Datensicherheit

1. Informationssicherheit braucht System

  • Überlegen Sie bei allen Projekten frühzeitig und systematisch die Informationssicherheitsaspekte.
  • Definieren Sie Informationssicherheitsziele, damit angemessene Maßnahmen festgelegt werden können.
  • Informationssicherheit ist als Prozess zu verstehen, sie sollte regelmäßig überprüft werden.
  • Machen Sie in Ihrem Unternehmen bestehende Richtlinien und Zuständigkeiten bekannt.
  • Legen Sie klare Zuständigkeiten fest. Vorhandene Arbeitsabläufe und Sicherheitsrichtlinien müssen regelmäßig hinsichtlich Zweckmäßigkeit und Effizienz überprüft werden.
  • Dokumentieren Sie alle bestehenden Sicherheitsrichtlinien schriftlich in einem Sicherheitskonzept.

2. Sicherheit von IT-Systemen

  • Nutzen Sie alle nativ vorhandenen Schutzmechanismen.
  • Viren-Schutzprogramme müssen flächendeckend eingesetzt werden
  • Allen Systembenutzern sollten Rollen und Profile zugeordnet werden. Datenzugriffsmöglichkeiten müssen immer auf ein erforderliches Mindestmaß beschränkt werden, auch bei Administratoren.
  • Auch Programmprivilegien können begrenzt werden, verlassen Sie sich nicht auf Standardeinstellungen. Lesen Sie Handbücher und Produktdokumentationen!
  • Erstellen Sie Installations- und Systemdokumentationen und sorgen Sie für eine regelmäßige Aktualisierung.

3. Netzwerke und Internet-Anbindung

  • Schützen Sie Ihr Netzwerk mit Firewalls, eine sichere Firewall muss bestimmten Mindestanforderungen genügen.
  • Beschränken Sie nach außen angebotene Daten auf ein praktikables Minimum. Das gilt gleichermaßen für Dienste und Programmfunktionalitäten.
  • Web-Browser stellen eine besondere Gefährdung dar, hier ist besondere Vorsicht geboten, riskante Aktionen sollten unterbunden werden. Bei E-Mail-Anhängen ist besondere Vorsicht geboten.
  • Gern gemachter Vorschlag: Ein separater „Internet-PC“ zum Surfen ist eine kostengünstige Lösung für die meisten Sicherheitsprobleme bei der Internet- Nutzung?

4. Der Faktor Mensch: Das Problem sitzt vor dem Computer

  • Mitarbeitende müssen Sicherheitsrichtlinien und -anforderungen beachten, dafür müssen sie sie kennen: Schulungskonzepte.
  • Am IT-Arbeitsplatz sollte Ordnung herrschen, denn empfindliche Informationen dürfen nicht frei zugänglich sein (Post-It mit Admin Passwort am Bildschirm, Daten-CD liegt unbeaufsichtigt auf der Fensterbank).
  • Eine ehrliche Selbsteinschätzung ist schwierig: Manchmal muss Expertenrat eingeholt werden.
  • Für alle bestehenden Sicherheitsvorgaben müssen Kontrollmechanismen eingerichtet werden
  • Legen Sie Konsequenzen für Sicherheitsverstöße fest und veröffentlichen sie diese. Erkannte Sicherheitsverstöße müssen auch tatsächlich sanktioniert werden.

5. Wartung von IT-Systemen und der Umgang mit sicherheitsrelevanten Updates

  • Jetzt ist es quasi gesetzlich geregelt: Sicherheits-Updates müssen regelmäßig eingespielt werden.
  • Recherchieren Sie in regelmäßigen Abständen zu den Sicherheitseigenschaften verwendeter Software. Haben Sie einen Aktionsplan zum Einspielen erforderlicher Sicherheits-Updates?

6. Verwendung von Sicherheitsmechanismen: Umgang mit Passwörtern und Verschlüsselung

  • Es müssen gut gewählte (sichere) Passwörter eingesetzt werden. Als sicher gilt heute ein Passwort mit 12 alphanumerischen Zeichen, am besten mit enthaltenen Sonderzeichen. Das kann aber morgen überholt sein! Deswegen: 2-Faktor Authentifizierung!
  • Voreingestellte oder leere Passwörter müssen geändert werden.
  • Arbeitsplatzrechner sollten bei Verlassen mit Bildschirmschoner und Kennwort gesichert werden

7. Schutz vor Katastrophen und Elementarschäden

  • Haben Sie Notfallpläne und sind diese jedem Mitarbeiter bekannt?
  • Alle wichtigen Daten müssen regelmäßig gesichert werden (Backup). Haben Sie Ihr Restore-Szenario schon einmal getestet?
  • IT-Systeme müssen angemessen gegen Feuer, Überhitzung, Wasserschäden und Stromausfall geschützt sein
  • Maßnahmen zum Zutrittsschutz und zum Schutz vor Diebstahl (Einbrecher) müssen umgesetzt werden
  • Der gesamte Bestand an Hard- und Software sollte in einer Inventarliste erfasst werden.

Haben Sie Fragen oder wünschen Sie Unterstützung bei der Umsetzung der IT- und Datensicherheit in Ihrem Unternehmen? Sprechen Sie uns an, wir beraten Sie gerne: 06731-9980936.