Was durch ein IT-Sicherheitskonzept verhindert werden kann und sollte

IT-Sicherheit ist kein Randthema mehr, welches nur “besondere Unternehmen” oder die “höhere öffentliche Verwaltung” betrifft, sondern ein Thema, welches von allen Unternehmen und Behörden gleichermaßen ernst genommen werden muss. Ein IT-Sicherheitskonzept hilft dabei, auf Notfälle vorbereitet zu sein, oder – noch besser – solche erst gar nicht entstehen zu lassen. Wir zeigen die Fälle auf, die dank eines IT-Sicherheitskonzepts verhindert werden können und sollten, oder auf die mittels IT-Sicherheitskonzept wenigstens angemessen schnell und sicher reagiert werden kann.

Kein Backup oder unzureichend aufbewahrtes Backup

Unternehmen und Behörden, die keine Backups ihrer Datensätze anfertigen, handeln damit in Bezug auf IT-Sicherheit fast schon vorsätzlich. Schon kleinere Hardwarefehler oder Softwareprobleme können dazu führen, dass die gesamte IT-Infrastruktur gefährdet ist. Wenn Datensätze verloren gehen, stellt sich die frage, ob ein Backup existiert, und wenn ja, von welchem Zeitraum. Dabei ist zu unterscheiden zwischen einem Backup-System, welches innerhalb der gleichen Räumlichkeiten aufbewahrt wird wie die “originale Festplatte” und solchen Backup-Systeme, die das Backup andernorts aufbewahren oder speichern. Wer beispielsweise in einer Kanzlei regelmäßige Backups vornimmt, diese Backups aber in den Kanzleiräumen aufbewahrt, riskiert im Falle eines Gebäudebrands dennoch die gesamten Datensätze. Sinnvoller ist es daher, zumindest auch ein Backup außerhalb der Räumlichkeiten aufzubewahren, in denen die Datensätze originär gespeichert werden. Beispielsweise kann eine Backup-Festplatte “nach jedem Feierabend” in einer anderen Örtlichkeit untergebracht werden (Bankschließfach), oder aber ein Backup per Cloud-Computing wird vorgenommen.

Ein taugliches IT-Sicherheitskonzept sieht genaue Angaben darüber vor, was im Backup gespeichert wird, in welchen Zeitabständen und wie das Backup aufbewahrt wird. Ohne IT-Sicherheitskonzept verlieren die verantwortlichen Stellen schnell aus den Augen, inwieweit ihr Backup-System auch in Notfällen Sicherheit verschafft und ob beispielsweise neuere Backup-Maßnahmen wie das Cloud-Computing überhaupt datenschutzkonform vorgenommen werden können (Stichwort: Datenübertragung in die USA).

Virus im System

Ein Virus im IT-System kann viele Ursachen haben. Was nützt die beste Anti-Viren-Software, wenn diese nie aktualisiert wird, oder gar, um den Computer schneller laufen zu lassen, abgeschaltet worden ist. Oder aber Mitarbeiter surfen während der Arbeitszeit oder ihrer Mittagspausen auf dubiosen Websites. Sollte ein Virusbefall festgestellt werden, stellt sich die Frage, wie darauf angemessen schnell und für die Zukunft sicher zu reagieren ist. Ein Laie kann nicht ohne Weiteres beurteilen, welche Teile der IT-Infrastruktur tatsächlich betroffen sind und welche Auswirkungen die Computer-Viren haben werden oder könnten.

Im IT-Sicherheitskonzept sollte festgelegt werden, welche Anti-Viren-Software verwendet wird und inwieweit Aktualisierungen und Updates dieses Programms vorgenommen werden müssen. Eine Art Notfall-IT-Infrastruktur sollte für Extremfälle vorhanden sein (einzelne Notebooks). Ein Schritt für Schritt-Vorgehen im Falle eines Virusbefalls ist sinnvoll, damit keine Zeit vergeudet wird und die Ursache behoben werden kann.

Administrator fällt aus

Administratoren sind in einigen Unternehmen und Behörden im Alltag unauffällige Randerscheinungen, die aber für das Funktionieren der IT-Infrastruktur von höchster Bedeutung sind. Nichtsdestotrotz kommt es immer wieder vor, dass ein Administrator allein für die gesamte IT-Infrastruktur verantwortlich ist. Das spart Kosten, bedeutet im Ernstfall aber, dass die IT-Infrastruktur ohne Betreuung ist, wenn der Administrator einmal krankheitsbedingt längere Zeit ausfällt.

Ein gutes IT-Sicherheitskonzept bereitet auf diesen Ernstfall vor. Passwörter und Zugänge, über die bisher nur der Administrator verfügte, werden sicher für den Notfall hinterlegt. Kernanwendungen der IT-Infrastruktur sollen anhand der Anleitungen im IT-Sicherheitskonzept auch von anderen Mitarbeitern zumindest kommissarisch ausgeführt werden können. Für eine notfallmäßige Vertretung des Administratoren sieht das IT-Sicherheitskonzept einen zuverlässigen Ansprechpartner vor, der spontan Aushilfe leistet.

Hackingangriff

Ein Hackingangriff kann vieles bedeuten. Es sind Fälle bekannt, in denen Arztpraxen Ziel von solchen Hackingangriffen wurden. Patientendaten wurden dabei einerseits entwendet, andererseits für die Arztpraxis selbst unlesbar gemacht. Bei einem Hackingangriff, der personenbezogene Daten zum Gegenstand hat, kommt eine Haftung der verantwortlichen Personen in Frage, wenn die IT-Infrastruktur nicht ausreichend gesichert war.

Ein IT-Sicherheitskonzept sollte vorsehen, die IT-Infrastruktur regelmäßig dem Stand der Technik anzupassen, um auf die neuesten Arten von Hackingangriffen vorbereitet zu sein. Wichtig ist außerdem, dass per IT-Sicherheitskonzept festgelegt wird, vertrauliche Daten nur verschlüsselt aufzubewahren. So kann unter Umständen wenigstens verhindert werden, dass der Hackingangriff zu einer echten Datenpanne wird. Auch etwaige Meldepflichten (aus dem BDSG) sollte das IT-Sicherheitskonzept inhaltlich behandeln, sodass im Falle eines Hackingangriffs nicht auch noch unnötiger Ärger mit der zuständigen Datenschutzbehörde im Raum steht.

IT-Sicherheitskonzept als Präventions- und Reaktionsleitfaden

Feil_Logo_facebookSinn und Zweck eines IT-Sicherheitskonzepts ist es einerseits zu verhindern, dass überhaupt Störfälle auftreten, und andererseits auf solche angemessen vorbereitet zu sein. IT-Sicherheitsprobleme sollten nicht auftreten, dies muss das Ziel sein. Treten sie dennoch entgegen der Erwartung ein, sollten Reaktionsmuster vorbereitet sein, damit die Situation nicht eskaliert. Ein gutes IT-Sicherheitskonzept verhindert, dass Schlimmes passiert, und verhindert, dass Schlimmes noch schlimmer wird.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...


Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*