WiWo App Jetzt gratis testen
Anzeigen

Datenschutz in Unternehmen Die 10 Prinzipien der Informationssicherheit

Seite 2/2

Zehn einfache Regeln für ein Sicherheitsgefühl

Im Folgenden sollten zehn einfache Regeln helfen, die Online-Welt dem Sicherheitsgefühl der Offline-Welt gleich zu setzen und die damit verbundenen Risiken zu minimieren. Aus der Sicht eines CISO’s  (Chief Information Security Officer) sind folgende Prinzipien empfehlenswert:

Prinzip 1

Erstellen Sie Ihre IT- Sicherheitsstrategie verständlich und transparent - und stimmen Sie diese mit Ihrer Geschäftsführung ab. Kommunizieren Sie Ihre IT-Sicherheitsstrategie im Unternehmen, verfolgen Sie die Entwicklung aufmerksam und berichten Sie regelmäßig über alle Schritte und mögliche Abweichungen.

00000000 für den Start von Atomraketen
Das Passwort für den Abschuss der US-Minuteman-Atomraketen war denkbar schlecht: Wie das Online-Portal " heise.de" berichtet, bestand die Kombination für fast zwei Jahrzehnte aus acht Nullen. Demnach entschied das Strategic Air Command (SAC) wohl, dass die Militärentscheider in der heißen Phase des Kalten Krieges die Raketen möglichst schnell starten können sollten. Darüber hinaus soll das Passwort auch noch auf den Start-Checklisten ausgedruckt worden sein. So hätten sogar zivile Arbeiter Zugang zu den vernichtenden Waffen gehabt. Quelle: AP
Joseph Bonneau von der Universität Cambridge hat 70 Millionen Passwörter analysiert. Dafür musste er allerdings nicht in Rechner einbrechen - er analysierte die sogenannten Hash-Werte der Passwörter. Das ist eine Art Fingerabdruck des Passworts mit dessen Hilfe Computer herausfinden können, ob ein Passwort richtig ist, ohne es im Klartext zu speichern. Die Hash-Werte lassen aber Rückschlüsse auf das Passwort zu. Quelle: dapd
In der Wirtschaft sieht es dagegen schlecht aus: Das weltweit beliebteste Passwort in der internationalen Wirtschaftswelt laut Studie ist das sehr unkreative „password1“, gefolgt von „welcome“, „password01“ und „password2“ - da wird das Passwort zur Einladung für Hacker. Quelle: dpa
Davon abgesehen spiegeln sich aber auch kulturelle Unterschiede in den Passwortgewohnheiten wieder. Die Vorliebe der Chinesen für Zahlen beispielsweise, zeigt sich auch bei den verwendeten Passwörtern. Damit landen die Chinesen im Gesamt-Ranking auf einem guten mittleren Platz weit vor den Briten. Beide müssen sich allerdings den Deutschen geschlagen geben - und unter diesen interessanterweise besonders den über 55-Jährigen. Ihre Passwörter sind besonders sicher. Die Passwörter der unter 25-jährigen seien dagegen nur halb so sicher. Allerdings könnte hier den Deutschen auch eine Eigenart ihrer Sprache helfen: Das Deutsche enthält ungewöhnlich viele lange Worte. Quelle: Reuters
Der Computerwissenschaftler fand Unterschiede und Gemeinsamkeiten zwischen den Kulturen heraus. Eine große interkulturelle Gemeinsamkeit: die Faulheit der Nutzer. Die Mehrzahl der Passwörter besteht aus gerade einmal sechs Zeichen - egal ob in Peking oder New York. Selbst ein sogenanntes „Skriptkiddie“, das nicht mehr beherrscht als bekannte Hacker-Tools einzusetzen, kann so ein Passwort innerhalb von rund zehn Minuten knacken - zumindest wenn der Computer einen Brute-Force-Angriff nicht durch technische Maßnahmen verhindert. Ein solcher Brute-Force-Angriff probiert automatisch Passwort-Kombinationen nach dem Zufallsprinzip aus - durch die große Anzahl der Versuche wird irgendwann die richtige Kombination dabei sein. Quelle: dpa
Doch wie kommen Nutzer nun zum einfachen und dennoch sicheren Passwort? Die wichtigste Regel zuerst: Wörter, die so im Lexikon stehen, sind absolut tabu. Weil viele Anmeldesysteme nur eine begrenzte Anzahl von Versuchen erlauben, sind Angreifer von der sogenannten Bruteforce-Methode abgekommen. Dabei werden einfach automatisiert sämtliche möglichen Buchstaben- und Nummerkombinationen durchprobiert. Stattdessen werden Listen mit Standard-Passwörtern abgearbeitet, die meist einfach aus Wörtern aus Lexika stammen. Foto: ap
Sonderzeichen nutzenUm sich das eigene Passwort trotzdem merken zu können, kann ein Wort mit Sonderzeichen, eigenwilliger Groß/kleinschreibung oder zusätzlichen Zahlen geschrieben werden. Beispiel: HaUspf@ndbr1ef23. Das "U" wird mitten im Satz groß geschrieben, das "A" wird durch ein "@" ersetzt, das "I" durch eine eins und am Ende des Wortes wird noch eine Nummer angehängt. Noch besser ist allerdings, wenn Sie einzelne Buchstaben mit weniger einfachen Regeln durch Zahlen ersetzen. Beispiel: Jedes "E" durch eine "11" ersetzen. Mögliche Eselsbrücke: Die Elf teilt mit dem "E" den selben Anfangsbuchstaben. Foto: ap

