Aufrufe
vor 3 Jahren

01 | 2015 public

  • Text
  • Framework
  • Verwaltung
  • Frameworks
  • Einsatz
  • Unternehmen
  • Zivit
  • Anforderungen
  • Kanban
  • Entwicklung
  • Informationssicherheit
  • Erfolgsfaktoren
Erfolgsfaktoren für IT-Sicherheit

Informationssicherheit

Informationssicherheit ist mehr als nur eine Frage der richtigen Technologie. Wichtig ist eine ganzheitliche Sicht auf das Thema, und zwar unter Berücksichtigung aller beteiligten Personen, erforderlichen Prozesse, Technologien und eines adäquaten Managements. So haben beispielsweise viele Unternehmen Firewalls und Antivirensoftware im Einsatz, um sich vor externen Angriffen zu schützen – der Faktor Mensch allerdings wird viel zu selten bedacht. Die Mehrzahl der Sicherheitsvorfälle wird nämlich – laut einer aktuellen Studie der Unternehmensberatung PwC 2 – durch die eigenen Mitarbeiter verursacht: einerseits, indem sie sich z. B. durch Weitergabe sensibler Daten an die Konkurrenz persönlich bereichern, andererseits, indem sie durch unvorsichtiges Handeln, durch Fehler oder Schwächen bei der Anwendung Einfallstore für Angreifer öffnen. Systematisch berücksichtigt und abgearbeitet, erhöhen die folgenden neun Hinweise die Informationssicherheit in Ihrer Behörde: Die Bedrohung nicht unterschätzen Viele Behörden- und Abteilungsleiter sind sich des Risikos durch Cyberangriffe oder Wirtschaftsspionage nicht bewusst und unterschätzen den daraus resultierenden Schaden für ihre Organisation oder langfristig sogar für ein ganzes Land. Die durch IT-Sicherheitsvorfälle verursachten Schäden haben in den letzten Jahren rapide zugenommen. Die Situation wird durch zunehmende Globalisierung und IT-Einsatz in allen Bereichen sehr komplex, die Risiken für den Laien kaum mehr überschaubar. Weit verbreitet ist auch der Irrglaube, dass die Daten der eigenen Behörde oder des eigenen Unternehmens „sowieso nicht interessant sind“. Aber Angreifer nehmen immer öfter auch mittlere und kleine Organisationen ins Visier. Diese haben häufig noch weniger in die Absicherung ihrer Systeme investiert, halten aber gleichzeitig wertvolle Daten und Informationen vor oder ermöglichen durch ihre Beziehungen zu Dienstleistern den Zugriff auf deren Daten. Informationssicherheit sollte daher immer mit geschulten Fachleuten umgesetzt werden und nicht von Mitarbeitern, die sich vermeintlich gut mit dem Thema auskennen. Sicherheitsvorfälle aufdecken Möglicherweise gab es in jeder Behörde bereits Sicherheitsvorfälle, die nicht entdeckt wurden. Denn bei Datendiebstahl werden – anders als beim herkömmlichen Diebstahl von Waren – die Daten nicht entwendet, sondern lediglich kopiert. Ohne Erhebung und gezielte Auswertung von Log-Daten fallen unerlaubte Zugriffe oder Datenmanipulationen von intern oder extern oftmals gar nicht auf. Um verdächtige Aktivitäten aufzudecken, benötigt man zum Beispiel ein SIEM-System (Security Information and Event Management). Damit werden sicherheitsrelevante Log- Daten gezielt miteinander verknüpft und bei bestimmten Ereignissen, beispielsweise mehr als zehn erfolglosen Login-Versuchen von einer ausländischen IP-Adresse, wird ein Alarm ausgelöst beziehungsweise diese IP-Adresse automatisch geblockt. Neue Bedrohungen ernst nehmen, alte nicht vernachlässigen Neue Entwicklungen, wie der Einsatz von Smartphones oder mobilen Apps im Behörden- oder Unternehmensumfeld, bergen neue Risiken, die adressiert werden sollten. Mobile Endgeräte gehen leichter verloren oder werden gestohlen. Die ständige Verbindung in öffentliche und potenziell unsichere Netzwerke erlaubt neue Angriffe. Dennoch gilt es nicht nur diese „Trend-Themen“ abzusichern, sondern durch einen ganzheitlichen Ansatz alle Risiken zu berücksichtigen. Schwachstellen in Web-Anwendungen sind beispielweise bereits seit vielen Jahren ein großes Einfallstor für Angreifer, weil viele Organisationen keine durchgängigen Prozesse zur Absicherung und zum regelmäßigen Einspielen von Sicherheits-Updates (Patch- Management) etabliert haben. Daher sollten alle Informationen und fachlichen Prozesse (Assets) systematisch erfasst werden, um alle damit verbundenen Systeme und Applikationen in zentrale Prozesse wie das Patch-Management einbinden und somit angemessen absichern zu können. Gibt es keine komplette Übersicht der vorhandenen Assets, entsteht häufig eine Systemlandschaft mit sehr unterschiedlichen Sicherheitsniveaus. Und Angreifer werden das schwächste Glied in der Kette mit Sicherheit finden. Sicherheit von Beginn an berücksichtigen Bei der Entwicklung neuer Lösungen sollte das Thema Sicherheit von Beginn an berücksichtigt und in die zu entwickelnde Anwendung konzeptioniert werden. Erfolgt dies erst in späteren Entwicklungsphasen, können Sicherheitslücken zwar teilweise noch behoben oder durch Firewalls oder Intrusion-Detection-/ Prevention-Systeme (IDS/IPS) geschlossen werden, aber meist nur zu erhöhten Kosten. Zudem kann eine unsichere Systemarchitektur im Nachhinein in der Regel nicht mehr oder nur sehr 2 PwC: Global State of Information Security Study 2015, URL: http://www.pwc.de/ gsiss2015 24 | .public 01-15 | Informationstechnologie

