Ob privat oder im Unternehmen, ob Kleinunternehmen oder Großkonzern: Datensicherheit ist heutzutage für jeden ein Thema.
Im Prinzip sind dabei immer die gleichen Grundregeln zu beachten – nur die Art und Weise, in welcher Form die Regeln umzusetzen sind, ist skalierbar und sollte auf die Unternehmensgröße angepasst sein. Sie können ein Informationssicherheits-Management-System (ISMS) nach ISO 27001 einrichten, aber es geht auch kleiner und trotzdem wirksam. Wichtig ist, dass die Maßnahmen angemessen sind, denn nur dann sind sie handhabbar und werden angewendet – und stehen nicht nur auf dem Papier.
Im Unternehmen gibt es sicherlich noch einiges mehr zu beachten, z.B. eine Risikoanalyse, einen Business-Continuity-Plan zur Planung der Geschäftsfortführung und Aufrechterhaltung der Geschäftsprozesse, ein Notfallkonzept, das Bundesdatenschutzgesetz (BDSG) und vieles mehr.
Die 5 wichtigsten Regeln, die sehr gut auch privat anwendbar sind, sind jedoch die folgenden:
1.) Backup
Machen Sie regelmäßig Datensicherungen. Alle Informationen sollten strukturiert abgelegt werden und in einem regelmäßig aktualisierten Backup gesichert werden. Die Wahl des Sicherungsmediums ist zweitrangig, wichtig ist, dass die Sicherungen aktuell sind und nicht direkt neben dem PC aufbewahrt werden. Eine Auslagerung in einen separaten Brandabschnitt ist sehr zu empfehlen.
Natürlich darf ein Backup gerne redundant sein, d.h. z.B. in einem Generationenprinzip dürfen auch zwei oder mehr Sicherungen parallel geführt und aufbewahrt werden – nicht immer ist ein Backupmedium später noch lesbar. Im Unternehmen sollte dies in regelmäßigen Restoretests überprüft werden – aber das haben Sie sicherlich im Business Continuity Plan oder Disaster Recovery Plan auch schon so vorgesehen. Hier werden Sie sicherlich ohnehin täglich die erfolgreiche Durchführung des Backups überwachen.
Eine RAID-Festplatte ersetzt übrigens NICHT das Backup: eine versehentliche Datenlöschung wird unmittelbar auf die zweite Festplatte synchronisiert, und wenn der Rechner durch Brand beschädigt oder gestohlen wird, ist die „Sicherung“ gleich mit weg.
2.) Virenschutz
Es klingt trivial, aber: installieren Sie einen Virenscanner und sorgen Sie dafür, dass er mindestens täglich, idealerweise mehrfach täglich, aktualisiert wird. Dafür gibt es für Privatanwender kostenlose Produkte und noch etwas bessere zu einem überschaubaren Preis. Damit halten Sie schon einen großen Teil der Bedrohungen fern, die per eMail und über Webbrowser auf Sie einprasseln.
Im Unternehmen bedeutet das: stellen Sie über eine zentrale Managementkonsole sicher, dass auch alle Server und Clients über aktuelle Signaturen verfügen. Und je nachdem haben Sie vermutlich ohnehin einen Überwachungsprozess eingerichtet, der regelmäßig die Aktualität des Virenscanners überprüft, Regelwerk und Benachrichtigungen der Firewall im Blick hält und entsprechende Eskalationsmechanismen vorsieht. Solche Prozesse kann man in Anlehnung an ITIL gestalten und auch auf verschiedene Unternehmensgrößen skalieren.
3.) Patch-Management
Installieren Sie Updates. Halten Sie nicht nur das Betriebssystem aktuell, sondern auch betriebssystemnahe Software wie z.B. den Adobe Reader, Adobe Flash oder auch Ihren Webbrowser. Im Unternehmen installieren Sie eine Software, die Sie dabei unterstützt.
Die meisten Bedrohungen nutzen Schwachstellen in verbreiteten Softwareprodukten aus – wenn Sie diese zeitnah nach Bekanntwerden schließen, haben Sie die größten Lücken schon geschlossen. Um auf dem Laufenden zu bleiben, bietet sich der Newsletter des BSI an, der regemäßig über neu bekannt gewordene Sicherheitslücken und Patches informiert.
4.) Berechtigungen
Verwenden Sie ruhig sinnvolle Passwörter mit angemessener Komplexität, privat dürfen Sie gerne am Windows-PC ein zweites Konto ohne Adminstratorrechte einrichten, unter dem Sie täglich arbeiten.
Im Unternehmen sollten Sie für die Netzwerkanmeldung ebenso wie für die einzelnen Anwendungen ein Berechtigungskonzept entwickeln und die Berechtigungen der Benutzer auf ein sinnvolles Maß einschränken. Das Motto lautet: So viel wie nötig, so wenig wie möglich.
Damit reduzieren Sie das Risiko, dass versehentlich etwas gelöscht wird, dass ein Mitarbeiter unautorisierte Dinge tut und stellen sicher, dass Sie sich konform zu den gesetzlichen Anforderungen bewegen – diese können aus Handels- und Steuerrecht, aber auch aus dem Bundesdatenschutzgesetz kommen.
5.) Awareness
Der Faktor Mensch ist einer der wichtigsten Bausteine bei der Informationssicherheit.
Menschen können Fehler machen, fallen auf Phishing-eMails herein, vergessen bestimmte Dinge zu tun, sind anfällig für Social Engineering. Daher sollten Sie sich nicht alleine darauf verlassen, dass schon nichts passiert – die Erfahrung lehrt etwas anderes.
Im Umkehrschluss ist es aber genauso wichtig, beim Umgang mit Daten den Kopf einzuschalten: ist die eMail mit dem Dateianhang vertrauenswürdig ? Finden merkwürdige Dinge auf dem PC statt ? Habe ich noch wichtige unverschlüsselte Daten auf dem USB-Stick dabei ? Wenn die Bedrohung erkannt wird, ist in der Regel schon ein großer Teil der Gefahr gebannt. Im Unternehmen helfen entsprechende Schulungen, ein Bewußtsein für Informationssicherheits- und Datenschutzthemen zu schaffen. Mit Richtlinien geben Sie einen strukturellen Rahmen vor, in dem sich Ihre Mitarbeiter bewegen dürfen, um die Compliance zu unternehmensinternen und externen z.B. regulatorischen Anforderungen einzuhalten. Zusätzlich helfen praktikabel gehaltene Richtlinien und Handlungsanweisungen dem Mitarbeiter, sich zu orientieren und im Fall der Fälle die richtigen Maßnahmen zu ergreifen.
Fazit
Welche Maßnahmen erforderlich und angemessen sind, hängt vom Schutzbedarf ab und ist individuell unterschiedlich. Zwingend erforderlich ist jedoch im Unternehmen eine Risikoanalyse und die Einrichtung angemessener Vorkehrungen zum Schutz Ihrer Daten. Diese sind technischer und organisatorischer Art, so dass im Zusammenspiel eine angemessene Sicherheit erreicht wird. Gerne unterstützen wir Sie bei der Analyse, aber auch bei der Einrichtung der entsprechenden Prozesse und weiterer Maßnahmen.