Empfehlungen von einem Outsourcing Anbieter

Best Practices für Informationssicherheit

| Autor / Redakteur: Igor Tkach / Peter Schmitz

Informationssicherheit ist heute für den Erfolg eines Unternehmens unerlässlich. Auf welche Methoden setzen dabei IT-Dienstleister zum Schutz ihrer Systeme und der ihrer Kunden?
Informationssicherheit ist heute für den Erfolg eines Unternehmens unerlässlich. Auf welche Methoden setzen dabei IT-Dienstleister zum Schutz ihrer Systeme und der ihrer Kunden? (Bild: gemeinfrei)

Für die sich immer schneller verändernden IT-Umgebungen reichen für Unternehmen minimale Sicherheitsmaßnahmen längst nicht mehr aus, um sich vor internen oder externen Attacken zu schützen. Es lohnt sich also ein Blick auf die Best Practices und Security Controls, die vertrauenswürdige Dienstleister einsetzen, um die eigenen Systeme und die ihrer Kunden vor Angreifern zu schützen.

Die drei grundlegenden Schutzziele der Informationssicherheit sind Verfügbarkeit, Integrität und Vertraulichkeit. Verfügbarkeit: Stellen Sie sicher, dass Ihre Betriebssystemumgebung ordnungsgemäß funktioniert, damit nötige Informationen den berechtigten Parteien jederzeit zur Verfügung stehen. Integrität: Pflegen Sie die Genauigkeit und Vertrauenswürdigkeit Ihrer Datenbestände und schützen Sie sie gegen Änderungen und Manipulationen von Drittparteien. Vertraulichkeit: Beschränken Sie den Zugriff auf vertrauliche Informationen, um zu verhindern, dass sie an unautorisierte Parteien weitergegeben werden.

Cyber-Risiken erkennen, bewerten und abwehren

Neues eBook „Cyber Risk Management“

Cyber-Risiken erkennen, bewerten und abwehren

02.04.19 - Das Cyber Risk Management bildet die Basis für die Cyber Security Strategie eines Unternehmens. Lücken im Cyber Risk Management führen deshalb zu einer unvollständigen Cyber-Sicherheit. Das neue eBook erklärt, was alles zu den Cyber-Risiken gerechnet werden muss, wie die Risiken im Cyber-Raum priorisiert werden können und warum die Cyber-Abwehr mehr als reine Technik umfasst. lesen

Wesentliche Risiken für die Informationssicherheit

Mitarbeiter: Während Unternehmen viel in Technologien zum Schutz vor Cyber-Bedrohungen investieren, klafft intern die größte Sicherheitslücke: Mitarbeiter. Laut dem EY Global Information Security Survey 2018-2019 halten 77 Prozent der Befragten einen sorglosen Mitarbeiter für die wahrscheinlichste Ursache eines Angriffs. Solange Fahrlässigkeit von Mitarbeitern eine der größten Sicherheitsbedrohungen darstellt, bleiben es von grundlegender Bedeutung Ihr Personal über notwendige Verhaltensweisen und Prozesse für Informationssicherheit zu informieren.

Viren und Schadsoftware: Viren sind eine der zerstörerischsten Formen von Malware, die oft über E-Mail Anhänge, infizierte Websites, online Anzeigen oder Wechselspeichergeräte verbreitet wird. Ihr Geltungsbereich umfasst verschiedenartige Schäden: von Datenlöschung auf dem Computer über Hijacking oder Angriffe auf andere Systeme bis hin zum Versenden von Spam, Weitergabe illegaler Inhalte usw. Neben Computerviren kann bösartige Software auch über eine Form von Spyware (Spyware sammelt persönliche Informationen und gibt sie an Drittparteien weiter), Adware (zeigt Popup-Werbung an), gefälschte Sicherheitssoftware und Browserentführer (ändern die Browsereinstellungen) verbreitet werden.

Cyberattacken: Der Schaden eines erfolgreichen Cyberangriffs kann verheerend sein. Riesige finanzielle Verluste (einschließlich regulatorischer und gesetzlicher Geldbußen), Verlust von vertrauenswürdigen Kunden und Ausfallzeiten im Netzwerk sind nur ein kleiner Teil der negativen Auswirkungen eines Angriffs. Um Hackern zum Opfer zu fallen müssen Unternehmen umfassende Sicherheitsmaßnahmen und Richtlinien entwickeln, die wir im Weiteren beschreiben werden.

