxley Act.
Vielen Dank für das Gespräch!
Weitere Informationen: http://www.cis-cert.com
Weitere Fotos: http://www.cis-cert.com/aktuell/presse.php
Aussender: | CIS - Certification & Information Security Services GmbH |
Ansprechpartner: | Heike Galley |
Tel.: | 0699 1974 5647 |
E-Mail: | h.galley@cis-cert.com |