Ein paar Tipps für Informationssicherheit und Sicherheitsmanagement

Bedarfsanalyse erstellen

  • Denken Sie in Notfällen. Welcher Notfall könnte wo eintreten? Welche Risiken gibt es?

Was habe ich für einen Schutzbedarf? Was brauche ich eigentlich? Welche Bedrohungen kommen auf mich zu?

Erstellen Sie eine dreidimensionale Bedrohungsanalyse, die folgende Punkte benotet:

  • Wie hoch ist die Wahrscheinlichkeit, dass es auftritt?
  • Wie hoch ist das jeweilige Schadensausmaß?
  • Wie hoch ist die Entdeckungswahrscheinlichkeit? Also wann bemerke ich den Angriff oder Notfall und kann mich entsprechend verhalten?

Organisatorische Maßnahmen

Schon rein organisatorische Maßnahmen, die eher Zeit als Geld im Aufbau kosten, können viel bewirken. Dabei sollten Regeln angemessen und umsetzbar bleiben:

  • Sensibilisieren Sie Ihre Mitarbeiter regelmäßig und immer wieder, das größte Sicherheitsrisiko sind die Menschen selbst:

Beispiel: „Wie erkenne ich einen Social Engineering Angriff?“ Nur so kann verhindert werden, dass durch „gefälschte“ Emails oder Anrufe Passwörter oder andere sensible Informationen herausgeben werden oder gar Geld überwiesen wird –> Angreifer nutzen menschliche Reaktionen/ Schwächen

  • Stellen Sie Regeln zum Umgang mit Dokumenten auf Schreibtischen auf –> was kann offen liegen bleiben, was nicht? Welche Ordner sollten verschlossen werden? Das ist je nach Arbeitsbereich unterschiedlich.
  • Regeln für Smartphones, Fotoapparate in sensiblen Bereichen
  • Regeln zum Umgang mit internen und externen USB-Sticks
  • Passwortregeln
  • Geben Sie Besucherausweise für externe Gäste aus – entsprechend sollte es dann aber auch sichtbar zu tragende Mitarbeiterausweise geben
  • Informieren Sie: Wo gibt es eine Meldestelle, wenn einem Mitarbeiter etwas auffällt? Z.B. „Wenden Sie sich an Herrn Huber?“
  • Achten Sie auch auf Informationssicherheit bei Aufenthalt in Hotels und in Zügen –> relevante Telefonate und Arbeiten am Laptop an sensiblen Dokumenten sind leicht auszuspionieren
  • Erstellen Sie einen Notfallplan für alle möglichen Sicherheitsrisiken

IT-Sicherheit

  • Analysieren Sie vor großen Investitionen in Hardware, Software oder andere Sicherheitstechnologie, genau was Sie brauchen – jede Firma, jede Branche hat andere Risiken und Bedarfe
  • Investieren Sie dann auch in die wiederkehrende Sensibilisierung und Weiterbildung Ihrer Mitarbeiter –> wenn diese die Technik nicht bedienen können oder Risiken und Regeln nicht beachten – nützt die beste Technik nichts
  • entnetzen“ Sie Ihre Maschinen so weit möglich und vernetzen Sie die Menschen
  • Jedes Gerät, welches vernetzt ist, sei es eine Kamera oder ein Handy ist Teil eines IT-Systems und muss gepatcht und gewartet werden.
  • Kontinuität der Geschäftsprozesse sicherstellen: Was muss ich tun, um die Kontinuität meiner Prozesse sicherzustellen? Plan B bei Stromausfall?

Mitarbeiterzufriedenheit für mehr Sicherheit

  • Bezahlen Sie sicherheitsrelevantes Personal angemessen: Verdient Mitarbeiter zu wenig Geld ist er anfälliger für Spionageangebote bzw. Weitergabe von Informationen
  • Sorgen Sie entsprechend für Mitarbeiterzufriedenheit: ein Dreiklang aus privater, finanzieller und beruflicher Zufriedenheit

Informationen sind das Kapital des 21. Jahrhunderts

„Wir sind ja schon vorsichtig mit sensiblen Informationen zu unserer Firma“, sagen zwei Gäste eines kleinen, innovativen Technologieunternehmens. „Aber nach Ihren Ausführungen sind uns ein paar Ereignisse der letzten Wochen wieder eingefallen, die wir nun noch einmal auf ihr tatsächliches Risiko überprüfen werden.“

Sensibilisiert für das Thema wurden Sie u.a. durch die Ausführungen von Jörg Peine-Paulsen vom Verfassungsschutz Niedersachsen und Volker Kraiss von der KRAISS & WILKE SECURITY CONSULT GmbH. Sie sprachen auf der Veranstaltung „Sicher digital! IT-Sicherheit und Wirtschaftsschutz im Mittelstand“.

