Ist der Sicherheitsstandard ISO 27001 für KMUs sinnvoll?

Informationssicherheit ist für KMUs oft ein Randthema. Ressourcen und Know-how fehlen, das Kerngeschäft wird mit Produkten und Services gemacht, Security ist scheinbar Ballast. Inwieweit ist ein Sicherheitskonzept nach dem ISO Standard 27001 für KMUs sinnvoll?

Das Überleben eines Unternehmens wird in unserer technisierten Welt immer mehr zur Frage der Sicherheit von Informationen. Selbst KMUs müssen sich diesem Thema stellen, egal ob Hightech Betrieb oder Tischlerei. Computer sind heute die Voraussetzung dafür, dass gearbeitet werden kann. Steht der Computer, so steht die Arbeit. Ohne Computer weiß eine Firma nicht mehr welche Kunden sie hat oder welche Produkte im Lager sind. Rechnungen erstellen, versenden und kassieren, auch Gehaltszahlung an die eigenen Mitarbeiter, ist nicht mehr möglich.

ISO 27001 Standard

Im Qualitätsdenken hat sich bereits vor langer Zeit ein international anerkannter Maßstab etabliert, die ISO 9001. Analog dazu entwickelte sich in den letzten Jahren ein Standard für das Management von Informationssicherheit, die ISO 27001. Innerhalb kürzester Zeit wurde dieser Standard zum Wegweiser, an dem sich Unternehmen orientieren. Die Frage, „ob“ dieser Standard im Unternehmen eingeführt wird hat sich vielfach schon geändert zu „wann“ dieser Standard eingeführt wird. Gerade große Unternehmen verpflichten nun auch ihre Lieferanten zur Einhaltung und letztendlich zur Zertifizierung nach ISO 27001. Das Risiko, wenn ein Betrieb sich keine Gedanken um Security macht, ist für diese Unternehmen einfach zu hoch.

Vorteile/Nachteile

Der Standard wird von vielen als die „Bibel“ im IT-Securitybereich gesehen. Viel wichtiger als blindes Vertrauen ist jedoch die Tatsache, dass sich hier eine Menge kluger Köpfe Gedanken zum Thema Informationssicherheit gemacht haben. Warum also das Rad neu erfinden, wenn ein kurzer, prägnanter Leitfaden vorliegt, in dem beschrieben ist auf was man alles aufpassen sollte, wenn man über Sicherheit nachdenkt und diese implementiert.
Der Vorteil gerade für kleinere Unternehmen, die keine eigene Security-Mannschaft haben, besteht darin, sich gleichsam kostenlos Tipps zu holen, wie man Informationssicherheit in den Griff bekommen kann. Sie werden überrascht sein, wie viel man machen kann, ohne in neue Technologien zu investieren, ohne neue Hardware und Software anzuschaffen. Gerade organisatorische Maßnahmen erhöhen die Gesamtsicherheit dramatisch und werden im Standard nachdrücklich gefordert.
Der Nachteil besteht sicherlich darin, dass auf einigen wenigen Seiten die gesamte Welt der Security stichwortartig dargelegt wird. Ein „drüberschauen“ ohne den Beistand eines Security-Experten ist nicht möglich. Selbst die IT-Mitarbeiter der meisten Unternehmen werden dabei hoffnungslos überfordert sein. Und falsch verstandene Maßnahmen kommen meist teurer.

Security als Wettbewerbsvorteil

Security muss kein Kostenfaktor sein. Gerade die durchüberlegten Maßnahmenvorschläge einer ISO 27001 ermöglichen es einem Unternehmen punktgenau und kostengünstig Sicherheit zu erhöhen. Sie müssen keine Zertifizierung anstreben wenn sich für Sie der Werbeeffekt nicht lohnt. Aber einige Maßnahmen umzusetzen bringt Sie im Krisenfall nicht aus dem Gleichgewicht und der Konkurrenz einen großen Schritt voraus.

