Wer heute als IT-Verantwortlicher oder IT-Administrator moderne Netzwerke betreut, muss sich zwingenderma\u00dfen auch mit der IT-Sicherheit auseinandersetzen. Heute deutlich mehr als noch vor einigen Jahren. Denn mit der st\u00e4ndig steigenden Integration von Internetdiensten und der kompletten Anbindung der Netzwerke an die Cloud steht nicht nur dem jeweiligen Unternehmen T\u00fcr und Tor zur ganzen Welt offen.<\/p>\n
Da mittlerweile von Mitarbeitern nicht mehr nur Webseiten aufgerufen oder einfache E-Mails empfangen werden m\u00fcssen, haben sich auch die Anforderungen an die IT-Sicherheit in den letzten Jahren grundlegend ge\u00e4ndert.<\/p>\n
Auf der einen Seite gibt es Gesetze, die eingehalten werden m\u00fcssen. Bestes Beispiel hierf\u00fcr ist die DSGVO. Seit dem Jahr 2016 sind Unternehmen verpflichtet, Ma\u00dfnahmen zum Schutz von personenbezogenen Daten und deren Verarbeitung zu ergreifen. Die genauen Details der DSGVO sollten aber mittlerweile in jedem Unternehmen bestens bekannt sein und selbstverst\u00e4ndlich auch strikt eingehalten werden.<\/p>\n
Im Grunde genommen gibt es jedoch keine Kontrolle, ob und wie ein Unternehmen die Vorgaben der DSGVO umsetzt. Jedes Unternehmen entscheidet selbst, welche geeigneten Ma\u00dfnahmen zur Anwendung kommen. Und welche eben nicht. Ob diese Ma\u00dfnahmen effektiv sind oder \u00fcberhaupt unternehmensweit eingesetzt werden, wird nicht bewertet. Ebenso gibt es keine gesetzliche Kontrolle ob derer Umsetzung. Es wird einfach vorausgesetzt.<\/p>\n
Bei Gesetzen dieser Art gibt es einen gro\u00dfen Haken. Funktionieren die ergriffenen Ma\u00dfnahmen nicht oder werden nur l\u00fcckenhaft angewendet, f\u00e4llt dies im Alltagsgesch\u00e4ft kaum jemandem auf. Bis eines Tages urpl\u00f6tzlich und v\u00f6llig unerwartet der IT-Supergau eintritt und massenhaft Daten im Internet landen. So geschehen im Jahre 2018, als Cyberkriminelle eine britische Airline quasi digital pl\u00fcnderten. Durch einen Cyberangriff wurden \u00fcber 400.000 Kundendaten, Nutzernamen und Passw\u00f6rter von Mitarbeitern und Administratoren, Kreditkarteninformationen und noch viele andere prek\u00e4re Daten erbeutet.<\/p>\n
Bei den Ermittlungen zu diesem Fall wurde unter anderem festgestellt, dass das Unternehmen interne Sicherheitsl\u00fccken nicht entdeckt und rechtzeitig geschlossen hat. Eine Begrenzung von Zugriffsrechten oder eine MFA (Multi-Factor-Authentification) waren nicht vorgesehen. Ebenso gab es keine Tests der IT-Sicherheit auf Seiten des Unternehmens. Der oben beschriebene Fall ist kein Einzelfall in der Geschichte der \u201eDSGVO-Missgeschicke\u201c. Gr\u00f6\u00dfere F\u00e4lle gab es auch bei Google oder H&M. Die Details zu den DSGVO-Verletzungen lassen sich leicht im Internet finden. Ohne hier und jetzt auf das Thema DSGVO zu intensiv einzugehen, zeigt sich sehr schnell, dass Vorgaben, die nicht kontrolliert werden, nicht immer gut genug umgesetzt werden. In extremen F\u00e4llen drohen zwar saftige Geldstrafen in Millionenh\u00f6he, aber die eigentlichen Fehler bei der Informationssicherheit werden damit nicht korrigiert.<\/p>\n
