DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mit­ar­beiter und Mitarbeiterinnen

Verhaltensregeln Teil 1

Sind Ihre orga­ni­sa­to­ri­schen Rege­lungen geeignet, um die Ziele Ver­trau­lichkeit, Inte­grität und Ver­füg­barkeit zu gewähr­leisten? Erfahren Sie, was Ihre Mit­ar­beiter im Rahmen der Infor­ma­ti­ons­si­cherheit unbe­dingt wissen und umsetzen müssen.

 

 

Ein Mit­ar­beiter findet im Flur der Firma einen USB-Stick. Wie soll er sich ver­halten? Soll er den USB-Stick liegen lassen, in den USB-Anschluss seines PC stecken, um zu sehen, welche Daten gespei­chert wurden oder seinem Chef den Fund melden?

Ist in Ihrem Unter­nehmen die richtige Reaktion des Mit­ar­beiters orga­ni­sa­to­risch geregelt und kennen alle Mit­ar­beiter die Regelung?

Sind Ihre orga­ni­sa­to­rische Regelung und auch alle anderen Rege­lungen geeignet, um die Ziele Ver­trau­lichkeit, Inte­grität und Ver­füg­barkeit zu gewährleisten?

Ich emp­fehle Ihnen alle Sicher­heits­regeln nach Fachthemen zu gliedern und im Unter­nehmen zu ver­öf­fent­lichen (z. B. als Bro­schüre). Der Ver­teilung der Bro­schüre sollen vier­tel­jähr­liche Kurz-Schu­­lungen vor­an­gehen. Legen Sie bei den Schu­lungen einen beson­deren Wert auf die Wirk­sam­keits­prüfung (eine Schulung war wirksam, wenn der Mit­ar­beiter auch noch nach meh­reren Monaten die wich­tigsten Inhalte kennt und auch anwendet).
 
In diesem Beitrag erfahren Sie, was Sie und Ihre Mit­ar­beiter im Rahmen der Infor­ma­ti­ons­si­cherheit all­gemein unbe­dingt wissen und umsetzen müssen.
In den nächsten Monaten werde ich in diesem Blog weitere Themen — ver­bunden mit den wich­tigsten Ver­hal­tens­regeln — behandeln:

  • Social Engineering
  • Passwortsicherheit
  • Passwortdiebstahl
  • Virenschutz
  • E‑Mail-Sicherheit
  • Mobile Datenträger
  • Ver­wendung von Software
  • Datensicherung
  • Schutz von sen­siblen Daten durch Verschlüsselung
  • Not­fall­vor­sorge (Hier ver­weise ich auf den 3. Teil der Arti­kel­serie zum Not­fall­ma­nagement von Herrn Dr. Lohre, DATEV eG)

Teil 1: All­ge­meine Informationssicherheit

In den meisten Firmen stehen die Themen Infor­ma­ti­ons­si­cherheit und Daten­schutz (mit) an oberster Stelle. Mit­ar­beiter, Kunden und Lie­fe­ranten erwarten, dass sen­sible Daten mit höchster Sorgfalt behandelt werden. Denn Daten­skandale haben für die Firma und den Betrof­fenen in den meisten Fällen gra­vie­rende Aus­wir­kungen (neben recht­liche Kon­se­quenzen auch einen immensen Image­schaden). Somit ist es eine unver­zichtbare und per­ma­nente Aufgabe aller Mit­ar­beiter, die Infor­ma­ti­ons­si­cherheit zu gewährleisten.

So ver­halten Sie sich richtig:

  • Berück­sich­tigen Sie Infor­ma­ti­ons­si­cherheit bei allen sicher­heits­re­le­vanten Pro­jekten schon in der Planungsphase. 
  • Führen Sie eine Risi­ko­be­trachtung durch und defi­nieren Sie Maß­nahmen zur Risi­ko­mi­ni­mierung bzw. – vermeidung.
  • Sicher­heits­vor­komm­nisse sollen sofort erkannt werden können. Richten Sie hierzu tech­nische Erken­­­nungs- und Mel­de­ver­fahren (z. B. Firewall, IDS-Systeme, Viren­scanner) ein.
  • Moti­vieren Sie ihre Mit­ar­beiter jeden erkannten sicher­heits­be­zo­genen Zwi­schenfall (auch selbst ver­ur­sachte) der direkten Füh­rungs­kraft zu melden. Bei­spiele für sicher­heits­be­zogene Zwi­schen­fälle sind: 

    a. Bös­ar­tiger Code (Viren, Würmer, Tro­janer) auf dem IT-System
    b. Verstoß gegen die Ver­trau­lichkeit und/oder Inte­grität von Infor­ma­tionen (z. B. ver­trau­liche Doku­mente sind öffentlich zugänglich)
    c. Ausfall von Informationssystemen
    d. Inter­net­kri­mi­na­lität, Miss­brauch der Systeme
    e. Dieb­stahl von Doku­menten oder IT-Sys­­temen und Zubehör
     

Bisher erschienen in der Reihe “Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mitarbeiter”:

Teil 2: Social Engi­neering

Teil 3: Pass­wort­si­cherheit

Teil 4: Pass­wort­dieb­stahl

Teil 5: Viren­schutz

Teil 6: E‑Mail-Sicherheit

Teil 7: Mobile End­geräte und Datenträger

Teil 8: Ver­wendung von Software

Teil 9: Daten­ver­luste

Teil 10: Schutz sen­sibler Daten durch Verschlüsselung

Bild: © Rike / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awareness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.