Informationssicherheit für KMU by BPX

Was ist Informationssicherheit? Wie setzt ein KMU Sicherheitskonzepte um? Welche Gesetze sind zu beachten? Welche Verantwortung trägt das Management? Was sind Managed Security Services? Wie kann ein Grundschutz realisiert werden? Welche Schutzmassnahmen existieren? In diesem Praxisleitfaden finden Sie Antworten auf Fragen, die sich Manager heute stellen müssen. Komplexe Inhalte werden einfach dargestellt und auf den Punkt gebracht. Die Autoren Andreas Wisler und Fredy Schwyter sind ausgewiesene Sicherheitsexperten. Anhand von Beispielen und Checklisten zeigen sie die zentralen Eckpunkte für ein modernes Sicherheitskonzept: Schritt für Schritt. Übersichten, Checklisten und Praxistipps machen aus diesem Booklet eine wertvolle Informationsquelle und ein übersichtliches Nachschlagewerk.

Rheinfelden/Schweiz BPX-Edition 2013 www.bpx.ch 30 CHF / 20 € ISBN 978-3-905413-24-3 Editionspartner:

www.bpx.ch

Informationssicherheit für KMU – Sicherheitskonzept & praktische Umsetzung

Andreas Wisler Fredy Schwyter

Informationssicherheit für KMU Sicherheitskonzepte & praktische Umsetzung 2. Auflage

 Gesetze & Verantwortung  Grundschutz für KMU  Praxis der     Editionspartner::

  

Informationssicherheit Kosten-Nutzen-Aspekte Technologie-Grundlagen Sicherheitskonzepte umsetzen Outsourcing & Managed Security Services Praxisbeispiele Checklisten Trends

www.bpx.ch

Andreas Wisler Fredy Schwyter

Informationssicherheit f端r KMU Sicherheitskonzepte & praktische Umsetzung 2., 端berarbeitete Auflage

BPX-Edition Rheinfelden/Schweiz

BPX E-Mail Internet

Best Practice Xperts edition@bpx.ch www.bpx.ch

Andreas Wisler, Fredy Schwyter

Informationssicherheit für KMU Sicherheitskonzepte & praktische Umsetzung Vorwort von Prof. Dr. Bernhard Hämmerli Rheinfelden/Schweiz, BPX-Edition 2013 ISBN 978-3-905413-24-3

© 2013 BPX-Edition Rheinfelden Hinweis: In diesem Booklet wird bei Bezeichnungen die männliche Form verwendet. Dies dient lediglich der Lesefreundlichkeit und schliesst die weibliche Form mit ein. Alle Rechte, insbesondere die Übersetzung in fremde Sprachen, sind dem BPX-Verlag vorbehalten. Kein Teil des Buches darf ohne schriftliche Genehmigung des Verlages fotokopiert oder in irgendeiner anderen Form reproduziert oder in eine von Maschinen verwendbare Form übertragen oder übersetzt werden. Herstellung: BPX-Edition, Rheinfelden/Schweiz Druck und Verarbeitung: Druckerei galledia ag, Flawil

1 2 3 3.1 3.2 3.3 3.4 3.5 3.6 4 4.1 4.2 5 5.1 5.2 5.3 5.4 5.5 5.6 5.7 6 6.1 6.2 6.3 6.4 6.5 6.6 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9 7.10 8 8.1 8.2 8.3 8.4 8.5 9 10 11 3

Vorwort Management Summary Managementverantwortung Managed Security Services IT-Security und Informationssicherheit Rechtliche Aspekte IS – eine Managementherausforderung Kostenoptimierung Organisatorische IS-Massnahmen Grundschutz für KMU Grundschutz nach BSI ISO 27 000 Praxis der Informationssicherheit Bedrohungsszenarien Risk Assessment / Risk Management Massnahmen gegen bekannte Gefahren Security-Konzepte Business Continuity Management Schutzmassnahmen versus Operabilität Die Bedeutung der Mitarbeiterschulung Gefahren Spam Bot-Netze, Malware Phishing Mobiler Zugriff Social Media Social Engineering Sicherheitsmassnahmen E-Mail Netzwerksicherheit Firewall Personal Firewall Patchen Backup / Restore Cloud Intrusion Detection Sichere Kommunikation mit VPN Biometrie Informationssicherheit umsetzen Projektmanagement Security-Management Akzeptanz von Sicherheitsmassnahmen Make or Buy Zertifizierungen Stichwortverzeichnis Profil des Editionspartners Autorenteam & BPX

4 5 7 8 9 12 15 16 19 20 21 21 24 24 29 32 34 36 37 37 39 39 42 43 44 45 45 47 47 53 53 56 58 59 65 66 68 69 71 71 72 74 74 76 78 79 80

Vorwort

Das Geheimnis hinter effektiver Informationssicherheit heisst: Sie muss gelebt werden! Diese Aussage aus dem Awareness-Film von Sun Microsystems wurde im vorliegenden Booklet von den zwei Autoren speziell für KMU treffend umgesetzt. Informationssicherheit beginnt beim Management. Da besteht aus meiner Erfahrung gesehen noch viel Nachholbedarf. Es scheint mir wichtig, dass die Geschäftsführung sich mit diesem Thema zuerst ausführlich befasst, die richtigen Massnahmen plant und anschliessend Kontrollprozesse zur Prüfung einsetzt. Es ist wie bei einem Hausbau: Der Besitzer muss Vorgaben machen und danach die Ausführung kontrollieren. Damit lässt sich viel Ärger vermeiden. Die Erfahrung zeigt, wie Katastrophen-Vorsorge das Überleben sichert. Auch KMU sind heutzutage vom funktionierenden Informationsfluss zunehmend abhängig. Viele Beispiele belegen: Wer bei einer Katastrophe einen durchdachten Vorsorgeplan umsetzen kann, hat gute Chancen zu überleben. Wer diese Möglichkeit nicht hat, meldet Konkurs an. Den beiden Autoren ist es bestens gelungen, den sinnvollen Einsatz von Standards aufzuzeigen. Nicht jeder muss das Rad neu erfinden. Es sind die wichtigsten Standards beschrieben: fürs Management ISO / IEC 27 001, für die Technik die Grundschutztools vom deutschen Bundesamt für Sicherheit in der Informatik und für exportorientierte Firmen mit Lieferung in die USA die Common Criteria. Für die interessierten Leser findet sich auch eine gute Ausführung über die State-of-the-Art Technology im Sicherheitsbereich. Diese ist für KMU vor allem wertvoll, um Ausfallkosten bei der IT zu sparen. Viele praktische Hinweise helfen dabei, Informationssicherheit zu realisieren und zu leben. Solche Sicherheit ist nicht nur auf IT beschränkt: Auch Betriebsprozesse von Information, Gesetze und Mitarbeitende sind von höchster Wichtigkeit für das Unternehmen. Lesen Sie dazu ins Booklet hinein! Prof. Dr. Bernhard Hämmerli Hochschule Luzern 4