Menschen Standards & Compliance Prozesse Informationssicherheit Management Informationstechnologie Einflussfaktoren für Informationssicherheit aufwendig vollumfänglich angepasst und abgesichert werden. Sicherheit muss daher bereits während der Anforderungsanalyse großgeschrieben werden. Informationssicherheit zur Chefsache machen Da es um Risiken geht, die eine Bedrohung für die gesamte Organisation darstellen, sollte die Verantwortung für Informationssicherheit direkt bei der Behördenleitung (und nicht „nur“ in der IT-Abteilung) liegen. Sinnvoll ist die Berufung eines Chief Security Officers (CSO), der sich auf höchster Managementebene ausschließlich mit dem Thema Sicherheit befasst. Erforderliche Maßnahmen umfassen nicht nur technische Themen, sondern auch Prozesse und Personal, die von ganz oben in die Organisation eingesteuert werden müssen. Zudem sollte der Wert der Daten (Schutzbedarf) nicht durch die IT, sondern durch die einzelnen Fachabteilungen (Datenverantwortliche) festgelegt werden. Nur sie können beurteilen, welcher Schaden durch eine Manipulation oder einen Diebstahl „ihrer“ Daten verursacht würde. Awareness-Training für alle durchführen Informationssicherheit geht jeden an, der im Arbeitsalltag mit sensiblen Daten zu tun hat, und betrifft demzufolge (fast) alle Mitarbeiter einer Behörde. Daher sollten auch alle zum Thema Informationssicherheit sensibilisiert werden, zum Beispiel in einem Awareness-Training, in dem sie den korrekten und sicheren Umgang mit Daten lernen. Denn nicht selten werden Sicherheitsvorfälle durch die eigenen Mitarbeiter verursacht – sei es, weil ihnen die Risiken nicht bewusst sind und Daten leichtsinnigerweise über externe Cloud-Dienste wie Dropbox oder per unverschlüsselter E-Mail ausgetauscht werden oder vertrauliche Papiere im normalen Müll landen. Auch wenn häufig keine Absicht dahintersteckt, kann der Schaden immens sein. Die Studie „Cost of Data Breach 2014“ des Ponemon-Instituts 3 bezifferte den durchschnittlichen Schaden einer Datenpanne in deutschen Unternehmen mit 3,4 Millionen Euro. Vorgaben durch zielgruppengerechte Sicherheitsrichtlinien und Schutzprozesse müssen von allen Mitarbeitern konsequent gelebt werden. Technische Lösungen implementieren Menschen machen Fehler. Daher ist es schwer, unbeabsichtigten Datenabfluss komplett zu verhindern. Dennoch sollte er auf ein Minimum reduziert werden. Technische Lösungen helfen, diese Fehlhandlungen zu erkennen und zu unterbinden. So könnte eine Data-Leakage-Prevention(DLP)-Lösung jeglichen Datenverkehr untersuchen, der das Unternehmen oder die Behörde verlässt. Besondere Begriffe oder Zahlenformate wie Konto- oder Kreditkartendaten oder intern eingestufte 3 Ponemon Institute: 2014 Cost of Data Breach Study (Germany), URL: http://public.dhe. ibm.com/common/ssi/ecm/en/sel03019usen/SEL03019USEN.PDF, Stand: Mai 2014 Informationstechnologie | .public 01-15 | 25

