• 24.09.2009, 13:03:09
  • /
  • OTS0199 OTW0199

Datenverluste um 64% gestiegen: Mobilität und Leihpersonal als Security-Fallen

Ab 2010 DSG-Novelle in Österreich. "Wasserdichte" Policies nach ISO 27001.

Wien (OTS) - Die Gefahr von Datenverlusten spitzt sich zu. Laut
"The Ponemon Institute" vermelden 53% der in Deutschland befragten
Unternehmen zumindest einen Datendiebstahlfall p.a.. Der
Vorjahreswert lag noch bei 34% (plus 64%). Für die Studie "German
Enterprise Encryption Trends" (www.encryptionreports.com) wurden 490
IT-Verantwortliche befragt. Die Gesetzgeber haben bereits reagiert
und in Deutschland ab September die Datenverlust-Meldepflicht in
Kraft gesetzt. Eine ähnliche Regelung in Österreich ist mit der
DSG-Novelle für Jänner 2010 in Vorbereitung. Demnach müssten bei
Datenlecks betroffene Personen informiert werden. Ob direkt oder per
Zeitungsanzeige, wird diskutiert.

Details: www.cis-cert.com/newsletter/sept_09/newspage_2009_09_01.html

In der Praxis zeigt sich, dass Unternehmen über die Komplexität
des Themas stolpern. "Ohne strukturierte Personal Policies werden
Sicherheitslücken übersehen", erklärt Herfried Geyer, Auditor der
Zertifizierungsorganisation CIS. Im Interview geht er auf
Security-Fallen und "wasserdichte" Maßnahmen nach dem internationalen
Standard für Informationssicherheit ISO 27001 ein.

Welche personellen Sicherheitsrisiken sehen Sie in der Praxis?

Ein großes Thema ist Mobilität: Vertrauliche Daten auf Smart
Phones, vergessene Updates am Teleworking-PC oder die Nutzung von
Data-Sharing-Plattformen im Web. Ein weiteres Problemfeld ist
Leihpersonal, etwa am Help-Desk: niedrig bezahlt, ohne
Identifizierung mit dem Arbeitgeber, mit Zugriff zu Kundendaten und
Intranet - so werden schädigende Handlungen begünstigt. Auch
Leasing-Portiere können erstaunliches IT-Wissen mitbringen, verfügen
über Generalschlüssel und agieren unbeobachtet

Welchen Schutz bietet ISO 27001?

Die Komplexität des ganzen Themas verlangt ganzheitliche Konzepte:
Der internationale Zertifizierungsstandard ISO 27001 mit der
dazugehörigen Guideline ISO 27002 bieten ein Rahmenwerk für
strukturiertes Sicherheitsmanagement. Die Klassifizierung von Daten,
Personen und Ressourcen gehören ebenso dazu, wie Risikoanalysen und
wirksame Policies. Im Bereich personelle Sicherheit liefert der
Implementierungsleitfaden ISO 27002 detaillierte Vorgaben für Mobile
Computing, Teleworking, Leasing-Personal, Zulieferer und
Dienstleister.

Was betrifft die eigenen Mitarbeiter?

Das Ausscheiden von Mitarbeitern ist meist gut geregelt. Interne
Positionswechsel weniger: Mitarbeiter können noch auf ehemalige
Projekte zugreifen, über Schreibrechte oder Schlüssel verfügen. Eine
Personell Policy nach ISO 27002 deckt daher alle Phasen der
Beschäftigung ab: Einstellung, Positionswechsel, Beendigung. Wichtig
sind vorab die Verifizierung von Zeugnissen sowie das Prüfen von
Strafregisterauszügen oder Verschuldung. Generell gilt es,
Mitarbeiter als motivierte Träger des Security-Systems zu gewinnen,
durch Schulungen nach dem Train-the-Trainer-Prinzip.

Wie ist mit Drittfirmen umzugehen?

Vertragliche Absicherung genügt nicht, es müssen Sicherheitsgates
an den Schnittstellen implementiert werden. Sonst ist es besser,
eigene Mitarbeiter einzusetzen. Bei Audits hat die CIS als
Prüforganisation Nachweise zu fordern, dass relevante Drittfirmen auf
demselben Security-Level arbeiten. Auch bei Ausschreibungen wird
dieser Punkt immer öfter gefordert.

Kontrolle ist ein brisantes Thema

Dazu gehören vor allem technische Protokollierungen. In der Praxis
werden Log-Files überschrieben, um Speicherplatz zu sparen. Dies ist
ein heikler Punkt bei knappen IT-Budgets. Daher sieht ISO 27001 eine
Risikoabschätzung vor, wobei Zugriffslogs auf sicherheitsrelevante
Informationen aufzubewahren sind als viele operative Logs. Zum
Aufdecken von Betrugssituationen können Fraud-Detection-Programme zum
Einsatz kommen, die unplausible Transaktionen auflisten.

Und innerhalb der IT-Abteilung?

Um etwa Log Files vor nachträglicher Veränderung zu schützten, ist
richtig eingesetztes 4-Augen-Prinzip effektiv. Auch innerhalb der IT,
wo am wenigsten an personelle Sicherheit gedacht wird - "Das sind eh
nur wir." Wer personelle Sicherheit ernst nimmt, begegnet den
Anforderungen der 8. EU-Richtlinie und des Sarbanes Oxley Act.

Fotomaterial: http://www.cis-cert.com/aktuell/presse.php

Rückfragehinweis:
Heike Galley,
mailto:h.galley@cis-cert.com
Tel.: 0699 1974 5647

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS - WWW.OTS.AT | NEF

Bei Facebook teilen.
Bei X teilen.
Bei LinkedIn teilen.
Bei Xing teilen.
Bei Bluesky teilen

Stichworte

Channel

So erreichen Sie uns

APA-Comm GmbH
Laimgrubengasse 10
1060 Wien, Österreich

PR-Desk Support
Tel. +43 1 36060-5310

APA-Salesdesk
Tel. +43 1 36060-1234

Services

PR-Desk
APA-OTS-Video
APA-Fotoservice
Cookie-Präferenzen


OTS-App
Bild mit den Logo und Schriftzug vom Google Play Store
Bild mit den Logo und Schriftzug von Apples App Store
Channels

Politik
Wirtschaft
Finanzen
Chronik
Kultur
Medien
Karriere
Tourismus

Bleiben Sie informiert

OTS-Mailabo
APA-Blog


Newsletter Abonnieren
© 1997 - 2025 APA-Comm GmbH und der jeweilige Aussender. Alle Rechte vorbehalten.
Hilfe / Datenschutz / Impressum / Offenlegung / AGB / Cookie-Präferenzen / Copyright