Management Summary

Informationssicherheit steht heute zuoberst auf der Prioritätenliste weitsichtiger KMU-Führungskräfte. In allen Betrieben spielt Information eine entscheidende Rolle, und diese gilt es zu schützen. Oder haben Sie schon einen General gesehen, welcher seine Soldaten schutzlos in den Krieg schickt? Der Vergleich mit Krieg ist insofern zulässig, als jeder Computer am Internet von überall in der Welt her angegriffen werden kann. Und die Angriffsszenarien werden immer ausgefeilter. Dazu kommt, dass nur ausgebildetes Personal die wichtigen Informationen sicher handhaben kann. Von nicht ausgebildetem Personal richtige Entscheidungen zu erwarten, ist sinnlos. Vier wichtige Punkte möchten wir besonders hervorheben:    

Informationssicherheit (IS) ist eine Managementaufgabe Ein Katastrophen-Vorsorgeplan hilft, im Worst Case zu überleben Für IS und deren Unterhalt muss Budget bereitgestellt werden Zuverlässiges Personal gibt es nur mit Ausbildung

Kleinere KMU haben meist die personellen Ressourcen nicht, um einen eigenen Information Security Officer einzustellen. In diesen Fällen ist es sinnvoll, diese Aufgaben an ein spezialisiertes Unternehmen auszulagern. Doch auch beim Outsourcing von IS bleibt die Verantwortung dafür bei der Unternehmensführung.

Gelebte IS bringt auch eine Reihe von Vorteilen, z.B.:       

Das Vertrauen der Kunden steigt Kredite werden günstiger Mit Vorausdenken lässt sich viel Geld sparen Weniger Ärger wegen nicht zuzuordnender Fehler Es gibt weniger Kundenklagen Gut ausgebildetes Personal unterstützt Sie Ihr Unternehmen ist für den Notfall vorbereitet und kann überleben

Management Summary

In diesem Booklet erfahren Sie:       

Worauf zu achten ist bei der Entwicklung von Informationssicherheit Wie die Gesetzeslage aussieht Welche Standards Ihnen helfen Wo die heutigen Gefahren liegen Wie Sie Risiken in den Griff bekommen können Welche Technologien Ihnen zur Verfügung stehen Wie Sie IS nach State-of-the-Art umsetzen können

«Die Anforderungen an und die Abhängigkeit von der IT nehmen immer mehr zu. Auch die Komplexität hat stark zugenommen, viele Projekte stehen zudem unter grossem Zeitdruck. Auf der anderen Seite nehmen die Gefahren und Risiken ebenfalls rapide zu. Das organisierte Verbrechen hat längstens den Weg ins Internet gefunden und verdient viel Geld mit Angriffen, Erpressungen, mit Spam und Malware. Daher ist es essenziell wichtig, auf die neuen Bedrohungen vorbereitet zu sein und entsprechende Massnahmen proaktiv zu ergreifen. Dieses Booklet soll Ihnen einen Überblick bieten.» Andreas Wisler Das Geheimnis von guter Informationssicherheit liegt darin, dass sie gelebt wird!

«Auch mittelständische Unternehmen werden zunehmend von IT-Sicherheitsvorfällen bedroht – Beispiele sind der Verlust von geistigem Eigentum oder die Nichtverfügbarkeit der angebotenen Kerndienstleistungen. Im Gegensatz zu Grossfirmen sind kleine und mittelständische Unternehmen jedoch oft nicht in der Lage, den entsprechenden Aufwand zum Schutz der Informatikmittel und der darauf basierenden Abläufe zu leisten – eine mögliche Lösung kann hier in der Nutzung seriöser ‹Managed Security Services› liegen.» Prof. Dr. Hannes Lubich FHNW

Managementverantwortung

Die Geschäftsleitung hat die Verpflichtung, Massnahmen zur Gewährleistung von Informationssicherheit im Unternehmen umzusetzen. Folgende gesetzliche Bestimmungen enthalten Forderungen dazu: Buchführungsvorschriften: Buchführungsrecht, Revisionsgesetz (neue Version 2007) mit Kontrolle des internen Kontrollsystems inklusive Risikobeurteilung.  Aufbewahrungspflicht: Normalerweise 10 Jahre. Diese Zeitspanne kann zwecks Beweispflicht aber auch länger sein.  Öffentlich-rechtliche Vorschriften, z.B. bezüglich Auskunftspflicht, Berufsgeheimnisse usw.  Strafrecht, z.B.: Unbefugtes Eindringen in ein Datenverarbeitungssystem oder Datenbeschädigung kann nur geahndet werden bei Nachweis von speziellen Schutzmassnahmen.  Aktienrecht: definiert die Organhaftung von Verwaltungsrat und Geschäftsleitung. Sie kann neu bis zur Haftung mit dem persönlichen Eigentum gehen.  Vertragsrecht: Gewährleistung der angebotenen Leistungen, Schadenersatz.  Branchenspezifische Rechtsvorschriften: beispielsweise in der Pharmabranche, bei Banken, Versicherungen, im Gesundheitswesen oder in der Nahrungsmittelverarbeitung.  Datenschutzgesetz: Gesetz über den Schutz von Personendaten auf kantonaler und eidgenössischer Ebene.  Persönlichkeitsrecht: Überwachung, Genugtuung, Schadenersatz. Aufgrund dieser Aufzählung könnte manch einer auf die Idee kommen, gesetzliche Vorschriften seien der Hauptgrund zum Einsatz von Sicherheitsmassnahmen. Tatsache ist jedoch, dass Gesetze meist erst dann erlassen werden, wenn deren Einhaltung bereits gängige Praxis ist – oder zur Vermeidung von grösserem Schaden. 