Zero-Day-Exploit / Angriff: Ein Zero-Day-Exploit ist eine neue entdeckte Angriffsform, die nicht gepatchte Schwachstellen ausnutzt, von denen Entwickler keine Kenntnis oder nicht genügend Zeit hatten, um diese zu beheben. Der Begriff kommt daher, dass Hacker Sicherheitslücke noch am selben Tag ausnutzen, an dem sie aufgedeckt wurde. Um dies zu verhindern, sollten Unternehmen, die mit sensiblen Daten arbeiten, regelmäßig (mindestens ein- oder zweimal pro Jahr) mit professionellen Sicherheitsanalytikern Penetrationstests durchführen, um versteckte Sicherheitslücken aufzudecken und Schwachstellen in ihrem System gegen Hacking Versuche zu testen.

Unternehmen müssen für den Schutz von Geschäftsgeheimnissen aktiv werden

Geschäftsgeheimnisgesetz verabschiedet

Unternehmen müssen für den Schutz von Geschäftsgeheimnissen aktiv werden

03.04.19 - Das neu beschlossene Geschäftsgeheimnis­gesetz (GeschGehG) soll Unternehmen besser dabei helfen, vertrauliches Know-how und vertrauliche Geschäftsinformationen zu schützen. Durch die Änderungen des neuen Gesetzes müssen Unternehmen aber schnell tätig werden. lesen

Wichtige Schritte zur Verbesserung der Informationssicherheit

Die folgenden Schritte basieren auf den besten Sicherheitspraktiken, die von den führenden Standards für Management von Informationssicherheit wie ISO 27001 empfohlen werden.

1. Schützen Sie Ressourcen mit hoher Wichtigkeit

Ordnen Sie alle Informationsressourcen nach Wichtigkeit und Vertraulichkeit - höchst vertraulich, vertraulich, offen für interne Verwendung, öffentlich verfügbar. Stellen Sie dann sicher, dass alle Ihre Ressourcen mit hoher Wichtigkeit sicher aufbewahrt werden. Dies können private Datenbanken, kommerzielle Informationen, Quellcode, Finanzberichte usw. sein. In einigen Fällen kann der Verlust oder die Modifizierung dieser Ressourcen zu behördlichen Geldbußen führen. Sorgen Sie außerdem dafür, dass das Netzwerk, die Server und die Arbeitsstationen Ihres Unternehmens sicher und geschützt sind.

2. Evaluieren und aktualisieren Sie das allgemeine Sicherheitsniveau

Lassen Sie einen Anbieter eine Sicherheitsbewertung der IT-Infrastruktur in Ihrem Unternehmen durchführen. Organisieren Sie regelmäßig interne Sicherheitsüberprüfungen, mindestens einmal oder zweimal pro Jahr (und nach Bedarf auch externe). Überarbeiten Sie Ihre Richtlinien zu Informationssicherheit und technischer Sicherheit und bewerten Sie regelmäßig potenzielle Sicherheitsrisiken und erstellen Sie Mapping-Spezifikationen.

3. Analysieren Sie Endpunkte

Prüfen Sie Ihre Drittanbieter (SaaS Anbieter) - analysieren Sie, wer Zugriff hat, welche Informationen gespeichert werden, ob alle Ports geschützt sind usw. Vergewissern Sie sich, dass alle Geräte Ihren Unternehmensanforderungen entsprechen und die Netzwerke und Server, die mit den Geräten von Kunden verbunden sind, sicher sind. Führen Sie interne Sicherheitsschulungen und Audits durch, um Mitarbeiter zu sensibilisieren.

4. Entwickeln Sie ein IT-Incident Management System

Da Hacker ständig ihre Fähigkeiten verbessern und täglich neue Angriffsformen entwickeln, können sie nie zu 100% sicher sein, dass Ihr Sicherheitssystem lückenlos ist. Daher sollten Sie Systemsicherungen erstellen und einen effizienten Reaktionsplan für Sicherheitsvorfälle entwickeln.

