DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mit­ar­beiter und Mit­ar­bei­te­rinnen

Verhaltensregeln Teil 1

Sind Ihre orga­ni­sa­to­ri­schen Rege­lungen geeignet, um die Ziele Ver­trau­lichkeit, Inte­grität und Ver­füg­barkeit zu gewähr­leisten? Erfahren Sie, was Ihre Mit­ar­beiter im Rahmen der Infor­ma­ti­ons­si­cherheit unbe­dingt wissen und umsetzen müssen.

 

 

Ein Mit­ar­beiter findet im Flur der Firma einen USB-Stick. Wie soll er sich ver­halten? Soll er den USB-Stick liegen lassen, in den USB-Anschluss seines PC stecken, um zu sehen, welche Daten gespei­chert wurden oder seinem Chef den Fund melden?

Ist in Ihrem Unter­nehmen die richtige Reaktion des Mit­ar­beiters orga­ni­sa­to­risch geregelt und kennen alle Mit­ar­beiter die Regelung?

Sind Ihre orga­ni­sa­to­rische Regelung und auch alle anderen Rege­lungen geeignet, um die Ziele Ver­trau­lichkeit, Inte­grität und Ver­füg­barkeit zu gewähr­leisten?

Ich emp­fehle Ihnen alle Sicher­heits­regeln nach Fachthemen zu gliedern und im Unter­nehmen zu ver­öf­fent­lichen (z. B. als Bro­schüre). Der Ver­teilung der Bro­schüre sollen vier­tel­jähr­liche Kurz-Schu­­lungen vor­an­gehen. Legen Sie bei den Schu­lungen einen beson­deren Wert auf die Wirk­sam­keits­prüfung (eine Schulung war wirksam, wenn der Mit­ar­beiter auch noch nach meh­reren Monaten die wich­tigsten Inhalte kennt und auch anwendet).
 
In diesem Beitrag erfahren Sie, was Sie und Ihre Mit­ar­beiter im Rahmen der Infor­ma­ti­ons­si­cherheit all­gemein unbe­dingt wissen und umsetzen müssen.
In den nächsten Monaten werde ich in diesem Blog weitere Themen — ver­bunden mit den wich­tigsten Ver­hal­tens­regeln — behandeln:

  • Social Engi­neering
  • Pass­wort­si­cherheit
  • Pass­wort­dieb­stahl
  • Viren­schutz
  • E‑Mail-Sicherheit
  • Mobile Daten­träger
  • Ver­wendung von Software
  • Daten­si­cherung
  • Schutz von sen­siblen Daten durch Ver­schlüs­selung
  • Not­fall­vor­sorge (Hier ver­weise ich auf den 3. Teil der Arti­kel­serie zum Not­fall­ma­nagement von Herrn Dr. Lohre, DATEV eG)

Teil 1: All­ge­meine Infor­ma­ti­ons­si­cherheit

In den meisten Firmen stehen die Themen Infor­ma­ti­ons­si­cherheit und Daten­schutz (mit) an oberster Stelle. Mit­ar­beiter, Kunden und Lie­fe­ranten erwarten, dass sen­sible Daten mit höchster Sorgfalt behandelt werden. Denn Daten­skandale haben für die Firma und den Betrof­fenen in den meisten Fällen gra­vie­rende Aus­wir­kungen (neben recht­liche Kon­se­quenzen auch einen immensen Image­schaden). Somit ist es eine unver­zichtbare und per­ma­nente Aufgabe aller Mit­ar­beiter, die Infor­ma­ti­ons­si­cherheit zu gewähr­leisten.

So ver­halten Sie sich richtig:

  • Berück­sich­tigen Sie Infor­ma­ti­ons­si­cherheit bei allen sicher­heits­re­le­vanten Pro­jekten schon in der Pla­nungs­phase. 
  • Führen Sie eine Risi­ko­be­trachtung durch und defi­nieren Sie Maß­nahmen zur Risi­ko­mi­ni­mierung bzw. – ver­meidung.
  • Sicher­heits­vor­komm­nisse sollen sofort erkannt werden können. Richten Sie hierzu tech­nische Erken­­­nungs- und Mel­de­ver­fahren (z. B. Firewall, IDS-Systeme, Viren­scanner) ein.
  • Moti­vieren Sie ihre Mit­ar­beiter jeden erkannten sicher­heits­be­zo­genen Zwi­schenfall (auch selbst ver­ur­sachte) der direkten Füh­rungs­kraft zu melden. Bei­spiele für sicher­heits­be­zogene Zwi­schen­fälle sind:

    a. Bös­ar­tiger Code (Viren, Würmer, Tro­janer) auf dem IT-System
    b. Verstoß gegen die Ver­trau­lichkeit und/oder Inte­grität von Infor­ma­tionen (z. B. ver­trau­liche Doku­mente sind öffentlich zugänglich)
    c. Ausfall von Infor­ma­ti­ons­sys­temen
    d. Inter­net­kri­mi­na­lität, Miss­brauch der Systeme
    e. Dieb­stahl von Doku­menten oder IT-Sys­­temen und Zubehör
     

Bisher erschienen in der Reihe “Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mit­ar­beiter”:

Teil 2: Social Engi­neering

Teil 3: Pass­wort­si­cherheit

Teil 4: Pass­wort­dieb­stahl

Teil 5: Viren­schutz

Teil 6: E‑Mail-Sicherheit

Teil 7: Mobile End­geräte und Daten­träger

Teil 8: Ver­wendung von Software

Teil 9: Daten­ver­luste

Teil 10: Schutz sen­sibler Daten durch Ver­schlüs­selung

Bild: © Rike / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awa­reness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.