Die Durchsetzung von Compliance mit bestehenden Gesetzen liegt in der Verantwortung des Verwaltungsrats und der Geschäftsleitung. Der Einsatz heutiger Informations-Sicherheits-Management-Systeme erleichtert und unterstützt diese Aufgabe wesentlich. 7

Managementverantwortung

3.1

Managed Security Services

Vergibt ein Unternehmen Teile seiner Informationsverarbeitung an ein externes Unternehmen in Form von Outsourcing, dann müssen zusätzliche Kriterien beachtet werden. Wichtige Punkte dabei sind:      

Die Verantwortung bleibt beim Auftraggeber Überprüfbare Service Level Agreements (SLA) Gemeinsames Sicherheitskonzept Einhaltung der Lizenzbedingungen Umsetzung branchenspezifischer Vorschriften Datenschutzgesetze, v.a. bei grenzüberschreitenden Transaktionen

Um die wichtigste Ressource in heutigen Unternehmen zu sichern, ist es unabdingbar, dass das oberste Management sich diese Aufgabe zuoberst auf die Prioritätenliste setzt. Mitarbeitende richten sich automatisch auf die Vorgaben der Geschäftsleitung aus. Fehlen diese Vorgaben oder haben sie eine niedere Priorität, dann kann nicht von Informationssicherheit gesprochen werden. Beispiel: Bekommt eine Sekretärin von ihrem Chef den Auftrag, mit seinem Passwort die Verträge kurz auszudrucken, zu denen sie mit ihrem Passwort keinen Zugriff hat, dann zeugt dies zwar von grossem Vertrauen seitens des Chefs, aber diese Sekretärin wird alle anderen Sicherheitsvorschriften nur als lästiges Übel empfinden. Sie wird vermutlich versuchen, wo immer es geht, diese zu umgehen. (Z.B.: Anstatt die Verträge der Geschäftspartnerin verschlüsselt zuzustellen, werden diese unverschlüsselt übertragen.) Und was für die Chefsekretärin gut ist, wird von allen anderen Mitarbeitenden in Kürze nachgeahmt. Damit verlieren Aufwendungen für die Informationssicherheit an Wert. Oft ist es noch schlimmer, da man sich der Gewissheit hingibt, «wir tun ja etwas für die Informationssicherheit», z.B. durch regelmässige Backups. Da diese aber mangels Kapazität nie durch Restore (zurückspielen und auf Funktionstüchtigkeit testen) überprüft wurden und oft auch nicht in feuersicheren Behältern ausserhalb des Betriebes lagern, werden sie im Falle einer Feuersbrunst oder bei Wasserschaden im Serverraum nicht mehr zu gebrauchen sein. Dazu kommt, dass gerade grössere Schäden dort vorkommen, wo das Personal denkt: Das kann bei uns nie passieren. 8

Managementverantwortung

Locker gehandhabte Informationssicherheit aufgrund fehlenden Managementsupports ist schlimmer als keine!

3.2

IT-Security und Informationssicherheit

IT-Sicherheit ist ein wichtiger Teil von Informationssicherheit. Damit lassen sich vor allem die Risiken der Informationsverarbeitungs- und -übertragungsanlagen stark reduzieren. Bei gesamtheitlicher Betrachtung eines Unternehmens bestehen jedoch zusätzlich viele andere Risiken, z.B. in der Organisation, beim Personal, bei den nicht IT-unterstützten Betriebsprozessen, beim Informationsaustausch zwischen Unternehmen und seinem weltweiten Umfeld sowie bei den erweiterten Gesetzesvorschriften. Zusammenhänge in der Informationssicherheit Organisation

Geschäftsprozess IT-Applikationen Teil-Prozesse mit IT-Unterstützung Teil-Prozesse ohne IT-Unterstützung

Aufbewahrungspflicht

Öffentlichrechtliche Vorschriften

Buchführungsvorschriften

Datenschutz

Vorschriften und Gesetze Abbildung 1:

Informationen

Menschen

Informationssicherheit

Unternehmen

Weltweites Umfeld

Zusammenhänge in der Informationssicherheit

Managementverantwortung

Praxisbeispiel: Ein Unternehmen mit circa 150 Personen im schweizerischen Mittelland fabriziert chemische Zwischenprodukte zur Herstellung von Medikamenten, welche auch in die USA exportiert werden. Damit unterliegt es auch den Vorschriften der amerikanischen Food and Drug Administration (FDA), welche teilweise auch vor Ort Kontrollen durchführt. Die Informationen, welche dieses Unternehmen anderen Unternehmen weltweit zur Verfügung stellt, unterliegen vielfältigen Gesetzesbestimmungen anderer Länder wie auch denen der Schweiz. Werden dabei z.B. den Kunden interaktive, verschlüsselte Verbindungen zum Datenaustausch zur Verfügung gestellt, sind detaillierte juristische Abklärungen dringend empfohlen. Sonst kann es passieren, dass der CEO des Unternehmens beispielsweise zu einem Prozess in Singapur vorgeladen wird, weil die Übertragung von Kundendaten in diesen Staat auch über verschlüsselte Verbindungen unzulässig ist. Abhängigkeiten in den Griff bekommen Üblicherweise wollen Unternehmerinnen und Unternehmer Erfolg haben, sprich: Gewinn erwirtschaften. Da heutzutage die meisten Betriebsprozesse zunehmend von Informations- und Telekommunikationstechnologien (ICT) unterstützt werden, sind sie davon auch immer mehr abhängig. Wie gross die Abhängigkeit ist, ist eine Frage der Betriebsprozesse. Wenn beispielsweise Zugänge zu Fahrzeugen via SMS freigeschaltet werden, dann ist die Abhängigkeit von mobiler Telefonie sehr hoch. Versierte Security-Beauftragte finden jedoch auch bei solchen Problemen Möglichkeiten zur Reduktion der Abhängigkeit. Wichtig ist, dass diese erkannt und analysiert werden. Die Abhängigkeit von ICT steigt an. Informationen werden zunehmend businesskritischer. Diese Abhängigkeiten können Sie mit geeigneten Massnahmen reduzieren. Grundbausteine von Informationssicherheit Der Hauptzweck der Informationssicherheit ist, dass die Informationen eines Unternehmens zur richtigen Zeit, in der richtigen Qualität, am richtigen Ort und der richtigen Person zur Verfügung stehen. Dies wird erreicht, indem die Verfügbarkeit, die Integrität, die Vertraulichkeit und erweitert durch die Belegbarkeit sichergestellt werden. Diese vier Begriffe werden im Folgenden erläutert: 10

Managementverantwortung

Abbildung 2:

Grundbausteine der Informationssicherheit

Verfügbarkeit (Availability) Die Verfügbarkeit eines Systems wird umschrieben mit der Eigenschaft eines Systems, sämtliche Daten und Funktionen zu einem bestimmten Zeitpunkt zur Verfügung stellen zu können. Denial-of-Service-Attacken (totale Verweigerung des Dienstes) zum Beispiel führen zu Verlusten der Verfügbarkeit, da die Kommunikationsinfrastrukturen dadurch den Unternehmen für die Abwicklung der Tagesgeschäfte nicht mehr zur Verfügung stehen. Die Verfügbarkeit eines (Informations-) Systems wird definiert durch den Grad des Zuganges und der Funktionalität in Abhängigkeit zur vereinbarten Servicezeit. Wertmässig investieren Unternehmen im Bereich der Sicherheit am meisten Geld. Integrität (Integrity, Unversehrtheit) Lässt ein System unbefugte oder unbeabsichtigte Veränderungen an Daten oder an der Software zu, so ist deren Integrität verletzt. Es kann somit nicht mehr garantiert werden, dass alle sicherheitsrelevanten Objekte vollständig, unverfälscht und korrekt sind. Viren können Daten und Programme derart verändern, dass die Integrität verletzt wird. Aber auch Mitarbeiter sind oft der Grund für solche Verletzungen. Die Unversehrtheit der Daten über alle Geschäftsprozess-Schritte hinweg schliesst eine gesicherte Übertragung und Speicherung der Daten mit ein. Der Grad der Integrität des Informationssystems (IS) hängt somit nicht nur vom Backup-Konzept, sondern auch von der Sicherung der Netzwerk-Übertragung ab (z.B. durch Verschlüsselung). 11

Managementverantwortung

Vertraulichkeit (Confidentiality) Darunter wird verstanden, dass nur bestimmte Personen oder Prozesse auf Daten oder Systeme zugreifen können oder dürfen. Soll die Vertraulichkeit gewahrt werden, müssen die Daten so gesichert sein, dass ein Zugriff nur denjenigen Nutzern möglich ist, welche durch Zugriffsrechte die Erlaubnis erhalten. Fehler im Zugriffschutzsystem oder eine schlecht betriebene oder unterhaltene Zugriffstabelle können zum Verlust dieser Vertraulichkeit führen. Vertraulichkeit kann z.B. mit Verschlüsselung der Daten bei ihrer Übertragung oder Speicherung gewahrt werden. Nachweisbarkeit (Non-Repudiation) Ein weiterer wichtiger Punkt ist die Transaktionssicherheit, die unter anderem dadurch gewährleistet sein muss, dass mit Sicherheit die Identitäten des Senders und des Empfängers erfasst werden können. Ist die Nicht-Abstreitbarkeit nicht gewährleistet, dann kann es vorkommen, dass ein Kunde im E-Commerce behauptet, dass er die gelieferte Ware nie bestellt habe. Dies verursacht grosse Umtriebe, die der Anbieter selber zu tragen hat. Oft ist dabei ein Zeitstempel mit inbegriffen, da der Zeitpunkt von Aktivitäten (z.B. Kauf von Aktientiteln) entscheidend sein kann.

3.3

Rechtliche Aspekte

3.3.1 Strafgesetz Straftaten erfolgen immer mehr auch im elektronischen Bereich. Die Verfolgung ist dabei alles andere als einfach. Im Schweizerischen Strafgesetzbuch (StGB) sind einige Artikel vorhanden, die gegen Computerkriminalität zielen. Diese werden nachfolgend kurz vorgestellt. Unbefugte Datenbeschaffung (StGB Art. 143) 



Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft. Die unbefugte Datenbeschaffung zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt.

Managementverantwortung

Unbefugtes Eindringen in ein Datenverarbeitungssystem (StGB Art 143bis) Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.  Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Datenbeschädigung (StGB Art 144bis)



Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Hat der Täter einen grossen Schaden verursacht, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Die Tat wird von Amtes wegen verfolgt.  Wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Handelt der Täter gewerbsmässig, so kann auf Freiheitsstrafe von einem Jahr bis zu fünf Jahren erkannt werden. Betrügerischer Missbrauch einer Datenverarbeitungsanlage (StGB Art 147) 



Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungsoder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach ver-

Managementverantwortung

deckt, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft.  Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder Geldstrafe nicht unter 90 Tagessätzen bestraft.  Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. Herstellen und Inverkehrbringen von Materialien zur unbefugten Entschlüsselung codierter Angebote (StGB Art 150bis) 



Wer Geräte, deren Bestandteile oder Datenverarbeitungsprogramme, die zur unbefugten Entschlüsselung codierter Rundfunkprogramme oder Fernmeldedienste bestimmt und geeignet sind, herstellt, einführt, ausführt, durchführt, in Verkehr bringt oder installiert, wird, auf Antrag, mit Busse bestraft. Versuch und Gehilfenschaft sind strafbar.

3.3.2 Datenschutzgesetz Das Datenschutzgesetz − kurz DSG − bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Es gilt für das Bearbeiten von Daten natürlicher und juristischer Personen durch Private und Bundesorgane. Gebote zur Einhaltung des Schutzes der Privatsphäre: 



Daten dürfen nur rechtmässig beschafft werden (Art. 4 Abs. 1 DSG), d.h. bei der Beschaffung dürfen die Personen, welche Informationen geben sollen, weder irregeführt noch unter Druck gesetzt werden. Die Bearbeitung muss sich, gemessen am Bearbeitungszweck, auf die Daten beschränken, die geeignet und erforderlich sind (Art. 4 Abs. 2 DSG), um einen bestimmten, legitimen Bearbeitungszweck zu erreichen. Dies ist das Prinzip der Verhältnismässigkeit. Daten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Wer Daten bearbeitet, hat dafür zu sorgen, dass die Informationen korrekt sind (Art. 5 DSG). Korrekt sind sie dann, wenn sie nicht nur inhaltlich richtig,

Managementverantwortung



sondern wenn sie auch aktuell und entsprechend dem Bearbeitungszweck vollständig sind. Die Bekanntgabe von besonders schützenswerten Daten und Persönlichkeitsprofilen ist nur mit Einwilligung der betroffenen Person gestattet (Art. 12 Abs. 2 lit.a DSG). Daten dürfen nur in Länder transferiert werden, in denen ein gleichwertiger Datenschutz gewährleistet ist (Art. 6 Abs. 1 DSG). Daten müssen durch angemessene technische oder organisatorische Massnahmen gegen unbefugtes Bearbeiten gesichert werden (Art. 7 DSG). Den Betroffenen ist Einsicht in ihre Daten zu gewähren (Art. 8ff DSG).

3.3.3 Internes Kontrollsystem IKS Mit der Anpassung des Obligationenrechts wurde im Artikel 728a die Kontrolle des internen Kontrollsystems durch die Revisionsstelle obligatorisch. Das IKS ist ein Managementinstrument zur zweckmässigen Sicherstellung von Unternehmenszielen in den Bereichen «Prozesse», «Informationen», «Vermögensschutz» und «Compliance». Das IKS umfasst alle dafür von der Geschäftsleitung planmässig angeordneten organisatorischen Methoden und Massnahmen. Weitere Informationen finden Sie im INFONEWS 3.08 „Internes Kontrollsystem“ unter www.infonews.ch.

