Beiträge mit dem Tag: Sicherheit

IT-Compliance Checkliste für Ihr Unternehmen

April 16, 2019 8:42 | Veröffentlich von
it compliance

Je mehr Internet- und IT-gestützte Prozesse Ihr Unternehmen benötigt, desto größer ist das Risiko, dass Sie aufgrund von Informationsdiebstahl und Datenverlusten in rechtliche und wirtschaftliche Schwierigkeiten geraten. Wir haben eine Reihe von Fragen, die sie sich stellen sollten, zu einer Compliance Checkliste zusammengefasst. Sollten Sie alle Punkte anhaken können, sind Sie bereits auf einem guten Weg.

Lesezeit: 2 Minuten

Platzierung und Konfiguration Ihrer Infrastruktur

  • Sind Ihre Netzwerk-Router und Switches an sicheren Orten untergebracht? Haben nur befugte (Administratoren) Zugang zu diesen Geräten?
  • Sind alle Netzwerkanschlüsse entweder belegt oder „gesperrt“? Wird verhindert, dass unbefugte Geräte in Ihr Netzwerk hängen?
  • Sind die Räumlichkeiten, in denen sich Ihre Server- und Netzwerkinfrastruktur befindet, auch tatsächlich immer versperrt?
  • Sind Büroräume versperrt, wenn niemand darin arbeitet

Derartige Fragen sollten Sie sich auf jeden Fall stellen. Sie stellen damit sicher, dass Angreifer keinen Zugriff auf Ihre wertvollen Daten haben. Wenn Ihre Router frei in einem öffentlichen Raum stehen, kann jede Person frei auf diese zugreifen. Angreifer können dadurch einerseits wichtige Daten lesen. Andererseits können diese schädliche oder falsche Daten in Ihr System pflanzen.

Mitarbeiter Hardware

  • Sind alle Festplatten auf den Firmen-PCs verschlüsselt?
  • Gibt es eine strikte Trennung von Firmen- und Privatgeräten? Dürfen Firmendaten auf Privatgeräten gespeichert werden beziehungsweise Privatgeräte für Firmenangelegenheiten genutzt werden?
  • Falls keine Trennung: Gibt es klare und regelmäßig überprüfte Richtlinien, welche die Integrität von Firmen-Daten sicherstellen?
  • Sind alle Geräte auf dem neuesten Stand und gegen Bedrohungen geschützt (Updates, Antivirus-Software)?

So praktisch privat genützte Firmen-Hardware oder betrieblich genützte Privat-Hardware ist, öffnen derartige Möglichkeiten auch zahlreiche neue Probleme. In unserer Compliance Checkliste stellen wir diese übersichtlich für Sie da. Denn diese Art von Problemen benötigen eine Lösung. Wenn ein Notebook privat infiziert wurde, besteht beispielsweise die Möglichkeit, dass es – sobald es im Firmennetzwerk platziert wird – auch dieses infiziert. Daher ist es aus betrieblicher Sicht unumgänglich, jedes Gerät, das im betrieblichen Umfeld Einsatz findet, auch nach den Firmenstandards zu schützen. Ebenso kann ein Notebook, das gestohlen wurde, jederzeit zerlegt und die Festplatte ausgelesen werden. Gegen solche Angriffe schützt bereits eine verschlüsselte Festplatte. Windows bietet mit dem Bitlocker-Verschlüsselungssystem hierbei eine kundenfreundliche und sichere Möglichkeit.

Netzwerksicherheit

  • Sind unbenötigte Netzwerksteckdosen auch tatsächlich „blind“ oder auf sonstige Weise gegen Fremdzugriff abgesichert?
  • Verwenden Dienste wie beispielsweise WLAN immer die aktuellsten Protokolle?
  • Gibt es eine Unterscheidungen zwischen firmeninternen und öffentlichen Netzwerkzugängen (beispielsweise für Gäste)?
  • Werden Zugangs-Passwörter regelmäßig geändert?

Natürlich ist es ein gutes Service (und in gewissen Bereichen unerlässlich), dass sie Ihren Gästen einen Internetzugang anbieten. Wenn aber Gäste leicht in ihr Netzwerk kommen, gilt dies auch meist für Angreifer. Daher bietet sich eine strikte Trennung ihres Netzwerkes in verschiedene Unternetze an, sodass wirklich nur berechtigte Personen Zugriff auf interne Daten haben.