Sicherheitsbedrohung Mitarbeiter

Die eigenen Mitarbeiter sind die größte Bedrohung für die Informationssicherheit eines jeden Unternehmens. Durch technische Maßnahmen lässt sich gegen die Insider-Gefahr nicht viel bewirken. Mit Hilfe spannender Security-Themen, die den persönlichen Nutzen für den Mitarbeiter unterstreichen, kann der Faktor Mensch jedoch in einen Sicherheitsgewinn für das Unternehmen umgewandelt werden.

Hört man den Ausdruck „Insider“ so denkt man an üble Mitarbeiter, die Firmengeheimnisse gegen viel Geld an Mitbewerber verkaufen. Die Presse stürzt sich gierig auf aufgedeckte Skandale und tritt diese in der Öffentlichkeit breit. Wer erinnert sich nicht an den Steuerdaten-Klau in Luxemburg und den Verkauf dieser Informationen an den deutschen Bundesnachrichtendienst oder an den Verlust von 17 Millionen Kundendaten durch T-Mobile.

Datenverlust durch Insider

Dies ist jedoch im Alltag nicht das Hauptproblem für Datenverlust. Eine aktuelle Studie „Insider Risk Management“ von IDC kommt zu dem Ergebnis, dass vor allem unbeabsichtigter Datenverlust das Hauptproblem für Unternehmen darstellt. Grundsätzlich ist es vielen Unternehmen zwar bewusst, dass durch die internen Nutzer potenzielle Risiken entstehen. Doch werden sorgloses Zugriffsverhalten oder regelwidriger Umgang mit sensiblen Daten oftmals nicht beachtet, da äußere Bedrohungen als wichtiger eingestuft werden.

Insider sind autorisierte Benutzer mit rechtmäßigem Zugriff zu Firmennetzwerk, Anwendungen und Daten. Dazu gehören Mitarbeiter, Geschäftsleitung, IT-Abteilung, Berater, Outsourcer, Lieferanten und Geschäftspartner. Während Unternehmen Strategien entwerfen ihr Kerngeschäft besser abzusichern, sollten ebenfalls konkrete Überlegungen angestellt werden, um dem Risiko der Insider-Gefahr zu begegnen. Seit einiger Zeit – seit dem IDC Enterprise Security Survey 2008 – ist nämlich die Bekanntgabe vertraulicher Information an die erste Stelle gerückt im Wettstreit „Größte Gefahr für die Unternehmenssicherheit“. Datenverlust hat damit alle anderen Bedrohungen, auch Virenbefall und Hackerangriff, überholt. Die betroffenen Unternehmen bestätigen zudem, dass Probleme durch Insider meist unbeabsichtigt passieren.

Wo lernt man Security?

Da stellt sich mir die Frage, warum soviel Geld zur Abwehr externer Gefahren ausgegeben wird, wenn das Problem, das den Firmen am meisten Geld kostet, intern sitzt?

Die Antwort auf diese Frage ist – wie üblich im Security-Umfeld – mehrschichtig. Hauptproblem ist, wie ebenfalls üblich, das mangelnde Problembewusstsein der Führungsschicht. Woher sollte das Problembewusstsein auch kommen, wenn uns die Hersteller von Sicherheitsprodukten eine heile Welt suggerieren – vorausgesetzt man kauft ihr spezielles Produkt. Der Fokus von Herstellern ist nun einmal auf hohe Stückzahl gerichtet, je mehr Boxen und Lizenzen er verkauft, desto besser. Da stellt sich die Frage einfach nicht, wie passend das Produkt für die Firma ist und ob es überhaupt optimal eingesetzt werden kann.

Da jedoch die Hersteller starkes monetäres Interesse haben ihre Produkte zu verkaufen, kann eine seriöse Sicherheitsberatung so niemals stattfinden. Dies ist jedoch der Hauptweg, wie vor allem kleinere Unternehmen mit ihrer Sicherheit umgehen – Beratung durch Hersteller oder Reseller.

Warum Firewalls?