3.4

IS – eine Managementherausforderung

Überall, wo Geld, Macht oder Politik ein grosses Gewicht haben, existieren auch andere Kräfte, die sich stark dafür interessieren. So wie eine Unternehmerin die Konkurrenz im Auge behält, muss sie auch um die wichtigsten Güter im eigenen Unternehmen besorgt sein. Das grosse Problem dabei ist, dass wir für diese Art von lauernden Gefahren keine Sensoren haben. Um die daraus entstehenden Risiken richtig einzuschätzen, müssen wir uns auf eigene Erfahrungen oder auf diejenigen von anderen abstützen. Um dieses Problem zu reduzieren, helfen vor allem die Ernennung eines Informationssicherheits-Beauftragten mit detaillierter Stellenbeschreibung, die Bereitstellung von Budget für IS gemäss Best Practice sowie die Einforderung und Kontrolle regelmässiger Reports, bezogen auf den aktuellen Stand der Informationssicherheit. 15

Managementverantwortung

Sicherheitsbeauftragter Umsetzung & Kontrolle von IS-Massnahmen

KONTROLLE

Geschäftsleitung

Regelmässiger Report Abbildung 3:

Führungsprozess der Informationssicherheit

Der IS-Beauftragte soll zuständig sein für die Budgeterstellung, die Einführung von Sicherheitsprozessen, deren Kontrollen und regelmässiges Reporting direkt an die Geschäftsleitung. Nur wenn die Geschäftsleitung diese Berichte auch auf Einhaltung der Vorgaben überprüft, ist sie ihren Verpflichtungen nachgekommen.

Die Erfahrung zeigt: Wer nicht (oder schlecht) führt, der hat mehr Aufwand (und zusätzlichen Ärger mit Ad-hoc-Aktionen)! Zur Führung gehört auch, Vorschriften (Policies) zu erlassen und deren Umsetzung zu kontrollieren. Beispiele von Policies im Bereich Informationssicherheit finden Sie auf der Website von SysAdmin, Audit, Network, Security Institute (SANS): www.sans.org. Dort finden Sie auch andere vielfältige Hinweise zu IS. Da zur Erstellung von Policies sehr viel spezifische Erfahrung gehört, muss dies ein Bestandteil der Stellenbeschreibung eines Sicherheitsbeauftragten sein oder von einer dazu spezialisierten Firma.

3.5

Kostenoptimierung

Es ist zur Gewohnheit geworden, Firmengelände gegen unbefugten Zutritt zu sichern. Denn es gilt zu vermeiden, dass vertrauliche oder gar geheime Unter16

Managementverantwortung

nehmensinformationen das Gelände verlassen oder Sabotageakte durchgeführt werden können. Heute sind die Angriffe auf ein Unternehmen weniger physischer als vielmehr virtueller Natur. Die Erfahrung hat gezeigt, dass schon mit relativ einfachen Methoden ein gutes Sicherheitsniveau erreicht werden kann, wenn sie konsequent angewendet werden. Dies gilt für KMU mit durchschnittlichen Sicherheitsanforderungen. Sobald aber Verkaufsaktivitäten übers Internet (ECommerce), spezielle Vertraulichkeitsanforderungen (z.B. Anwaltskanzlei) oder andere, besonders schützenswerte Geschäftsprozesse eine wichtige Rolle spielen (z.B. bei Versicherungen, Banken, Infrastrukturdienstleistern wie Telekommunikationsanbieter oder Elektrizitätswerke usw.), sind höhere Sicherheitsniveaus dringend empfohlen (z.B. durch die Einführung von Standards wie ISO 27001 oder IT-GrundschutzKataloge vom BSI). 3.5.1 Nutzenaspekte Unternehmen, die Informationstechnologie einsetzen, tragen hierfür ein Betreiberrisiko. Das Management hat zu entscheiden, welche Risiken durch den ITSicherheitsprozess gemanagt werden sollen und welche als Restrisiken zu behandeln sind. Unterlässt es diese Massnahme, kann es im Schadenfall zur Rechenschaft gezogen werden. Mit Sicherheitsvorkehrungen will nichts anderes erreicht werden als sicherzustellen, dass der Betrieb in jedem Fall ordnungsgemäss weiterläuft. So kann ein mehrtägiger Ausfall der IT für das eine Unternehmen den sicheren Ruin bedeuten, für das andere Unternehmen nicht mehr als einen Verlust von Deckungsbeiträgen. Eine hundertprozentige Sicherheit gibt es nicht, und die versicherungstechnischen, bezahlbaren Möglichkeiten sind begrenzt. Die Sicherheitsausgaben liegen bei vielen IT-Projekten erfahrungsgemäss zwischen 2% und 10% (nicht berücksichtigt sind dabei grössere Projekte und Migrationen). 3.5.2 Kostenbetrachtungen Es gibt einige Möglichkeiten, wie die Kosten der Sicherheit kalkuliert werden können. Jedoch keine davon löst das Problem vollständig. Zwei Ansätze seien hier erwähnt: 17

Managementverantwortung



Return on Security Investment (ROSI). Dabei werden die Kosten für die Gefahrenabwehr den fiktiven Erträgen aus der Vermeidung einer Gefahr gegenübergestellt. Nachteil: Bei diesem Modell müssen die Einsparungen geschätzt werden. Es handelt sich um eine Berechnung analog des ROI. Benchmarking: Es werden Vergleiche mit ähnlich gelagerten Unternehmen gezogen.

Nachträgliche Einführung von Sicherheit ist immer kostenintensiv. Am meisten Geld lässt sich sparen, wenn bei Neuinvestitionen vom Lieferanten ein IS-Konzept verlangt wird, welches auf die aktuelle Betriebsinfrastruktur abgestimmt ist. Dazu sind die Lieferanten von Beginn weg anzuweisen, die vorhandenen Richtlinien (Policies) einzuhalten. Bereits bei der Produktauswahl sollte auf den Unterhaltsaufwand geachtet werden. Möglichst für eine Funktionalität nur Produkte von einem Lieferanten einsetzen! Andernfalls werden die Komplexität und diverse Risiken (beispielsweise das Vulnerability-Risiko) gesteigert. Die Unterhaltskosten können dadurch deutlich steigen. Eine weitere Einsparungsmöglichkeit ist das Profitieren von den Erfahrungen anderer. So ist es durchaus sinnvoll, dass der Sicherheitsbeauftragte in einer ErfaGruppe von IS-Experten mitarbeitet. In der Schweiz 1 bieten sich einige Möglichkeiten dazu. Die Firma GO OUT Production GmbH bietet seit 2003 in regelmässigen Abständen ein hersteller- und produkteneutrales IT-Security Forum mit spannenden Referaten aus der Praxis an. Die Präsentationen und seit 2012 die Videos finden Sie unter: www.itsecurityforum.ch. Auf der Nutzenseite von effektiver IS stehen:       

