Diese 6 Dinge sollten Sie beachten

IT-Security im (Unternehmens) Alltag

IT-Security geht jeden von uns an, denn wir begegnen dem Thema ständig im (Unternehmens)Alltag. Diese 6 Dinge sollten Sie dabei beachten:

Bild: Ventura / Shutterstock.comIT-Security im Unternehmensalltag_702x363px

1. Technik allein reicht nicht aus
Den Zustand „sicher“ gibt es nicht und schon gar nicht den Zustand „dauerhaft sicher“. Nach dem Konzept „Plan – Do – Check – Act“ sollte auch für Security ein Unternehmensprozess etabliert werden. Dieser Prozess muss so einfach wie möglich gestaltet sein, da ansonsten die festgelegten, beschriebenen Maßnahmen umgangen werden. Das Verhalten von Mitarbeitern sollen in diesem Konzept eine genauso große Beachtung wie die Technik finden. Mitarbeiter für das Thema zu sensibilisieren und sie zu motivieren, die IT-Sicherheit im Alltag zu leben.

2. Schwachstellenanalyse und Schaffung eines Sicherheitsbewusstseins
Startpunkt für den Beginn einer ernsthaften Auseinandersetzung mit dem Thema ist immer die Schaffung eines Sicherheitsbewusstseins. Hierzu gibt es Orientierungshilfen, wie z.B. die Richtlinienreihe VDI/VDE 2182, die ein generisches Vorgehensmodell (Blatt 1) beschreibt. Der Schutzbedarf muss ermittelt, die Informationssicherheitskultur erfasst, beschrieben und verstanden werden. Dazu ist eine IST-Analyse mit dem Ziel durchzuführen, die Einstellungen der Mitarbeiter, ihren Wissensstand und ihren Wissensbedarf über IT-Sicherheit zu identifizieren. Die Anpassung an den Soll-Zustand (Vorgabe) durch Schulung, Veränderung der Gewohnheiten, Sperrung von Zugängen und Zugriffsmöglichkeiten durch die IT, leben der Unternehmenskultur.

3. Software auf dem neuesten Stand halten; Sicherheitsupdates und Patches, Softwaretest auf Schwachstellen; sicherer Datentransfer
Software ist auf dem neuesten Stand zu halten. Sicherheitsupdates und Patches sind zeitnah zu installieren. Installationen von Software sollten im Unternehmen nur vom Administrator durchgeführt werden. Wird Software eingespielt, sollte diese vorher ausreichend geprüft sein. Dies gilt insbesondere wenn Software in Geräte eingespielt wird. Hier sind die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik nützlich.

4. Vertraulichkeit, Verschlüsselung und Verfügbarkeit
Daten dürfen nur von den berechtigten Personen gelesen werden. Es ist daher sicherzustellen, dass die Vertraulichkeit der Daten gewahrt wird. Dies wird oft durch die Verschlüsselung der Daten oder durch die Verwendung von Tunnelverbindungen erreicht.
Hinreichend sichere Verschlüsselung (mindestens 256 Bit-Verschlüsselung) sollte bei vertraulicher Datenübermittlung Standard sein. Daten und Systeme müssen dem Nutzer zur Verfügung stehen. Öffnen Sie keine Dateianhänge von Personen, die Sie nicht kennen. Sie könnten Schadsoftware enthalten und möglicherweise sogar Ihre gesamten Dateien verschlüsseln (Ransomware). Dann sind Ihre Daten verloren. Ihr Sicherheitskonzept sollte so ausgelegt sein, dass Sie Ihre Daten jederzeit zurückspielen können und nicht auf Erpressungsversuche reagieren müssen.

5. Datenintegrität und sichere Kommunikation, „Defence in depth
Daten dürfen nur von Befugten in geeigneter Weise verändert werden. Dies ist grundsätzlich sicherzustellen. Die Kommunikationskanäle müssen sicher sein.
Defence in depth ist eine sehr gute Methode, um beispielsweise bei Automatisierungssystemen die Barrieren gegen Angriffe zu erhöhen. Es werden dabei mehrere Ebenen der Abschottung hintereinander positioniert.

6. Richtlinienreihe VDI/VDE- 2182
Für Automatisierungsunternehmen wird die Anwendung der Richtlinie VDI/VDE 2182 „IT-Security in der industriellen Automatisierung“ empfohlen. Blatt 1 beschreibt, wie die Informationssicherheit von automatisierten Maschinen und Anlagen durch die Umsetzung von konkreten Schutzmaßnahmen erreicht werden kann; dazu werden Aspekte der eingesetzten Automatisierungsgeräte, Automatisierungssysteme und Automatisierungs-anwendungen betrachtet. Auf der Basis einer zwischen Herstellern von Automatisierungsgeräten und -systemen und deren Nutzern (z. B. Maschinenbauer, Integratoren, Betreibern) abgestimmten, gemeinsamen Begriffsdefinition wird eine einheitliche, praktikable Vorgehensweise beschrieben, wie Informationssicherheit im gesamten Lebenszyklus von Automatisierungsgeräten, -systemen und -anwendungen gewährleistet werden kann.
Weitere Informationen finden Sie auch im Internet unter den Stichpunkten:
•    Secure by Default
•    Secure by Design
•    Secure by Implementation
•    Secure by Deployment

csm_Bedenbender_Heinz_236x309_2c0be5b901Autor: Dr. Heinz Bedenbender
Position im VDI: wissenschaftlicher Mitarbeiter der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik

 

 

 

6065 motiv-digitale-transformation-1

Kommentare & Pingbacks

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


*