Datenverluste um 64% gestiegen: Mobilität und Leihpersonal als Security-Fallen

Ab 2010 DSG-Novelle in Österreich. "Wasserdichte" Policies nach ISO 27001.

Wien (OTS) - Die Gefahr von Datenverlusten spitzt sich zu. Laut
"The Ponemon Institute" vermelden 53% der in Deutschland befragten Unternehmen zumindest einen Datendiebstahlfall p.a.. Der Vorjahreswert lag noch bei 34% (plus 64%). Für die Studie "German Enterprise Encryption Trends" (www.encryptionreports.com) wurden 490 IT-Verantwortliche befragt. Die Gesetzgeber haben bereits reagiert und in Deutschland ab September die Datenverlust-Meldepflicht in Kraft gesetzt. Eine ähnliche Regelung in Österreich ist mit der DSG-Novelle für Jänner 2010 in Vorbereitung. Demnach müssten bei Datenlecks betroffene Personen informiert werden. Ob direkt oder per Zeitungsanzeige, wird diskutiert.

Details: www.cis-cert.com/newsletter/sept_09/newspage_2009_09_01.html

In der Praxis zeigt sich, dass Unternehmen über die Komplexität des Themas stolpern. "Ohne strukturierte Personal Policies werden Sicherheitslücken übersehen", erklärt Herfried Geyer, Auditor der Zertifizierungsorganisation CIS. Im Interview geht er auf Security-Fallen und "wasserdichte" Maßnahmen nach dem internationalen Standard für Informationssicherheit ISO 27001 ein.

Welche personellen Sicherheitsrisiken sehen Sie in der Praxis?

Ein großes Thema ist Mobilität: Vertrauliche Daten auf Smart Phones, vergessene Updates am Teleworking-PC oder die Nutzung von Data-Sharing-Plattformen im Web. Ein weiteres Problemfeld ist Leihpersonal, etwa am Help-Desk: niedrig bezahlt, ohne Identifizierung mit dem Arbeitgeber, mit Zugriff zu Kundendaten und Intranet - so werden schädigende Handlungen begünstigt. Auch Leasing-Portiere können erstaunliches IT-Wissen mitbringen, verfügen über Generalschlüssel und agieren unbeobachtet

Welchen Schutz bietet ISO 27001?

Die Komplexität des ganzen Themas verlangt ganzheitliche Konzepte:
Der internationale Zertifizierungsstandard ISO 27001 mit der dazugehörigen Guideline ISO 27002 bieten ein Rahmenwerk für strukturiertes Sicherheitsmanagement. Die Klassifizierung von Daten, Personen und Ressourcen gehören ebenso dazu, wie Risikoanalysen und wirksame Policies. Im Bereich personelle Sicherheit liefert der Implementierungsleitfaden ISO 27002 detaillierte Vorgaben für Mobile Computing, Teleworking, Leasing-Personal, Zulieferer und Dienstleister.

Was betrifft die eigenen Mitarbeiter?

Das Ausscheiden von Mitarbeitern ist meist gut geregelt. Interne Positionswechsel weniger: Mitarbeiter können noch auf ehemalige Projekte zugreifen, über Schreibrechte oder Schlüssel verfügen. Eine Personell Policy nach ISO 27002 deckt daher alle Phasen der Beschäftigung ab: Einstellung, Positionswechsel, Beendigung. Wichtig sind vorab die Verifizierung von Zeugnissen sowie das Prüfen von Strafregisterauszügen oder Verschuldung. Generell gilt es, Mitarbeiter als motivierte Träger des Security-Systems zu gewinnen, durch Schulungen nach dem Train-the-Trainer-Prinzip.

Wie ist mit Drittfirmen umzugehen?

Vertragliche Absicherung genügt nicht, es müssen Sicherheitsgates an den Schnittstellen implementiert werden. Sonst ist es besser, eigene Mitarbeiter einzusetzen. Bei Audits hat die CIS als Prüforganisation Nachweise zu fordern, dass relevante Drittfirmen auf demselben Security-Level arbeiten. Auch bei Ausschreibungen wird dieser Punkt immer öfter gefordert.

Kontrolle ist ein brisantes Thema

Dazu gehören vor allem technische Protokollierungen. In der Praxis werden Log-Files überschrieben, um Speicherplatz zu sparen. Dies ist ein heikler Punkt bei knappen IT-Budgets. Daher sieht ISO 27001 eine Risikoabschätzung vor, wobei Zugriffslogs auf sicherheitsrelevante Informationen aufzubewahren sind als viele operative Logs. Zum Aufdecken von Betrugssituationen können Fraud-Detection-Programme zum Einsatz kommen, die unplausible Transaktionen auflisten.

Und innerhalb der IT-Abteilung?

Um etwa Log Files vor nachträglicher Veränderung zu schützten, ist richtig eingesetztes 4-Augen-Prinzip effektiv. Auch innerhalb der IT, wo am wenigsten an personelle Sicherheit gedacht wird - "Das sind eh nur wir." Wer personelle Sicherheit ernst nimmt, begegnet den Anforderungen der 8. EU-Richtlinie und des Sarbanes Oxley Act.

Fotomaterial: http://www.cis-cert.com/aktuell/presse.php

Rückfragen & Kontakt:

Heike Galley,
h.galley@cis-cert.com
Tel.: 0699 1974 5647

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | NEF0008