Durch diese einseitige, sehr technische Beratung wird leider ein Großteil der potentiellen Gefahren nicht beachtet. Eine ausgewogene Gesamtsicherheitslösung besteht nur zu 20 Prozent aus technischen, zu 80 Prozent jedoch aus organisatorischen und persönlichen Maßnahmen. Da wird oft um zusätzliche Features bei Firewalls gefeilscht und diskutiert, ob ein spezielles Produkt 97 oder 98 Prozent Sicherheit bietet und dabei übersehen, dass der Administrator ohnehin einem Drittel der Mitarbeiter des Unternehmens die Regel „alles offen“ eingerichtet hat (reales Beispiel eines Audits!). Da frage ich mich dann, wozu überhaupt eine Firewall verwendet wird? Da ist es nämlich völlig egal welches Produkt ich verwende, also warum nicht ein Router aus dem Mediamarkt oder Saturn um EUR 39,90.-, anstatt eine Firewall um EUR 3990.-!

Was müssen wir machen um die Gefahr zu bannen, die von naiven Mitarbeitern droht? Es gibt eine einfache, kostengünstige und nicht-technische Lösung: Tragen wir dazu bei, dass die Mitarbeiter nicht naiv bleiben! Ich nenne es „den Hausverstand schulen“. Nur wenn der Benutzer weiß, wo in der virtuellen Welt überhaupt Gefahren drohen, kann er seinen in der realen Welt so gut funktionierenden Instinkt einsetzen.

Sprache verfehlt Publikum

Mitarbeitersensibilisierung ist das Schlagwort, das bewusst machen von Zusammenhängen. Die Erklärung von DNS Server Cache Poisoning Möglichkeiten oder einer Signal Race Vulnerability des Sendmail MTAs verfehlen jedoch völlig das Zielpublikum. Dies ist auch der Grund, warum trotz Fachwissen, ein IT-Mitarbeiter der denkbar schlechteste Vortragende für Mitarbeitersensibilisierung ist. IT-Leute sprechen, genauso wie Chemiker, Mediziner oder Juristen, eine eigene Sprache.

Persönlich betroffen machen ist der Schlüssel zum Erfolg. Warum müssen es immer trockene Security-Policies sein, die niemand einsieht? Probieren Sie einmal private Themen wie „Sicheres Einkaufen im Internet“, „Facebook, Twitter & Co sicher nutzen“ oder „Absichern des Heim-PCs“! Damit erreichen Sie die ungeteilte Aufmerksamkeit der Teilnehmer, das bringt den Mitarbeitern enorme Einsicht in die aktuellen Gefahren der virtuellen Welt und letztendlich auch für Ihr Unternehmen, neben dem deutlich spürbaren Sicherheitsgewinn – und der Sicherheitsgewinn für Ihr Unternehmen ist deutlich spürbar! –, ein positives Renommee.

Mitarbeiter ist Unternehmenskapital

Mitarbeiter sind die Essenz eines jeden Unternehmens, das Kapital. Behandeln wir sie auch so, dann stellt sich der Erfolg automatisch ein.

Weitere Informationen unter www.security-awareness.at

Wieviel Sicherheit brauchen KMUs?

Laut einer aktuellen Studie haben speziell Klein- und Mittelbetriebe in Österreich einen großen Nachholbedarf bezüglich Security. Teure Produkte schießen jedoch oft übers Ziel hinaus; Angemessenheit, Machbarkeit und vor allem geringe Kosten der zu tätigenden Maßnahmen sind gefragt.

Security-Daten speziell für österreichische Verhältnisse zu bekommen ist üblicherweise schwierig. Die TechConsult Multiclient-Studie „IT-Security in Österreich 2008“ ist eine willkommene Ausnahme. Es wurden hier sowohl große als auch kleine Unternehmen befragt und die Ergebnisse ausgewertet.

Zeigt sich bei Unternehmen mit mehr als 250 Mitarbeitern ein steigendes Problembewusstsein für Informationssicherheit, so ist das Bild, das sich für kleine Firmen ergibt, katastrophal. Es fehlt hier oft an grundlegenden Maßnahmen sowohl organisatorischer als auch technischer Art.