Erhöhtes Vertrauen der Kunden Übersicht über den Zustand im Unternehmen Vorbereitet sein auf negative Ereignisse Kürzere Reaktionszeiten bei negativen Vorfällen Überlebensfähigkeit im Katastrophenfall (initiiert und gesteuert durch das Management) Höhere Motivation des Personals Geringere Schadenkosten

z.B. Information Swiss Security Society: www.isss.ch, ISACA Switzerland: www.isaca.ch

Managementverantwortung

3.6

Organisatorische IS-Massnahmen

Grundsätzlich gilt auch hier, dass die Unternehmensführung für die Einführung, Umsetzung und Kontrolle von IS-Prozessen die Verantwortung übernehmen muss. Folgende organisatorische Punkte sollten in jeder KMU realisiert sein:      

    

 

Aktuelle und regelmässig überprüfte Sicherheitsprozesse sind eingeführt Für die wichtigen Informationsbereiche sind Richtlinien erstellt Es existiert ein rollen- oder gruppenbasiertes Zugriffskonzept Die Benutzerkonten werden bei personellen Veränderungen nachgeführt/gelöscht Die Mitarbeiter sind auf IS geschult (Awareness) Eine Risikoanalyse wird regelmässig durchgeführt und beurteilt (evtl. ergänzt mit einer Business Impact Analyse BIA) Angepasste Sicherheitsmassnahmen sind umgesetzt Für die geschäftskritischen Prozesse existiert ein Betriebshandbuch Es wurde ein Notfall- oder Katastrophen-Vorsorgeplan erstellt und wird regelmässig getestet Neue Software und Patches werden vor der Installation getestet Gesetzliche Auflagen werden periodisch auf Einhaltung überprüft (Beachtung auch von ausländischen Gesetzen) Es ist ein IS-Beauftragter mit entsprechenden Rechten und Pflichten ernannt Die regelmässigen Reports des IS-Beauftragten werden kontrolliert und bearbeitet (z.B. Pendenzenlisten)

Grundschutz für KMU

4 Grundschutz für KMU In der Praxis hat sich bewährt, auf einen guten Grundschutz zu achten, d.h. alle Geschäftsprozesse werden unabhängig von ihrer Risikoeinstufung möglichst gut gesichert. Ist das Unternehmen speziellen Risiken ausgesetzt, dann sind eine spezifische Risiko-Analyse und darauf basierend erhöhte Sicherheitsmassnahmen unumgänglich. Um die Entwicklung von Sicherheitskonzepten zu vereinfachen, wurden Standards (Normen) geschaffen. Nachfolgend eine Übersicht über die meist angewandten:

Abbildung 4:

Übersicht über die Rahmenwerke in IS: COP, CobiT, BSI-IT-Grundschutz-Kataloge, ITSEC / CC, DSG

In Europa ist ISO 27 001, hervorgegangen aus dem Code of Practice (COP) für das Management von Informationssicherheit, am meisten gebräuchlich. Zur Abdeckung des Grundschutzes in der IT wird oft auf die BSI-IT-Grundschutz-Kataloge abgestützt. Liefert eine Firma Waren oder Software in die USA, dann sind oft Zertifikate nach Common Criteria gefordert. Jede Firma in der Schweiz untersteht dem Datenschutzgesetz. Meldepflichtig sind Datenbanken mit sensiblen Personendaten (wie Geburtsdatum, Religion oder Gesundheitsdaten).2

Verschiedenen Ausbildungsprogramme und Checklisten finden Sie unter www.datenschutz.ch und www.edoeb.admin.ch.

Informationssicherheit umsetzen

8.1

Projektmanagement

Unter Projektmanagement versteht man die Gesamtheit von Führungsaufgaben, -organisation, -techniken und -mitteln für die Abwicklung eines Projektes (Definition nach DIN-Norm 69901). Als Hauptelement steht der Prozess, welcher eine sachlogisch zusammenhängende Reihe von zielgerichteten Tätigkeiten zur Erreichung eines definierten Ergebnisses und dabei Kosten durch den Verbrauch von Ressourcen verursacht. Die Merkmale eines Prozesses sind: Ziel, Aktivität (Tätigkeiten), Bedingungen (soziales Umfeld), Input (Auslöser), Output (Ergebnis) und die Qualität (Leistungsindikatoren). Prozessüberwachung Prozessowner

Input (inklusive Spezifikationen)

Qualitätsparameter & Leitungsindikatoren

Aktivitäten und Subprozesse

Output

Prozessausführung

Ressourcen

Ziele des Prozesses

(inklusive Spezifikationen)

Rollen

Prozessbedingungen

Abbildung 29: Projektmanagement

Als wichtige Normen seien hier ITIL, CobiT, PRINCE2 und ISO 20 000 genannt. ITIL ITIL ist eine herstellerunabhängige Sammlung von Best Practices, mit denen IT-Organisationen über einen prozessorientierten, skalierbaren Ansatz ermöglicht wird, Effizienzsteigerungen innerhalb ihrer IT-Prozesse zu erzielen. ITIL steht als Abkürzung für «Information Technology Infrastructure Library». CobiT Das CobiT-Modell (Control Objectives for Information and related Technology) wurde von Revisoren aus der Industrie und dem Berufsstand (ISACA – Information Systems and Control Association) auf Basis bestehender Revisionsrichtlinien, von Kontrollmodellen und branchenspezifischen Regularien und Richtlinien entwickelt. Bei der Entwicklung von CobiT galt es, dem An71

Informationssicherheit umsetzen

spruch eines IT-spezifischen Kontrollsystems gerecht zu werden, welches in optimaler Weise die bestehenden wie auch die zukünftigen Geschäftsprozesse unterstützt. PRINCE2 PRINCE steht für PRojects IN Controlled Environments und wurde 1989 erstmals von der CCTA – Central Computer and Telecommunications Agency – als der Standard der britischen Regierung für ITProjektmanagement ins Leben gerufen. Durch ständige Weiterentwicklung wurde daraus ein generischer Ansatz zur Steuerung, Organisation und zum Management von Projekten jeglicher Art und Grösse. ISO 20 000 ISO 20 000 wurde vom British Standard Institute (BSI) 5000 übernommen und ist der erste weltweite Standard für IT-Service-Management. Dieser Standard beschreibt einen integrierten Satz von Management-Prozessen für die Lieferung von Dienstleistungen zwischen internen und externen Organisationen im Rahmen des ITService-Managements. ISO 20 000 ist ausgerichtet auf die Prozessbeschreibungen von ITIL und ergänzt diese komplementär.