F\u00fcr den versierten IT-Verantwortlichen oder IT-Administrator stellt sich damit unwillk\u00fcrlich die Frage, wie sicher das firmeneigene IT-Netzwerk in Bezug auf Informationssicherheit ist. Nach bestem Wissen und Gewissen reicht leider nicht aus, wenn es am Ende um die Frage geht, wer den Kopf auf dem silbernen Tablet darbietet, wenn Cyberangriffe oder Unachtsamkeit sensible Daten f\u00fcr andere zug\u00e4nglich machen.<\/p>\n
Ja, nicht nur kriminelle Energien aus dem Internet sind eine t\u00e4gliche Bedrohung. Auch Unachtsamkeit und Sorglosigkeit beim Umgang mit Daten und Informationen sind keine Seltenheit. Da werden nichtsahnend auch schon mal Exceldateien mit pers\u00f6nlichen Kunden- oder Patientendaten unverschl\u00fcsselt via E-Mail versendet. Wie bereits erw\u00e4hnt, obliegt die Umsetzung der gesetzlichen Richtlinien den Unternehmen.<\/p>\n
Allein aufgrund der eigenen Erfahrungen k\u00f6nnen wir in der heutigen, sich immer schneller drehenden IT-Welt selten alle Gefahrenquellen ausmachen und absichern. Auch auf die Hersteller von Soft- und Hardware, die s\u00e4mtliche Sicherheitsversprechen auf letztendlich doch wertlosem Papier niederkritzeln, sollte man sich nicht ausschlie\u00dflich verlassen.<\/p>\n
Gesch\u00e4ftsf\u00fchrer und IT-Sicherheitsverantwortliche sind in der Regel diejenigen, die f\u00fcr die IT-Sicherheit ihren Kopf hinhalten m\u00fcssen. Daher ist es verst\u00e4ndlich, dass sich die F\u00fchrungsriege eines Unternehmens, die gelebte und strikt einzuhaltende IT-Sicherheit auch regelm\u00e4\u00dfig best\u00e4tigen lassen m\u00f6chte. In einigen Unternehmen m\u00fcssen sich die Vorgesetzten auf die Berichte und Zusagen der IT-Verantwortlichen des Unternehmens einfach blind verlassen.<\/p>\n
Die Industrie kennt viele Normen und Standards, die vor allem eines erm\u00f6glichen. Sich auf etwas branchen\u00fcbergreifend verlassen zu k\u00f6nnen. Nehmen wir zum Beispiel ein einfaches Blatt Papier. Bei uns in Mitteleuropa hat sich f\u00fcr die normale Korrespondenz das Format DIN A4 etabliert. Wenn sie nun ein Hersteller von Papier sind, profitieren Sie von dem einheitlichen Format, das \u00fcberall mit den richtigen Ma\u00dfen verwendet wird. Selbstverst\u00e4ndlich k\u00f6nnten Sie auch ein beliebiges anderes Format produzieren. Da sich aber die meisten an der Norm DIN A4 orientieren (z. B. Druckerhersteller, Couvert-Herstellung etc.), wird Ihre Sonderanfertigung wohl wenig Freunde finden.<\/p>\n
\u00c4hnliches gilt auch f\u00fcr die IT eines Unternehmens. Eine f\u00e4hige IT-Abteilung ist tats\u00e4chlich in der Lage, eine den gesetzlichen Anforderungen entsprechende IT-Sicherheit-L\u00f6sung inklusive eines ISMS (Informations-Sicherheits-Management-System)<\/strong> zu etablieren. Allerdings wissen eben nur die damit betrauten Personen, wie diese Systeme und Vorgaben funktionieren und ineinandergreifen. Je nach Kenntnis- und Ausbildungsstand der IT-Mitarbeiter kann die Qualit\u00e4t erheblich schwanken. Denn welche Wege bei der Umsetzung beschritten werden, sind tats\u00e4chlich von Unternehmen zu Unternehmen unterschiedlich.<\/p>\n Wer bei der Informationssicherheit einen standardisierten und zertifizierbaren Weg gehen m\u00f6chte, kann sich dabei an eine Reihe von etablierten Standards halten. Dazu wurden von der International Organization for Standardisation (ISO)<\/strong> und der International Electronical Commission (IEC)<\/strong> eine Reihe von Standards beschlossen, die unter dem Namen ISO 2700x<\/strong> firmieren und bei IT-Administratoren und IT-Verantwortlichen f\u00fcr einen gewissen Juckreiz unter der Haut sorgen.