Dieser Plan sollte die folgenden Prozesse enthalten: Definieren Sie, was unter einem Vorfall verstanden wird. Kategorisieren Sie Vorfälle und bestimmen Sie deren Umfang und Auswirkungen. Ermitteln Sie den Ressourcenaufwand für eine Reaktion auf die Vorfälle. Erstellen Sie eine Dokumentation zum Ereignismanagement und entwickeln Sie organisatorische und technische Maßnahmen, um die Risiken zu mindern. Trainieren Sie die Belegschaft für den Umgang mit Vorfällen.

Welche Aufgaben ein CISO übernehmen muss

Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

22.02.19 - IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst. lesen

Essenzielle Sicherheitsmaßnahmen

Verwaltungskontrollen

Mit Verwaltungskontrollen zielen darauf ab effiziente Richtlinien und Sicherheitsstandards für den Umgang mit sensiblen Informationen in Organisationen zu etablieren. Daher müssen im Unternehmen zunächst Umfang, Zweck und zentrale Bestandteile definiert werden, um eine Reihe kohärenter Sicherheitsrichtlinien zu entwickeln, darunter:

  • NDA Richtlinien
  • Richtlinien für Informationsschutz
  • Richtlinien für Passwörter
  • Richtlinien für Internetnutzung
  • Richtlinien für E-Mail
  • Richtlinien für Systemzugang

Technische Kontrollen

Technische Kontrollen zielen darauf ab, Überschneidungen zu verhindern und den Zugriff auf Systeme und vertrauliche Informationen zu beschränken. Sie umfassen die folgenden Verfahren:

  • Implementierung von Mechanismen für Zugriffskontrolle wie Zwei-Faktor-Authentifizierung.
  • Netzwerksegmentierung und -trennung für den privaten Gebrauch in separaten Projekten;
  • Überwachung des Internetverkehrs über Proxy-Server.
  • Zentralisierte Verwaltung von Arbeitsstationen mit Microsoft Active Directory.

Ein weiteres wichtiges Verfahren ist die Implementierung geeigneter Systeme zur Gefahrenabwehr, um die Integrität und Sicherheit Ihrer Daten, Programme und Betriebssysteme zu sichern. Solche Systeme umfassen:

  • Antivirus Software - führt heuristische Analysen durch, um zuvor unbekannte Computerviren zu erkennen.
  • Firewall - kontrolliert den Internetverkehr zum Schutz des Netzwerks;.
  • IPS und IDS (Intrusion Prevention und Intrusion Detection Systeme) - überwachen Ihre Netzwerke, um Anzeichen von Verletzungen oder Sicherheitsbedrohungen zu erkennen und verhindern, dass Vorfälle auftreten.
  • Spamfilter (E-Mail Filter)
  • DLP (Data Loss Prevention Software) - ermöglicht großen Unternehmen ihre Daten vor unvorhergesehenem Verlust zu schützen.
  • SIEM (Security Information und Event Management Software) - führt Echtzeitanalysen von Protokollen und Ereignissen durch, die in der IT-Umgebung des Unternehmens generiert werden.

Fazit

Informationssicherheit ist heute für den Erfolg eines Unternehmens von entscheidender Bedeutung. Fahrlässigkeit von Mitarbeitern und das Fehlen notwendiger Sicherheitskontrollen können zu erheblichen finanziellen Verlusten führen und die Reputation Ihres Unternehmens gefährden. Aus diesem Grund sollten Unternehmen ihre Richtlinien zum Informationsschutz und technischen Sicherheitsmaßnahmen ständig überprüfen und aktualisieren, sowie ihr Personal auf eine Reaktion auf Vorfälle vorbereiten. Die oben genannten Praktiken und Sicherheitskontrollen werden Ihnen definitiv helfen, Ihr Unternehmen und sensible Daten vor Hackern zu schützen, und die Wiederaufnahme normaler Geschäftsabläufe in kritischen Zeiten zu erleichtern.

Über den Autor: Igor Tkach ist CTO bei Daxx.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45853504 / Sicherheits-Policies)