Jörg Peine-Paulsen, Verfassungsschutz Niedersachsen

„Auch Google sagt, Informationen sind das Kapital des 21. Jahrhunderts, während Sie mit Informationen sehr viel Geld verdienen“, erläutert Peine-Paulsen. Dementsprechend hoch sei auch der Schaden durch Wirtschaftsspionage. Jährlich 100 Milliarden Euro soll die deutsche Wirtschaft allein durch Wirtschaftsspionage verlieren. Dabei sei Wissen, in Abwesenheit von Bodenschätzen oder anderem, in Deutschland die wesentliche Ressource, die es zu schützen gelte.

„Innovation ist ein Marker für Spionage.“

„Sind Sie innovativ, sind Sie interessant für Spione. Sind Sie auf einer Messe mit neuen Produkten, können Sie Ziel von Spionen werden, “ so Peine-Paulsen. Spionage in der Wirtschaft nehme seit Ende des Kalten Krieges rapide zu, während politische Spionage abnehme, führt er weiter aus. Deshalb sei der Schwerpunkt vieler Mitarbeiter des Verfassungsschutzes auf den Bereich Wirtschaftsschutz verlagert worden. Dabei sei das Opportunitätsprinzip essentiell dafür, dass er vertraulich mit Hinweisen und Informationen umgehen und beratend fungieren kann, im Gegensatz zu einer Strafverfolgungsbehörde. Kontaktinformationen für Unternehmen und hilfreiche Dokumente sind auf www.wirtschaftsschutz.info zu finden.

Christian Köhler, NKMG mbH,Geschäftsführer, Mitglied Lenkungskreis Sicherheit im BVMW
Christian Köhler, Geschäftsführer NKMG mbH, Mitglied Lenkungskreis Sicherheit im BVMW

Kompetente Beratung, ob von staatlichen Institutionen oder Dienstleistern, können Ihnen helfen, schnell die auf Ihr Unternehmen individuell zugeschnittenen Sicherheitsmaßnahmen zu ergreifen und Risiken richtig einzuschätzen. Gerade Veränderungsprozesse in einem Unternehmen wie z.B. Digitalisierungsmaßnahmen, sind perfekte Gelegenheiten gleich auch Sicherheit mitzudenken und in den Prozess zu integrieren. Volker Kraiss gibt Tipps für eine passende Bedarfsanalyse:

Reale Beispiele für Schaden durch Wirtschaftsspionage und fehlendem Sicherheitsmanagement

  • Konkurrent hat Angebotskalkulationen gehackt, daraus eigenes Angebot erstellt und Minuten früher als eigenes und mit günstigerem Endpreis an dieselben Ausschreibungen geschickt, Methode: hat Router und WLAN Kabel in der Konkurrenzfirma platziert und so regelmäßig Daten abgegriffen, Folge: gehacktem Unternehmen fiel es lange nicht auf, dass Zuschläge immer wieder an Konkurrenzen gingen, hoher finanzieller Verlust bis zur Entdeckung
  • Firmeninterne Daten werden von Computern geklaut, Methode: USB-Sticks mit Trojanern werden liegen gelassen oder mit Drohnen über Betriebsgelände abgeworfen, auf die sonst keiner Zutritt hat, Folge: Mitarbeiter denken USB-Sticks sind von Kollegen, stecken sie in Ihre PCs, Folge: Verlust von Know-How und sensiblen Daten
  • Delegationsbesuch zum Mitarbeiterfest: Spione sondieren die Lage, sammeln Informationen für weitere Informationsbeschaffung –> Vorsichtig mit externen Besuchern umgehen, Mitarbeiter briefen, Ausweise für Besucher und Mitarbeiter
  • Handyplatine in Telefon eingebaut
  • Wanze im Loch der Steckdose installiert, im Büro des Vorstands
  • Schlafzimmer 4.0: Smart TV gehackt, kann als Wanze dienen –> Steckdose raus, Handtuch über den Fernseher

Was verbindet Sicherheitsmanagement mit Mohammed?  Er sagte: „Vertraue auf Gott, aber binde dein Kamel an.“

 

Marie Landsberg

Auch interessant:

Blog

Sicherheit ist kein Hexenwerk

Schadsoftware gibt es kostenlos im Internet. Besonders Schülerhacker probieren sich aus, indem Sie gezielt kleine ungesicherte Systeme zerstören. Beim Cyber Security Training des Kompetenzzentrums wurde den Teilnehmern Schritt für Schritt aufgezeigt, wie einfach es ist, sich in ihr Unternehmen zu hacken. Durch Identifizierung der Gefahrenquellen kann man gegensteuern. Die wichtigsten Tipps haben wir für Sie zusammengefasst.

Blog

Die Gefahr im Hintergrund

Es ist einfach, bekannte Empfehlungen für mehr IT-Sicherheit zu ignorieren, weil die meisten Gefahren und Angriffe nicht sichtbar werden. Wer sein Geschäft digitalisiert, hat jedoch die Chance Schutzmechanismen und Regeln aufzubauen, die langfristig Kosten und Ärger sparen.