<\/p>\n Wird zum Beispiel das firmeninterne ISMS (Information Security Management System)<\/strong> nach den Vorgaben der ISO-Reihe aufgebaut, kann sich das Unternehmen dieses ISMS nach ISO 2700x zertifizieren lassen. Dies geschieht durch externe Pr\u00fcfungsdienstleister, die aufgrund des ISO 2700x Katalogs die einzelnen Vorgaben pr\u00fcfen. Der Katalog enth\u00e4lt aktuell 114 Kontrollpunkte, die zu erf\u00fcllen sind. Werden alle Pr\u00fcfungspunkte erfolgreich und ohne Beanstandung absolviert, darf sich das Unternehmen mit dem schmucken Wortlaut \u201eZertifizierung nach ISO 2700x<\/strong>\u201c schm\u00fccken.<\/p>\n Bei einer derart umfassenden Zertifizierungspr\u00fcfung geht es aber nicht allein und die IT eines Unternehmens. Vielmehr m\u00fcssen verschiedene Bereiche wie ein Zahnrad ineinandergreifen. Dazu geh\u00f6ren neben der Datenverarbeitung auch die physische Sicherheit, das Personalmanagement und organisatorische Belange.<\/p>\n Um mit anderen Unternehmen in Gesch\u00e4ftskontakt zu treten, kann es unter Umst\u00e4nden n\u00f6tig sein, dass eine Zertifizierung nach bestimmten Normen verlangt wird. Wenn es sich um das oft relevante Thema Informationssicherheit handelt, ist eben die ISO 2700x die erforderliche Qualifikation. Mit einer bestehenden Zertifizierung nach ISO 27001 k\u00f6nnen Sie auch den anderen Unternehmen ihre Kompetenz bei der Informationssicherheit best\u00e4tigen. Andererseits k\u00f6nnen auch Sie sich darauf verlassen, dass die Normen bei anderen Firmen eingehalten werden.<\/p>\n Bei der IT-Sicherheit gibt es keinen Stillstand. So ist es n\u00f6tig, dass IT-Abteilungen bestehende Systeme und Abl\u00e4ufe fortw\u00e4hrend pr\u00fcfen und diese auch neu zu bewerten sind. Eine ISO-Zertifizierung hat eine G\u00fcltigkeit von 3 Jahren, einmal j\u00e4hrlich ist zudem ein \u00dcberwachsungsaudit erforderlich. Nach diesem Zeitraum muss eine Re-Zertifizierung erfolgen und das Zertifikat erneut ausgestellt werden.<\/p>\n","protected":false},"excerpt":{"rendered":" Wer heute als IT-Verantwortlicher oder IT-Administrator moderne Netzwerke betreut, muss sich zwingenderma\u00dfen auch mit der … <\/p>\n","protected":false},"author":11276,"featured_media":2690,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/posts\/2684"}],"collection":[{"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/users\/11276"}],"replies":[{"embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/comments?post=2684"}],"version-history":[{"count":3,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/posts\/2684\/revisions"}],"predecessor-version":[{"id":2689,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/posts\/2684\/revisions\/2689"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/media\/2690"}],"wp:attachment":[{"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/media?parent=2684"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/categories?post=2684"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/tags?post=2684"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Zertifizierte Sicherheit f\u00fcr andere sichtbar machen<\/h2>\n
Wiederkehrende \u00dcberpr\u00fcfung nach 3 Jahren<\/h2>\n