Geschäftsführung fehlt Problembewusstsein

Der Hauptgrund für das schlechte Abschneiden liegt jedoch kaum an den Kosten von Produkten und Implementierung, sondern in Wirklichkeit an einem zu geringen Problembewusstsein der Geschäftsführung. Gerade in Kleinunternehmen sind die Geschäftsführer für alle Belange direkt zuständig. Die Security-Thematik steigt in der Komplexität ständig an und erfordert inzwischen das Know-how von Experten. Den Unternehmen fehlt einerseits der bewusste Umgang mit dem Risiko in der IT, andererseits steigt die Haftung für den Geschäftsführer durch immer schärfere Gesetze und Regulierungen. Ein KMU hat wenig freie Ressourcen und muss sich verstärkt auf sein Kerngeschäft konzentrieren – daher kommt der Sicherheitsbereich oft zu kurz.

Heute sind alle wichtigen Informationen elektronisch gespeichert, ein Ausfall von Computersystemen heißt Stillstand für das Unternehmen; keine Abrechnungen, keine Aufträge, keine Kunden sind verfügbar. Aber nicht nur Verfügbarkeit ist essentiell, auch durch Virenbefall veränderte Daten bedeuten Chaos und können den Ruin des Betriebes bewirken. Sicherheit ist unerlässlich. Eine Steigerung in diesem Bereich bedeutet auch größere Chancen am Markt, im eigenen Kerngeschäft.

Günstige Maßnahmen setzen

Durch einfache Schritte die wenig Geld kosten können bereits enorme Sicherheitsgewinne erreicht werden. Neben technischen sind hier vor allem organisatorische und persönliche Maßnahmen von Bedeutung.

Kurze, prägnante Richtlinien zeigen die Verantwortung des Einzelnen für Informationssicherheit auf. Vorgehensweisen für wahrscheinliche Ereignisse, wie etwa Virenbefall der IT-Infrastruktur, ermöglichen gezielte Aktionen im Notfall. Gelebtes Vorbild der Geschäftsleitung fördert das Sicherheitsbewusstsein bei den Mitarbeitern. Optimierte Ausnutzung und effizienteres Zusammenspiel bezüglich Security der vorhandenen Soft- und Hardware bringt kostenlosen Mehrwert.

Schießen Sie mit den gesetzten Maßnahmen nicht übers Ziel hinaus! Angemessenheit ist wichtig, erfassen Sie ihre wirklichen Risiken und setzen Sie dort gezielte Schritte. Auch Einfachheit und Machbarkeit ist bedeutend, Sie besitzen keine hochspezialisierte IT-Security Mannschaft.

Sollten Sie selbst kein entsprechendes Know-How im Unternehmen haben, so scheuen Sie nicht die Hilfestellung durch Security-Experten einzufordern. Es zahlt sich bereits kurzfristig aus.

Security ist Chefsache

Überleben des Unternehmens wird in unserer technisierten Welt immer mehr zur Frage der Sicherheit von Informationen. Die Verantwortung dafür liegt eindeutig bei der Geschäftsleitung. Planen Sie als Unternehmer rechtzeitig, was Sie machen können und was Sie machen müssen, um konkurrenzfähig zu bleiben.

IT-Security: Peer-to-Peer – Lebensgefahr für Unternehmen

Die drei wichtigsten Gefahren von Peer-to-Peer Programmen – Spyware, Data Leakage und Verstöße gegen Digital Rights Management – können Unternehmen in ihrer Existenz bedrohen. Mitarbeitern, aber auch der Geschäftsleitung, muss dies bewusst sein, nur so können effektive Maßnahmen getroffen werden.

Die Verwendung von Peer-to-Peer (P2P) Programmen zum Tausch von Filmen oder Musik wird gerne als Kavaliersdelikt abgetan: „Es trifft ja „nur“ die Musik- und Filmindustrie, die können sich das schon leisten.“ Diese Einstellung ist naiv und kann für Firmen letal enden.
Die P2P Technologie ist alt und einfach. Anstatt eines zentralen Servers, der Daten (z.B. neue Kinofilme oder Musikalben) zur Verfügung stellt, bieten alle Nutzer im Netzwerk ihren eigenen Rechner gleichzeitig allen anderen Nutzern an. Dadurch habe ich auf alle im Netz vorhandenen Dateien Zugriff (was die Auswahl enorm vergrößert), und alle anderen haben auf meine Dateien Zugriff (was sich einschränken lässt).

