Welche Bedrohungen habe ich bei der Planung der IT-Sicherheit zu berücksichtigen?
Das Bedrohungspotenzial ist von Unternehmen zu Unternehmen unterschiedlich zu bewerten. Die Möglichkeiten reichen dabei von Hacker-Attacken auf das Unternehmen, die bestimmte elektronische Dienste lahm legen oder zerstören können, über die Wirtschaftsspionage bis zur mutwilligen oder fahrlässigen Gefährdung durch die eigenen Mitarbeiter.
Reichen technische Maßnahmen allein für die IT-Sicherheit im Unternehmen aus?
Nein, technische Maßnahmen bringen nur im Zusammenspiel mit den notwendigen organisatorischen Maßnahmen einen ausreichenden Schutz. Man muss sich also vorher über das jeweilige Bedrohungspotenzial klar werden. Ebenso müssen Verantwortung und Verantwortlichkeiten bei Geschäftsführung, IT-Sicherheitsbeauftragten und Mitarbeitern eindeutig beschrieben, vermittelt und gelebt werden. Erst dann sind die so gewonnenen Richtlinien mit der notwendigen Sicherheitstechnik umzusetzen. Da ständig neue Bedrohungen entstehen, ist dieser Prozess leider nie endgültig beendet.
Eine gute Übersicht über die notwendigen Maßnahmen bietet das IT-Grundschutzhandbuch des Bundesamtes für die Sicherheit in der Informationstechnik (BSI)
Wer haftet, wenn durch eine mangelhafte IT-Sicherheit Schäden entstehen?
Haftbar wird im Außenverhältnis immer das Unternehmen selbst gemacht. Unter bestimmten Voraussetzungen kann dieses im Innenverhältnis jedoch bei bestimmten Personen, z.B. der Geschäftsführung, Regress nehmen. Dieses ist bei grober Fahrlässigkeit oder Vorsatz denkbar.
Welches sind die wichtigsten technischen Komponenten zum Schutz der Firma vor Angriffen aus dem Internet?
Um das interne Netzwerk vor unzulässigen Zugriffen Dritter zu schützen, muss man sämtliche Zugriffsmöglichkeiten in das und vom Internet kanalisieren. An diesem zentralen Punkt wird nun eine so genannte Firewall installiert, die unerwünschte Anfragen zurückweist. Da für die wirklich sichere Konfiguration viel Erfahrung und Know-how notwendig sind, sollte diese Tätigkeit nur von Experten ausgeführt werden. Eine Firewall allein reicht aber nicht aus. Zusätzlich müssen ankommende Daten auf Viren untersucht werden. Dafür sind entsprechende Virenscanner zu verwenden, die regelmäßig auf den neuesten Stand gebracht werden müssen. Ebenso müssen die Internet-Browser am Arbeitsplatz korrekt eingestellt sein.
Wie schützt man über das Internet zu versendende Dokumente vor dem „Mitlesen“ durch Dritte?
E-mails werden normalerweise ungeschützt versendet. Um expliziten Schutz zu erhalten, müssen die Dokumente bzw. e-mails verschlüsselt werden. Dazu kann man beispielsweise nichtsymmetrische Schlüsselpaare verwenden, die aus einem öffentlichen und einem privaten Schlüssel bestehen. Um einer bestimmten Person ein Dokument senden zu können, verschlüsselt man (mit der e-mail-Software) mit dem öffentlichen Schlüssel des Empfängers. Die Nachricht kann dann nur mit dem privaten Schlüssel vom Empfänger entschlüsselt werden.
Was ist eigentlich eine elektronische Signatur? Welche rechtliche Bedeutung hat ein damit unterschriebenes Dokument?
Mit den gleichen Verfahren wie bei der Verschlüsselung funktioniert auch die elektronische Signatur. Sie dient der eindeutigen Identifizierung des Absenders und dokumentiert gleichzeitig die Unveränderbarkeit des gesendeten Dokumentes. Um eine elektronische Signatur zu verwenden, die der eigenhändigen Unterschrift gleichgestellt ist, ist eine so genannte qualifizierte elektronische Signatur notwendig. Diese benötigt eine Chipkarte als sicheren Träger und unterliegt strengsten gesetzlichen Bestimmungen. Eine qualifizierte Signatur ist beispielsweise bei der IHK zu erhalten.
Manchmal bekommt man e-mails, die dazu aufrufen, bestimmte Dateien auf dem Computer zu löschen. Was steckt dahinter?
Es handelt sich hierbei meist um vermeintliche Viren-Meldungen, sog. Hoaxe (engl. elektronische „Ente“). Dabei wird die Unkenntnis der Anwender soweit ausgenutzt, vermeintlich virenbefallene Dateien, die kein Virenscanner erkennen kann, auf dem Computer zu löschen. In Wahrheit handelt es sich dabei um Dateien, die standardmäßig auf dem Rechner vorkommen und für den Betrieb bestimmter Dienste notwendig sind. Zusätzlich wird der Betroffene angehalten, diese Meldung an seine e-mail-Kontakte weiterzuleiten. Informationen über die verschiedenen Varianten der Hoaxes sind auf den Seiten des BSI zu finden. Dort gib es auch Hinweise, wie man eventuell gelöschte Dateien wieder beschaffen kann.
Wie hilft die IHK?
Im IHK-AnwenderClub „Datenschutz und Informationssicherung“ werden Informationen und Erfahrungen ausgetauscht. Weitere Seminare und Lehrgänge sind in Vorbereitung.