Ebenso werden verschiedenste Netzwerkprotokolle nicht ohne Grund regelmäßig erneuert. Oft stellt sich heraus, dass ein Protokoll eine Sicherheitslücke enthält. Diese Lücken bieten sich geradezu dazu an von Angreifern genutzt zu werden. Daher ist es wichtig, in diesem Bereich Überprüfungs- und Updatezyklen einzuführen und sich auch strikt daran zu halten!

Verhalten gegenüber Fremdfirmen

  • Gibt es mit allen Fremdfirmen in Ihren Räumlichkeiten bindende Verträge, die Vertraulichkeit regeln?
  • Wird die Einhaltung dieser Verträge auch reglmäßig überprüft?
  • Werden Mitarbeiter und Mitarbeiterinnen von Fremdfirmen vollständig geschult?

Auch wenn Sie absolutes Vertrauen in Ihre Mitarbeiter haben, kann dies im Normalfall nicht auch für alle Mitarbeiter von allen Fremdfirmen, die in Ihren Räumlichkeiten arbeiten, gelten. Haben Ihre Reinigungskräfte Zugang zu allen Räumlichkeiten? Was spricht für Angreifer dagegen, diesen Reinigungskräften einen USB-Stick mit Schadsoftware mitzugeben, den diese gegen gute Bezahlung einfach anstecken?

Informationsfluss

  • Gibt es klare Richtlinien, welche Informationen über welche Kanäle weitergegeben werden dürfen?
  • Wird die Einhaltung dieser Richtlinien auch reglmäßig überprüft?
  • Werden „Schattenkanäle“ (beispielsweise „ausplaudern“, Weitergabe auf einem Blatt Papier) bestmöglich verhindert?

Eine E-Mail Adresse ist für Angreifer schnell gefälscht. So kann annähernd jede IT-affine Person Ihnen eine E-Mail von „gott@himmel.com“ zuschicken. Wenn nun der Name der Geschäftsführung und das E-mail-Schema des Unternehmens bekannt ist, können Angreifer jederzeit unter falschem Namen nach Daten fragen, und Sie haben wichtige Informationen preisgegeben.

Dokumentation und Logging

  • Sind alle Richtlinien klar dokumentiert und gegenüber Mitarbeitern wie Partnern klar publiziert?
  • Gibt es regelmäßige Schulungen/Erinnerungen, um die Richtlinien im Gedächtnis zu behalten?
  • Werden alle Zugriffe auf kritische Informationen mitgeloggt, sodass im Ernstfall rekonstruiert werden kann, wer wann welchen Fehler begangen hat?
  • Falls ja: Sind diese Logging Dateien gegenüber versehentlicher oder absichtlicher Veränderung/Löschung geschützt?

Die besten Richtlinien zum Umgang mit Bedrohungen helfen nichts, wenn Mitarbeiter diese nicht kennen und befolgen. Daher ist es dringend notwendig, dass alle Richtlinien für die Mitarbeiter zugänglich und verständlich sind. Außerdem müssen sie Ihre Mitarbeiter auch regelmäßig an die Einhaltung der Richtlinen erinnern.

Falls doch etwas schiefgeht, ist die schnelle Identifizierung des oder der Verantwortlichen wichtig. Daher macht es Sinn, alle Zugriffe und Berechtigungen aufzuzeichnen.

Aber an diesem Thema hängt noch mehr …

Alle diese Punkte sind nur grobe Anhaltspunkte, die für Ihr Unternehmen in dieser Form ausreichend, zu wenig ausgestaltet oder gar nicht nötig sind. Sollten Sie an der Erfüllung von Compliance-Richtlinien interessiert sein und einen Partner suchen, begleiten wir Sie gerne auf diesem Weg!

Kategorisiert in: Blog, IT-Compliance

SEO Checkliste

Oktober 24, 2018 15:57 | Veröffentlich von

Wir haben für Sie eine kostenlose SEO Checkliste zur Suchmaschinenoptimierung Ihrer Website zusammengefasst. Prüfen Sie selbst welche Punkte Sie bereits erledigt haben oder starten Sie jetzt in die Optimierung Ihrer Website.

(mehr …)

Kategorisiert in: Blog, Suchmaschinenoptimierung