Welche Fragen kann man sich stellen, um das eigene Sicherheitsniveau im Unternehmen ein wenig besser zu machen?
Kenne und nutze ich bzw. wir alle vorhandenen Schutzmechanismen in Anwendungen und Programmen?
Zeit sich einen Überblick über die genutzten Software-Produkte zu machen. Wo kann man vielleicht ein zusätzliches Passwort vergeben, wo kann ich meine Daten verschlüsseln? Wir wollen es den Kriminellen ja möglichst schwierig machen, Informationen von uns zu bekommen!
Setzen wir überall Virenschutzsoftware ein?
Es muss nicht immer zwingend ein Kauf-Produkt sein. Gerade bei Windows 10 reicht der von Haus aus installierte "Windows Defender" aus und fängt uns die wichtigsten Dinge weg. Was allerdings gar nicht mehr sein sollte, der Einsatz von älteren Windows-Betriebssystemen. Auch wer Linux im Einsatz hat, sollte dies stetig aktuell halten.
Wurde das Thema Informationssicherheit bei allen neuen Projekten frühzeitig und ausreichend berücksichtigt?
Informationssicherheit, Informationssicherheit und Informationssicherheit. Das Thema ist so aktuell wie nie und man kann es kaum noch lesen oder hören. Trotzdem! Es ist wichtig, bei allen neuen Umsetzungen sich Gedanken über die Datenverarbeitung, deren Sicherung und Sicherheit Gedanken zu machen. Die Kommunikation mit dem Dienstleister, diversen Subunternehmern oder den eigenen Mitarbeitern ist hier essentiell.
Schaust Du mit dem Feuerzeug in den Benzintank? - Nein! Warum schaust Du ohne Firewall ins Internet?
Guter Vergleich oder? Hier muss man natürlich abschätzen, welchen Bedarf man hat. Gerade bei Einzelunternehmern macht eine separate Firewall-Appliance wenig Sinn und wäre meist übertrieben. Dennoch sollte zumindest auf dem PC eine einfache Firewall eingerichtet sein, damit der Verkehr nicht ungehindert das Gerät passieren darf. Meistens wird der Internet-Verkehr schon am Router abgefangen, der eine sog. SPI-Firewall integriert hat. Hier auch wieder der Anstoß - haben wir eine Firewall? Wer kümmert sich? Ist das Geräte oder die Software noch aktuell?
Denke ich an die Sicherheit auch unterwegs? Teile ich mit meiner Umgebung Geschäftsgeheimnisse? Sind meine Daten auf dem Smartphone vor unbefugtem Zugriff geschützt?
Mobile Geräte sind immer mehr verbreitet und werden häufiger genutzt als der Standard-Office-PC am Arbeitsplatz. Hier kann man auch mit vielen kleinen und einfach umsetzbaren Maßnahmen das Sicherheitsniveau deutlich steigern.
Laptop?
- Ist die Festplatte verschlüsselt? Hat mein Benutzer ein Kennwort? Kann ich mein Notebook zur Not mit einem Notebookschloss schützen? Display-SICHTschutzfolie?
Smartphone?
- Habe ich eine Display-SICHTschutzfolie? Ist meine PIN oder Bildschirmsperre stark genug? Kann ich mein Gerät verschlüsseln? Habe ich es verschlüsselt?
Habe ich meine Mitarbeiter auf die Sicherheitsvorgaben hingewiesen? Findet ein regelmäßiger Austausch statt?
Immer wieder lauern neue Gefahren in der digitalen Welt. Ein regelmäßiger Austausch mit den Mitarbeitern ist deswegen sehr sinnvoll. Wer weiß Neuigkeiten? Welche Bedrohungen lauern aktuell im Postfach oder gibt es sogar Anrufe von Unbekannten, die total freundlich sind und ganz viele Fragen haben?
Gibt es klare und aktuelle Richtlinien zur Informationssicherheit für alle Bereiche?
Wird überhaupt etwas geregelt? Wie haben wir das eigentlich gemacht? Nur mündliche Umsetzungen? Wo können wir unsere Maßnahmen nachlesen bzw. woran machen wir unser Sicherheitsniveau fest?
Wirft uns die Datensicherung zurück ins Mittelalter? Prüft das ab und an jemand?