Prinzip 2

Führen Sie regelmäßig „Security Awareness“ Kampagnen und Berichterstattungen über die aktuelle Sicherheitslage im Unternehmen und außerhalb durch. Das schärft das Bewußtsein der Mitarbeiter und sensibilisiert das Verhalten im Umgang mit den digitalen Medien.

Mögliche Inhalte sind: Sichere Kennwortvergabe, Umgang mit Wechselmedien, Gefahren des Social Networking in digitalen Medien, Umgang mit mobilen Geräten.

Prinzip 3

Richten Sie organisatorische Einheiten und Bereiche ein,  die dazu dienen, Sicherheitsvorfälle zu bearbeiten oder/und proaktiv zu vermeiden. Hilfreich ist um Beispiel eine Anlaufstelle zur Meldung von Sicherheitsvorfällen.  Oder ein Computer Emergency Response Team (CERT).

Verbrechen 4.0 - das ist möglich

Prinzip 4

Schützen Sie das Unternehmen an seinen Außenmauern immer auf den höchsten Stand der verfügbaren Sicherheitstechnologien wie „Next Generation Firewalls“ oder vergleichbaren Diensten. Eine zu späte Investition erweist sich im Schadensfall als kostenintensiver  und aufwendiger als ein frühzeitig geplanter Lebenszyklus  der Komponenten.

Prinzip 5

Führen Sie Schutzklassen für Ihre wichtigsten Geschäftsprozesse ein, damit die Gefährdungsstufen klar definiert und im Unternehmen bekannt sind. Kommunizieren Sie die Ergebnisse im Unternehmen und richten Sie Ihre IT-Sicherheitsstrategie danach aus.

Prinzip 6

Tragen Sie Sorge, daß die „Kronjuwelen“ Ihres Unternehmens bekannt sind und auch entsprechend in den strategischen Planungen gewichtet und berücksichtigt sind.

Prinzip 7

Erstellen Sie ein verständlich formuliertes Grundgerüst von Sicherheitsregeln  für die Mitarbeiter sowie Sicherheitsanweisungen für die IT-Mitarbeiter für die unterschiedliche Nutzung und Konfiguration der IT-Systeme.  

Prinzip 8

Definieren Sie Sicherheit-Standards und nehmen Sie eine Nutzen-/Risiko-Abschätzung vor bei neuen technologischen Trends wie das Mitbringen von privat genutzten Mobilgeräten ins Unternehmen oder den verstärkten Einsatz von Cloud Computing. Sind diese innovativen Technologien verträglich mit der Schutzklassen -Analyse? Oder müssen Sie Geschäftsprozesse anpassen oder zumindest teilweise die Nutzung dieser Technologien unterbinden?

Prinzip 9

Orientieren Sie Ihre Sicherheitsaktivitäten an geltenden Sicherheitsrichtlinien (ISO27001). Setzen Sie nur soviel ein wie nötig und wie Ihr Unternehmen braucht oder die Kunden/Gesetzgeber fordern. Überzogene Sicherheitsmaßnahmen führen zu Umgehung und Missachtung.

In Arbeit
Bitte entschuldigen Sie. Dieses Element gibt es nicht mehr.

Prinzip 10

Arbeiten Sie mit den Vertretern der operativen Abteilungen  zusammen, um geeignete Notfallpläne zu erstellen, zu verbessern und auch auszuführen.

Am allerwichtigsten ist die Kommunikation in Ihrem Unternehmen. Sprechen Sie über die Dinge, die Sie tun. Halten Sie engen Kontakt mit der Geschäftsführung über alle Sicherheitsmaßnahmen und erweitern Sie Ihre Berichte mit griffigen realen Beispielen, damit Ihr Gesprächspartner es versteht und Ihre Worte nicht in Abstraktion und Konstruktion verhallen. 

Inhalt
Artikel auf einer Seite lesen
Zur Startseite
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%