So sehr die Technik bei der Beschreibung der Sicherheitsrichtlinien noch im Hintergrund steht, so wichtig ist ihre Rolle bei der Umsetzung der Richtlinien. „Denn Technik kann an vielen Stellen die Arbeit der Administratoren automatisieren, etwa beim Einspielen von Software-Updates, dem Setzen von Passwörtern und bei Logfile-Management und -Analyse“, erklärt Weigel. Software unterstützt die Administratoren durch ein umfangreiches Reporting auch bei der Detektivarbeit und forensischen Analyse – also dem Aufzeigen von Auffälligkeiten in Logfiles und beim Herausfiltern von Anomalien. Da nicht selten auch unter den Systemverwaltern schwarze Schafe zu finden sind, ist natürlich darauf zu achten, dass Protokolle wie Logfiles sicher und nicht änderbar sind. Denn nichts ist einfacher für einen Operator als einen Systemnutzer anzulegen, von diesem Account aus Unfug zu betreiben und dann den User wieder zu löschen.
„Um den Sicherheitsprozess fest im Unternehmen zu verankern, ist es absolut notwendig, Sicherheit in der Sprache des Business zu formulieren“, sagt Weigel weiter. Den Beteiligten müssten die Risiken ihres Handelns aufgezeigt und verständlich gemacht werden. Eine Grundvoraussetzung dafür sei, dass die unterschiedlichen Fachabteilungen und die IT eng zusammenarbeiten – sonst bleibt die Sicherheit im Elfenbeinturm und eine Aufgabe der Kollegen aus der IT. Dringend zu empfehlen ist es daher, im operativen Management Mitarbeiter etwa in einer Abteilung „Information Security“ anzusiedeln, die zwischen den Bereichen moderieren und der IT-Abteilung die Business-Anforderungen aus den Fachbereichen vermitteln können. Dazu müssen die Personen über ein gutes Verständnis des Geschäfts verfügen und einschätzen, welche Prozesse unternehmenskritisch sind und wie ein Ausfall von Systemen oder Störungen zu bewerten sind. Andererseits stellen diese Mitarbeiter sicher, dass die Anweisungen der IT in den Fachabteilungen verstanden werden. Ein Ziel kann es zum Beispiel sein, dass jede Unternehmenseinheit dafür verantwortlich zeichnet, die Policies in der eigenen Business-Unit durchzusetzen.
Sicherheit im Unternehmen bedeutet aber vor allem ein Umdenken und Abschied nehmen von alten Gewohnheiten und anerzogenen Verhaltensregeln. Oft geht es auch darum, die eigene Zurückhaltung in der Begegnung mit Menschen zu überwinden. So gibt es unzählige Fälle, in denen Mitarbeiter von Kurierunternehmen oder Dienstleistern in Betrieben ohne Legitimation herumspazieren – der blaue Kittel oder braune Overall reicht aus, damit sie keiner anspricht. Ungebremst haben diese Personen Zugang zu Hardware oder Dokumenten, die in Büros liegen, können mal eben schnell einen USB-Stick (Stichwort: Keylogger) einstecken oder erhaschen ein paar Blicke auf Passwörter, die unachtsam auf gelben Klebezetteln an den Monitoren heften.
Sicherheitsbewusstsein lässt sich antrainieren – ohne Panik zu machen. Doch der Umgang damit zeigt ein tiefes soziologisches Problem: Die Informationsgesellschaft ist zwar mit der Handhabung von Informationen und allerlei technischem Equipment mittlerweile geübt. Doch die Konsequenzen, die daraus in Punkto Sicherheit erforderlich sind und eine besondere Wachsamkeit und Vorsicht erfordern, werden noch nicht gelebt. Social Engineering hat also weiterhin gute Chancen.
Neueste Kommentare
1 Kommentar zu IT-Sicherheit: Unwissenheit lässt sich nicht patchen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Druckerproblem
Könnt Ihr mal bitte schauen, was für ein Druckformat erstellt worden ist…ich bekomme hier 33 Seiten mit ca.15 Zeilen Text und 6cm Breite als Ausdruck…