msg

01 | 2018 public
02 | 2017 public
01 | 2017 public
02 | 2016 public
01 | 2016 public
02 | 2015 public
01 | 2015 public
01 | 2014 public
01 | 2014 msg systems study
01 | 2015 msg systems Studienband
Future Utility 2030
Lünendonk® Trendstudie
Digitale Transformation | DE
Digital Transformation | EN
DE | inscom 2014 Report
EN | inscom 2014 Report

msgGillardon

02 | 2018 NEWS
03 | 2016 NEWS
02 | 2016 NEWS
01 | 2016 NEWS
03 | 2015 NEWS
02 | 2015 NEWS
01 | 2015 NEWS
02 | 2014 NEWS
01 | 2014 NEWS
02 | 2013 NEWS
01 | 2012 NEWS
02 | 2011 NEWS
01 | 2010 NEWS
MaRisk
01 | 2017 banking insight
01 | 2015 banking insight
01 | 2014 banking insight
01 | 2013 banking insight
01 | 2012 banking insight
02 | 2011 banking insight
01 | 2011 banking insight
01 | 2010 banking insight
2018 | Seminarkatalog | Finanzen

Über msg



msg ist eine unabhängige, international agierende Unternehmensgruppe mit weltweit mehr als 6.000 Mitarbeitern. Sie bietet ein ganzheitliches Leistungsspektrum aus einfallsreicher strategischer Beratung und intelligenten, nachhaltig wertschöpfenden IT-Lösungen für die Branchen Automotive, Banking, Food, Insurance, Life Science & Healthcare, Public Sector, Telecommunications, Travel & Logistics sowie Utilities und hat in über 35 Jahren einen ausgezeichneten Ruf als Branchenspezialist erworben.

Die Bandbreite unterschiedlicher Branchen- und Themenschwerpunkte decken im Unternehmensverbund eigenständige Gesellschaften ab: Dabei bildet die msg systems ag den zentralen Kern der Unternehmensgruppe und arbeitet mit den Gesellschaften fachlich und organisatorisch eng zusammen. So werden die Kompetenzen, Erfahrungen und das Know-how aller Mitglieder zu einem ganzheitlichen Lösungsportfolio mit messbarem Mehrwert für die Kunden gebündelt. msg nimmt im Ranking der IT-Beratungs- und Systemintegrationsunternehmen in Deutschland Platz 7 ein.


© 2018 by msg systems ag - powered by yumpu Datenschutz | Impressum