Links im Internet
? www.sicherheit-im-internet.de
? www.bsi.de
? eforen.ihk-nuernberg.de/datenschutz
Das Bedrohungspotenzial ist von Unternehmen zu Unternehmen unterschiedlich zu bewerten. Die Möglichkeiten reichen dabei von Hacker-Attacken auf das Unternehmen, die bestimmte elektronische Dienste lahm legen oder zerstören können, über die Wirtschaftsspionage bis zur mutwilligen oder fahrlässigen Gefährdung durch die eigenen Mitarbeiter.
Reichen technische Maßnahmen allein für die IT-Sicherheit im Unternehmen aus?
Nein, technische Maßnahmen bringen nur im Zusammenspiel mit den notwendigen organisatorischen Maßnahmen einen ausreichenden Schutz. Man muss sich also vorher über das jeweilige Bedrohungspotenzial klar werden. Ebenso müssen Verantwortung und Verantwortlichkeiten bei Geschäftsführung, IT-Sicherheitsbeauftragten und Mitarbeitern eindeutig beschrieben, vermittelt und gelebt werden. Erst dann sind die so gewonnenen Richtlinien mit der notwendigen Sicherheitstechnik umzusetzen. Da ständig neue Bedrohungen entstehen, ist dieser Prozess leider nie endgültig beendet.
Eine gute Übersicht über die notwendigen Maßnahmen bietet das IT-Grundschutzhandbuch des Bundesamtes für die Sicherheit in der Informationstechnik (BSI)
Wer haftet, wenn durch eine mangelhafte IT-Sicherheit Schäden entstehen?
Haftbar wird im Außenverhältnis immer das Unternehmen selbst gemacht. Unter bestimmten Voraussetzungen kann dieses im Innenverhältnis jedoch bei bestimmten Personen, z.B. der Geschäftsführung, Regress nehmen. Dieses ist bei grober Fahrlässigkeit oder Vorsatz denkbar.
Welches sind die wichtigsten technischen Komponenten zum Schutz der Firma vor Angriffen aus dem Internet?
Um das interne Netzwerk vor unzulässigen Zugriffen Dritter zu schützen, muss man sämtliche Zugriffsmöglichkeiten in das und vom Internet kanalisieren. An diesem zentralen Punkt wird nun eine so genannte Firewall installiert, die unerwünschte Anfragen zurückweist. Da für die wirklich sichere Konfiguration viel Erfahrung und Know-how notwendig sind, sollte diese Tätigkeit nur von Experten ausgeführt werden. Eine Firewall allein reicht aber nicht aus. Zusätzlich müssen ankommende Daten auf Viren untersucht werden. Dafür sind entsprechende Virenscanner zu verwenden, die regelmäßig auf den neuesten Stand gebracht werden müssen. Ebenso müssen die Internet-Browser am Arbeitsplatz korrekt eingestellt sein.
Wie schützt man über das Internet zu versendende Dokumente vor dem „Mitlesen“ durch Dritte?
E-mails werden normalerweise ungeschützt versendet. Um expliziten Schutz zu erhalten, müssen die Dokumente bzw. e-mails verschlüsselt werden. Dazu kann man beispielsweise nichtsymmetrische Schlüsselpaare verwenden, die aus einem öffentlichen und einem privaten Schlüssel bestehen. Um einer bestimmten Person ein Dokument senden zu können, verschlüsselt man (mit der e-mail-Software) mit dem öffentlichen Schlüssel des Empfängers. Die Nachricht kann dann nur mit dem privaten Schlüssel vom Empfänger entschlüsselt werden.
Was ist eigentlich eine elektronische Signatur? Welche rechtliche Bedeutung hat ein damit unterschriebenes Dokument?
Mit den gleichen Verfahren wie bei der Verschlüsselung funktioniert auch die elektronische Signatur. Sie dient der eindeutigen Identifizierung des Absenders und dokumentiert gleichzeitig die Unveränderbarkeit des gesendeten Dokumentes. Um eine elektronische Signatur zu verwenden, die der eigenhändigen Unterschrift gleichgestellt ist, ist eine so genannte qualifizierte elektronische Signatur notwendig. Diese benötigt eine Chipkarte als sicheren Träger und unterliegt strengsten gesetzlichen Bestimmungen. Eine qualifizierte Signatur ist beispielsweise bei der IHK zu erhalten.
Manchmal bekommt man e-mails, die dazu aufrufen, bestimmte Dateien auf dem Computer zu löschen. Was steckt dahinter?
Es handelt sich hierbei meist um vermeintliche Viren-Meldungen, sog. Hoaxe (engl. elektronische „Ente“). Dabei wird die Unkenntnis der Anwender soweit ausgenutzt, vermeintlich virenbefallene Dateien, die kein Virenscanner erkennen kann, auf dem Computer zu löschen. In Wahrheit handelt es sich dabei um Dateien, die standardmäßig auf dem Rechner vorkommen und für den Betrieb bestimmter Dienste notwendig sind. Zusätzlich wird der Betroffene angehalten, diese Meldung an seine e-mail-Kontakte weiterzuleiten. Informationen über die verschiedenen Varianten der Hoaxes sind auf den Seiten des BSI zu finden. Dort gib es auch Hinweise, wie man eventuell gelöschte Dateien wieder beschaffen kann.
Wie hilft die IHK?
Im IHK-AnwenderClub „Datenschutz und Informationssicherung“ werden Informationen und Erfahrungen ausgetauscht. Weitere Seminare und Lehrgänge sind in Vorbereitung.
Links im Internet
? www.sicherheit-im-internet.de
? www.bsi.de
? eforen.ihk-nuernberg.de/datenschutz