8.2

Security-Management

Das Prozess Security-Management ist als Zyklus entsprechender Aktivität zu sehen:

Kunde Report

SLA

Betrieb

Planung Kontrolle

Bewertung

Implementierung

Abbildung 30: Security-Management

Security-Management ist der Prozess, mit dem ein angemessener, definierter Grad an Sicherheit für die Informationen und IT-Services erreicht werden soll. Der dadurch angestossene Security-Management-Prozess 72

Informationssicherheit umsetzen

hat die Aufgabe, durch kontinuierliche Planung, Implementierung und Bewertung von Sicherheitsmassnahmen das definierte Niveau an IT-Sicherheit aufrechtzuerhalten. Sicherheitsmassnahmen betreffen das Personal, die Organisation, die Infrastruktur und die Technologie. Eine weitere Aufgabe ist die angemessene Reaktion auf Sicherheitsverletzungen (Security Incidents). Zielsetzung des Security-Managements  Vermeidung von Sicherheitsverletzungen durch ein klares und sämtliche Abhängigkeiten berücksichtigendes Security-Management  Angemessene und planvolle Reaktion auf Sicherheitsverletzungen  Zusammenführung der Sicherheitsanforderungen und der geschäftlichen Anforderungen  Erstellung des Security-Plans, u.a. zur Dokumentation der Anforderungen  Festlegung von Toleranzen zur Abgrenzung eines vertretbaren Restrisikos  Berücksichtigung von strategischen, taktischen und operativen Rahmenbedingungen



Zu den wesentlichen Security-Prozessaktivitäten zählen: Steuerung  Festlegen der Prozesse, Funktionen und Verantwortlichkeiten sowie der Organisationsstrukturen zwischen den Subprozessen  Reports Planung  Z.B. Service Level Agreements Implementierung  Förderung des Bewusstseins  Personenbezogene Sicherheitsmassnahmen  Physikalische, bauliche Massnahmen  Technische Sicherheitsmassnahmen  Zugriffskontrolle  Klassifizierung, Registrierung und Behandlung von Sicherheitsverletzungen festlegen

Informationssicherheit umsetzen

Bewertung  Vermeidung von Phantom-Sicherheit durch Audits und Sicherheitsüberprüfungen zur allgemeinen Qualitätssicherung  Interne und externe Audits  Auswertungen Betrieb  Sicherheit im laufenden Betrieb aufrechterhalten  Erfahrungen sammeln  Verbesserungen

8.3

Akzeptanz von Sicherheitsmassnahmen

Die Akzeptanz hängt ganz stark mit der Art der Einführung zusammen. Der Mensch ist ein Gewohnheitstier und nimmt Änderungen nur ungern in Kauf. Aus diesem Grund gilt es, Mitarbeiter von Beginn weg in die Prozesse einzubeziehen. Es gilt, eine Feedback-Kultur einzuführen. Jeder soll die Möglichkeit erhalten, seine Wünsche und Ideen einzubringen. Sollten Massnahmen nicht möglich sein, ist dies in leicht verständlichen Worten zu erklären. Ein Killerkriterium ist sicherlich, dass Massnahmen nicht für alle gelten. Es darf nicht sein, dass Massnahmen (meistens mit Einschränkungen verbunden, wie zum Beispiel das komplexe Passwort) für alle gelten – ausser für das Management. Dies weckt Missgunst. Bei der Einführung von neuen Sicherheitsmassnahmen gilt es, von Beginn weg den Sinn bzw. den Nutzen und den Zweck aufzuzeigen. Nur so werden Massnahmen im täglichen Umfeld auch gelebt.

8.4

Make or Buy

Immer wieder stellt sich folgende Frage: Soll man ITSicherheitsmassnahmen selber umsetzen, oder wird externe Hilfe geholt? Hier ist ganz klar festzuhalten, dass die Grundidee zwingend selber entstehen muss. Diese Arbeit kann Ihnen niemand abnehmen. Sie kennen Ihre Firma in- und auswendig und können die notwendigen Vorgaben liefern. Suchen Sie sich anschliessend einen Partner, der Sie versteht bzw. die gleiche Sprache spricht. Wenn Sie Massnahmen selber umsetzen, sollten Sie in jedem Fall eine externe Kontrolle vorsehen. Dies lohnt sich auch, wenn Ihre IT durch eine externe Firma betreut wird. So werden mögliche Gefahren oder Risiken frühzeitig erkannt. Die Erfahrungen zeigen, dass die IT als Mittel zum Zweck 74

Informationssicherheit umsetzen

eingesetzt und wenig Zeit in Sicherheitsmassnahmen investiert wird. Auch externe Firmen sind immer mehr unter Zeit- und Gelddruck und versuchen, in der knappen Zeit alles zum Laufen zu bringen. Die Sicherheit ist dabei leider nicht immer im Mittelpunkt! Wählen Sie für die Kontrolle nicht Ihren bestehenden Partner, denn auch hier gilt: Wer gibt schon gerne die eigenen Fehler zu? Ein Audit läuft in der Regel wie folgt ab:

Bedürfnisaufnahme

Vorbereitung

Audit

Auswertung

Präsentation

Nachbesprechung Abbildung 31: Ablauf eines Audits

Bedürfnisaufnahme Mit dem Kunden zusammen wird der Fokus, sprich: die Tiefe der einzelnen Themen, festgelegt. Dies ist abhängig vom Wissen und Stand der IT. Vorbereitung Die dem Auditor zur Verfügung gestellten Unterlagen werden sorgfältig studiert und bilden die Grundlage für das nachfolgende Audit. Vorgängige Interviews können diesen Schritt abrunden. 75

Informationssicherheit umsetzen

Audit Vor Ort, je nach Grösse und Anzahl der Standorte in circa 2 bis 3 Tagen (Fragenkatalog zur organisatorischen Umgebung, technische Überprüfung von Servern, Clients und Netzwerkelementen, Rundgang im Gebäude (Zutritt, Serverraum, Arbeitsplätze, PatchSchränke etc.). Auswertung Erstellen des Gefahrenkataloges und der notwendigen (Gegen-)Massnahmen. Präsentation Präsentation und Besprechung der Resultate mit den IT-Verantwortlichen und der Geschäftsleitung. Die wichtigsten Risiken und Massnahmen werden detailliert vorgestellt. Anschliessend wird der Bericht übergeben. Nachbesprechung Viele Fragen entstehen erst beim Studium der Unterlagen. Daher ist es wichtig, offene Fragen an einer Nachbesprechung zu klären.

