:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Sicherheitsrichtlinien Was ist eine Security Policy?
Die Security Policy ist ein technisches oder organisatorisches Dokument, mit dem der Sicherheitsanspruch von Institutionen umgesetzt und erreicht werden soll. Die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen sind Kernbestandteile.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Security Policy heißt übersetzt Sicherheitsrichtlinie und ist ein Begriff, der häufig in der Informationstechnik verwendet wird. Es handelt sich um eine Sammlung von Richtlinien, die die Informationssicherheit in Unternehmen und Organisationen gewährleisten sollen. Die Security Policy sorgt unter anderem dafür, dass der gesetzlich vorgeschriebene Schutz von Informationen einzuhalten ist. Zudem schützt die Policy die Informationen als einen wertvollen und wichtigen Bestandteil des Unternehmensvermögens.
Die Aufstellung der Sicherheitsrichtlinien erfolgt in einem Top-Down-Ansatz. Vorstand und Top-Management verabschieden die Security Policy und sind für das Delegieren der Umsetzung sowie die Einhaltung der Vorgaben verantwortlich. Alle Mitarbeiter und Unternehmensbereiche müssen die Sicherheitsrichtlinie verstehen, beachten und einhalten. Bei Verstößen sind Sanktionen durch die Geschäftsführung zu benennen und durchzusetzen. Wesentliche Ziele der Security Policy sind die Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Informationen.
Die Security-Richtlinie selbst ist ein Dokument, in dem schriftlich festgehalten ist, wie der Schutz der Informationen und IT-Betriebsmittel sichergestellt werden soll. Das Dokument unterliegt einer ständigen Aktualisierung und passt sich den Veränderungen im Unternehmen dynamisch an. Ebenfalls Bestandteil der Security Policy sind Prozeduren, mit deren Hilfe sich die Einhaltung und Wirksamkeit der Richtlinien messen und bewerten lassen. Neben organisatorischen Vorgaben können Security Policies auch konkrete technische Regeln beinhalten, die direkt für die Steuerung von IT-Komponenten wie Firewalls oder AAA-Systeme (Authentication, Authorization, Accounting) zum Einsatz kommen.
Die Ziele und Bestandteile der Sicherheitsrichtlinien
Wie bereits beschrieben, ist das Ziel der Security Policy die Informationssicherheit in allen Bereichen des Unternehmens. Die Richtlinie soll vor dem Verlust der Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit von Daten schützen. Die Überwachung der Einhaltung und Umsetzung der aufgestellten Sicherheitsvorgaben ist eine wichtige Aufgabe der Führungskräfte. Mitarbeiters sind für die konkrete Einhaltung der Policy verantwortlich. Bestandteile der Sicherheitsrichtlinien sind unter anderem die Benennung von Verantwortlichkeiten, die Auswahl und Beschreibung geeigneter Maßnahmen zur Erreichung der Ziele, Kontrollmechanismen für die Sicherheitsmaßnahmen, Konzepte für Krisen- und Notfallsituationen, Konzepte zur Sicherung von Daten und Konzepte für Schulungen von Mitarbeiter zur Informationssicherheit.
Die Sicherheits-Policy als organisatorische oder technische Richtlinie
Betrachtet man die Security Policy als eine organisatorische Richtlinie, legt sie die unternehmensweiten Sicherheitsstandards fest. Neben den Daten sollen auch die Reputation des Unternehmens und das Know-how geschützt werden. Die Richtlinie fasst die konzernweiten Hauptvorgaben auf Basis einer allgemeinen Sicherheitsarchitektur zusammen. Dazu gehören die Minimalanforderungen für sämtliche datenverarbeitenden Vorgänge im Unternehmen. Die Policy wird von der Unternehmensführung verabschiedet und ist mit den allgemeinen Zielen des Unternehmens und seiner Geschäftstätigkeit vereinbar.
Aufbauend auf dieser organisatorischen Security Policy entsteht ein Sicherheitskonzept, mit konkreten Maßnahmen wie die Konfiguration von IT-Zugängen oder von Filterregeln für Firewalls und andere IT-Security-Systeme. Auch diese konkreten technischen Maßnahmen werden oft als Security Policies bezeichnet. Es handelt sich in diesem Fall jedoch im engeren Sinn um technische Richtlinien und Vorgaben, die sich direkt umsetzen oder einspielen lassen. Die Security Policy für eine Firewall legt beispielsweise fest, wie die konkrete Konfiguration erfolgen soll, welche Zugriffsrechte erteilt werden, wie die Protokollierung aussieht oder welche Abwehrmaßnahmen die Firewall im Angriffsfall trifft. Speziell für Mitarbeiter können die technischen Security Policies Passwortvorgaben, Datensicherungsvorgaben, Vorgaben zur Verwendung externer Datenspeicher oder Vorgaben für die Nutzung von E-Mail-, Messenger- oder Chat-Anwendungen beinhalten. Weitere Sicherheitsrichtlinien für Mitarbeiter können den Umgang mit vertraulichen Informationen, die Verwendung des Internets oder den Schutz vor Viren und Schadsoftware behandeln.
(ID:44904757)
:quality(80)/p7i.vogel.de/wcms/a4/bb/a4bb23e42a3ed59e3f10ba90b91d754b/0105244683.jpeg "SAP ERP Systeme bilden oft das betriebswirtschaftliche Rückgrat einer Organisation. Es ist mehr als fahrlässig, diese als Blind-spots sich selbst zu überlassen. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")