Was aus eigener Sicht wie der Blick ins Schlaraffenland aussieht – und hier übersieht man gerne so Nebensächlichkeiten wie Digital Rights Management (DRM) –, das entpuppt sich aus Firmensicht als Armageddon.

Programme oft mit Spyware verseucht

Bei Verwendung von P2P Programmen durch die eigenen Mitarbeiter ergeben sich mehrere gravierende Probleme:
P2P Programme werden meist kostenlos aus dem Internet zum Download bereitgestellt. Wie finanzieren also die Hersteller der Software ihre Produkte? Häufig durch die Verwendung von Spyware, die im Programm versteckt ist. Die Installation funktioniert simpel, der Benutzer installiert das Programm (und damit die Spyware) ganz bewusst, es brauchen also keine Betriebssystem-Fehler oder andere Hintertüren ausgenutzt werden.

Was macht die Spyware?
Das ist einfach zu beantworten: Alles was der Programmierer will, denn nichts hindert ein legitimes Programm daran, alle meine Daten zu sammeln und auf fremden Servern im Internet abzulegen. Nichts verhindert, dass mein eigener Rechner als Verteiler von strafrechtlich relevanten Material – warum sollten „die Bösen“ ihre eigenen Rechner verwenden? – missbraucht wird, oder als Versandstelle für Spam-Mails, oder als Ausgangspunkt für Angriffe auf andere Firmen, um Geld zu erpressen.
Die Benutzer wissen einfach nicht, was sie mit der Filesharing-Funktionalität sonst noch erworben haben. Sie wissen nicht, ob ihr Rechner noch ihnen „gehört“, oder nur mehr die Hardware.

Unbemerkter Verlust vertraulicher Daten

Ein anderes kaum beachtetes Problem ist Data Leakage, der Verlust von vertraulichen Firmendaten. Technische Spezifikationen von Obamas Hubschrauber „Marine One“ wurden – über Gnutella verteilt – im März auf iranischen Computern gefunden. Das ist nur ein Beispiel von vielen. Es steht fest, dass über P2P Programme nicht nur die vorgesehenen Tauschobjekte frei ins Internet verteilt werden, sondern unbewusst auch viele andere Informationen, die sich am eigenen Rechner befinden. Der Abfluss von sensiblen Firmendaten (Marktstrategie, Kunden, Verträge, Forschungsergebnisse), aber auch von durch Gesetze (DSG) oder Compliance (PCI DSS) geschützte Daten ist unkontrollierbar, solange ich P2P Programme nicht aktiv verhindere.

Harte rechtliche Konsequenzen

DRM bewirkt, dass die Musik- und Filmindustrie immer öfter bei (berechtigtem) Verdacht klagt. Nun liegt es am EDV Verständnis des Richters, der den Durchsuchungsbefehl unterschreibt, ob er die Rechner beschlagnahmen lässt, oder ob ihm ein Backup der Festplatte reicht. Hierzu sollte sich das Management eines Unternehmens überlegen, was es (mindestens) 6 Monate ohne ihre wichtigsten Server macht, um den Ernst dieser Situation zu erfassen.

Fazit

Peer-to-Peer hat in Unternehmensnetzwerken nichts verloren. Dies muss auch von den Mitarbeitern verstanden werden. Es müssen technische Maßnahmen getroffen werden, aber auch regelmäßige Überprüfungen auf Wirksamkeit und Einhaltung der Maßnahmen stattfinden, sowie bei Verstößen rigorose Sanktionen gesetzt werden.

Gesamtsicherheit ist immer eine ausgewogene Kombination aus technischen, organisatorischen und persönlichen Maßnahmen.