8.5

Zertifizierungen

Es gibt eine Vielzahl von Zertifizierungsmöglichkeiten15 im IT-Umfeld, aber lohnt sich eine entsprechende Zertifizierung? Diese Frage kann nicht mit Ja oder Nein beantwortet werden. Sicherlich lohnt sich eine Zertifizierung im internationalen Umfeld, oder wenn ein Partner dies fordert. Es darf sich aber niemals um eine AlibiÜbung handeln, sondern muss durchwegs gelebt werden. Eine Zertifizierung kann auch als Qualitätsmerkmal verwendet werden. Vor allem im Bereich von sensiblen Daten (z.B. Kundendaten) ist eine Zertifizierung eine Garantie für korrekte und umfassende Massnahmen zum Schutz der anvertrauten Informationen. Auch wenn keine Zertifizierung angestrebt wird, lohnt es sich, nach solchen Vorgaben den eigenen IT-Betrieb zu führen. So kann man sich auf Bestehendes verlassen und an die eigene Situation anpassen. Dies spart viel Zeit und Geld und garantiert ein lückenloses Vorgehen.

Unter de.wikipedia.org/wiki/Liste_der_IT-Zertifikate finden Sie eine Vielzahl von IT-Zertifikaten, teilweise herstellerbezogene, aber auch unabhängige Zertifizierungen.

Informationssicherheit umsetzen

Zusammenfassend kann gesagt werden, dass zwar ein relativ grosser Aufwand damit verbunden ist, sich dieser aber sicherlich lohnen wird.16

Vorgehen zur Zertifizierung nach ISO 27001: https://www.bsi.bund.de/ContentBSI/grundschutz/zert/ISO27001/Sche ma/zertifizierungsschema.html

Stichwortverzeichnis

Application-Layer-Firewall 54 Aufbewahrungspflicht 7 Availability 11 Awareness-Programm 38 B a c k u p 59 Bedrohungsszenarien 24 Benchmarking 18 Betreiberrisiko 17 Betriebsprozesse 9 BIOS-Passwort 44 BSI 21 Buchführungsvorschriften 7 Chatten 28 CObIT 71 Code of Practice 20 Confidentiality 12 Content-Filter 54 Datenschutzgesetz 7 E-Commerce 17 E-Mail 47 FDA 10 Firewall 53 Geheimdienste 27 Geschäftsgeheimnisse 28 Identitätsdiebstahl 28 Images 61 Informationssicherheit 9 InfoSurance 33 Integrität 11 Intrusion Detection 66 IS-Beauftragte 16 IS-Massnahmen 19 ISO 27001 21 ITIL 71 IT-Sicherheit 9 Kostenoptimierung 16 Laptops 44 Managed Security Services 8 Mitarbeiterschulung 37 Mobiltelefone 28 Nachweisbarkeit 12 Netzwerksicherheit 53 Nutzenaspekte 17

Outsourcing 8 Paketfilter 54 Patentmissbrauch 28 PDAs 44 Personal Firewall 56 PGP 49 Phishing 43 Physische Bedrohungen 25 Policies 16 POP3 48 PRINCE2 72 Prozess-Verantwortliche 32 Remote-Gaming 28 Restore 59 Return on Security Investment 18 Risikoanalysen 29 Risiko-Management 32 ROSI 18 Schadenhäufigkeit 31 Schutzmassnahmen 37 Security Officer 5 Security-Management 72 Security-Policy 34 Sicherheitsbeauftragte 18 Sicherheitshandbuch Praxis 21 SLA 8 Social Engineering 45 Spam 39 Spionage 28 Spyware 42 Stateful Inspection 54 Tauschbörsen 28 Unversehrtheit 11 Verfügbarkeit 11 Verschlüsselung 48 Vertragsrecht 7 Vertraulichkeit 12 Vertraulichkeitsanforderungen 17 VLAN 68 X.509 51

Profil des Editionspartners

Die Kernkompetenz der GO OUT Production GmbH ist die ganzheitliche Prüfung der IT-Sicherheit von unterschiedlichen Unternehmungen und Behörden. Die Analyse umfasst sowohl IT-spezifische Komponenten wie auch die IT-Organisation und IT-Strategien der Unternehmung. Seit 1999 führen die Experten der GO OUT Production GmbH hersteller- und produkteneutrale Assessments in kleinen, mittleren und grösseren Unternehmungen aus allen Branchen durch.

Abbildung 32: Dienstleistungen der GO OUT Production GmbH

Die Kompetenzen der Auditoren umfassen: Dipl. Ing. FH, Dipl. Kom Techniker HF, ISO 27001 Lead Auditor, CISSP, Certified Ethical Hacker, Business Continuity Manager, OPST, MCITP Enterprise Server Administrator, IT-Sicherheitsbeauftragter BSI, compTIA Security+, ITIL Foundation v3 Version 2011, CISA. Stetige Weiterbildungen garantieren ein umfassendes und aktuelles Audit mit auf Ihr Unternehmen angepassten Massnahmenvorschlägen. Weitere Informationen über die Dienstleistungen und das Team sowie viele nützliche Informationen finden Sie im Internet unter www.goSecurity.ch. GO OUT Production GmbH Schulstrasse 11 8542 Wiesendangen 052 320 91 20 79

www.goout.ch

Autorenteam & BPX

Autorenteam & BPX Andreas Wisler Dipl. Ing. FH, CISSP, CISA, ISO 27001 Lead Auditor, ITIL FE, Sicherheitsbeauftragter nach BSI IT-Spezialist bei GO OUT Production GmbH, welche sich mit umfassenden Security Audits, Penetration Tests und Sicherheitsberatungen auseinandersetzt. Weiter unterrichtet er an der FHNW IT-Sicherheits-Themen. Fredy Schwyter Autor der 1. Auflage Dipl. Ing. HTL/STV, CISA, CISM

Weiterbildung in Informationssicherheit: www.hslu.ch www.fhnw.ch www.zhaw.ch

BPX steht f체r Best Practice Xperts Martin & Martina Dalla Vecchia Herausgeber der BPX-Booklets. Ziel von BPX ist es, komplexe Themen praxisgerecht f체r das Management aufzubereiten: kurz & pr채gnant. www.bpx.ch

Rheinfelden/Schweiz BPX-Edition 2013 www.bpx.ch 30 CHF / 20 € ISBN 978-3-905413-24-3 Editionspartner:

www.bpx.ch

Informationssicherheit für KMU – Sicherheitskonzept & praktische Umsetzung

Andreas Wisler Fredy Schwyter

Informationssicherheit für KMU Sicherheitskonzepte & praktische Umsetzung 2. Auflage

 Gesetze & Verantwortung  Grundschutz für KMU  Praxis der     Editionspartner::

  

Informationssicherheit Kosten-Nutzen-Aspekte Technologie-Grundlagen Sicherheitskonzepte umsetzen Outsourcing & Managed Security Services Praxisbeispiele Checklisten Trends