Hand auf´s Administratorenherz! Wie alt ist die jüngste Datensicherung? Bekommt man eine Meldung, wenn die Sicherung nicht mehr läuft oder gelaufen ist? Wer ist zuständig? Ganz viele Dinge, die geklärt sein sollten! In der Praxis geht es häufig unter, aber Tests, bei denen die Sicherung zurückgespielt wird, sollte man doch ab und an durchführen. Man glaub gar nicht, was da schief gehen kann....
Ist meine Datensicherung sicher untergebracht?
WO wird die Sicherung aufbewahrt? Direkt neben dem Fileserver? Schlechte Idee! Die Literatur gibt hier den Hinweis -> räumlich getrennt, in einem anderen Brandabschnitt? Hoppla! Ja! Ich weiß, dass das nicht immer umsetzbar ist...dann müssen aber andere Lösungen her. Und ja, die gibt es!
Wird die Wirksamkeit von Sicherheitsmaßnahmen regelmäßig überprüft?
Auch wieder die Frage der Zuständigkeit! Wer kümmert sich darum, dass die vorher mühsam ausgedachten und - im besten Fall- umgesetzten Lösungen auch weiter in der Zukunft funktionieren und Wirkung zeigen? Klare Verantwortlichkeiten bringen Struktur in die Thematik und sorgen für ein konstant gutes Sicherheitsniveau!
Du fährst auch bei dickstem Nebel 200 Sachen? Dann klick ruhig jeden Link im Internet an!
Die beste Firewall sitzt immer noch zwischen den Ohren. Das HIRN! Leider werden sogenannte Phising-Mails immer professioneller und man kann diese selbst als Fachmann manchmal kaum von den Originalen unterscheiden. Auch verlockende Internet-Seiten mit diversen Angeboten sollte man mit Vorsicht genießen.
Trau, schau, wem? Vorsicht walten lassen, bevor man Dateien aus unbekannten Quellen öffnet!
Bitte, bitte, bitte, wenn die Quelle nicht bekannt ist, Vorsicht mit der nervösen Maushand ;). Gerade bei kleinen Softwareprodukten (die meistens den Rechner schneller machen oder eine ultimative Prüfung anbieten) sollte man auch wieder den Apparat zwischen den Ohren einschalten und das Thema mit Vorsicht genießen. Hierbei hilft es oftmals nach Erfahrungen im Netz zu suchen. Getreu dem Motto...Suchmaschine des Vertrauens öffnen -> "Erfahrungen mit der Software XYZ" oder wie auch immer...manchmal reicht auch der Name des Produkts.
Wer, was, wo, womit, warum, wie, wann? - Grundfragen eines jeden Sicherheitskonzeptes.
Zeit für Überprüfungen! Sicherheitskonzept vorhanden? Super! Wann wurde es zuletzt aktualisiert? Wer war/ist zuständig? Das Problem an solchen Konzepten...sie veralten schneller als einem lieb ist. Ja und es macht verdammt nochmal Arbeit und ist nervig! Wer nicht alleine ist, kann sich hier mit seinen Mitarbeitern vielleicht auch einfach mal austauschen? Wem ist was aufgefallen? Wo haben wir Verbesserungspotenzial? Stimmen die im Konzept festgehaltenen Maßnahmen noch?
Was ist immer teurer als Informationssicherheit? Nichts für die Informationssicherheit zu tun!
Jetzt komm mir nicht mit dieser Leier! *lach*. Aber es ist wirklich so, meine Freunde der Informationssicherheit. Es ist besser schlecht anzufangen, als gar nichts zu unternehmen. Man wird auch hier feststellen, dass sich die Umsetzung nach und nach verbessert. Die Basis ist der Anfang und darauf baut man auf und aus. Niemand kann es von Anfang an perfekt umsetzen, viele Schwierigkeiten kommen und die bewältigt man nach und nach.
Sind meine Daten sicher in der Cloud oder geklaut?
Darüber muss man sich auch in Zukunft immer häufiger den Kopf zerbrechen. Pack ich meine Daten in die Cloud oder nicht? Auch hier wieder eine Frage der Betrachtung. Was möchte ich damit erreichen? Welche Vorteile habe ich von einer Auslagerung oder welche zusätzlichen Möglichkeiten bieten sich an? Welche Risiken warten auf meine Daten? Wo stehen die Server? Wie gestaltet es sich mit dem Datenschutz? Kann ich meine Daten selber noch zusätzlich schützen (Stichwort: Verschlüsselung!)?
Wichtig, wie bei vielen oben genannten Dingen auch, ein Konzept sollte man sich VORHER überlegen und nicht danach ;-).