Maßnahmen zur Sicherstellung der Datensicherheit

ausgewählte Beispiele und Erfahrungen mit diesen

Die Sicherstellung der (möglichst weitreichenden) Daten- und IT-Sicherheit erfordert den Einsatz unzähliger Instrumente und Werkzeuge, ebenso unzählige Maßnahmen können notwendig sein. Im Grunde genommen hängt der Umfang der einzusetzenden Maßnahmen davon ab, wie komplex die eingesetzten Datenverarbeitungssysteme selbst und wie einschneidend ihr Einsatz in einer Organisation sind. Es ist kaum möglich, alle Maßnahmen im Rahmen einer kleinen Lehrveranstaltung in hinreichendem Umfang vorzustellen, deshalb kann hier nur eine (willkürliche - bzw. auf der Erfahrung des Autors basierende) Auswahl getroffen und erläutert werden.

Vor der Vorstellung einiger, wichtiger Ansätze ist allerdings ein systematischer Überblick über die Maßnahmen insgesamt erforderlich.

((1)) Systematik
Die Maßnahmen, die zur Sicherstellung der Datensicherheit eingesetzt werden können bzw. müssen, haben nicht nur technischen Charakter. Leider erscheinen viele von Ihnen, wie überflüssige Bürokratie und aus Sicht eines Praktikers vom eigentlichen Problem weit entfernt - Erfahrung lehrt aber, dass die rein technische Betrachtung definitiv nicht ausreichend ist, Datensicherheit optimal zu gewährleisten. Folgende Arten von Maßnahmen müssen stets in die Betrachtung einbezogen werden, wenn Daten- und IT-Sicherheit erfolgreich angegangen werden soll [1]:

((2)) Verträge und andere rechtliche Regelungen
In Arbeitsverträgen, Verpflichtungserklärungen, in Verträgen mit Lieferanten und Kunden können Regelungen getroffen werden, die für das Sicherheitssystem relevant sind. Insbesondere können sie dazu beitragen, dass bestimmte Verhaltensweisen als rechtliche Pflicht übernommen werden, so dass ihre Einhaltung zumindest wahrscheinlicher erscheint und für den Fall einer Zuwiderhandlung rechtliche Konsequenzen gezogen werden können. Damit tragen sie zur Steigerung des Sicherheitsniveaus bei.

((2)) Organisation
Werden Mitarbeiter, Vertragspartner und sonstige Mitglieder einer Organisation nicht dazu klar aufgefordert, bestimmte Regeln zu befolgen, ist die Wahrscheinlichkeit nicht groß, dass sie sie auch befolgen werden. Nicht aus böser Absicht, sondern aus Mangel an Bewusstsein und wegen Fokussierung auf ihre primären Aufgaben - das Thema der Daten- und IT-Sicherheit steht häufig einer schnellen Aufgabenerledigung im Wege...
Deshalb sollte man manche Regeln schlicht transparent festlegen, die für das Sicherheitssystem im konkreten Fall unabdingbar sind:

((2)) Personal
Im Hinblick auf das eingesetzte Personal ist besonders darauf zu achten, dass

((2)) Infrastruktur
Nicht nur die Datenverarbeitungsprozesse selbst als eine virtuelle Erscheinung müssen möglichst sicher ausgestaltet werden - auch die physikalische Infrastruktur hat enorme Bedeutung für die Datensicherheit. Zugang zu Räumen, sichere Verlegung von Leitungen, Brandschutz etc. müssen häufig genauso gewährleistet werden, wie eine Netzwerkabsicherung vor digitalen Angriffen.

((2)) Technik
Netzwerke sind abzusichern, die eingesetzte Hardware und Software muss Sicherheitsstandard entsprechen oder gemäß den Sicherheitsanforderungen eingesetzt und konfiguriert werden. Wenn nötig, sind spezielle Sicherheitsfunktionen einzusetzen.


((1)) Validierung
Bei der Frage, ob eine Maßnahme für ein konkretes Szenario eingesetzt werden sollte, kann bereits im Vorfeld ihres Einsatzes - also deduktiv - zumindest grob überprüft werden, ob sie sinnvoll ist. Diese Überprüfung, die Validierung genannt wird, kann in folgenden gedanklichen Schritten vollzogen werden:

((1)) Beispiele von Techniken, Technologien, Lösungen
Eine Auswahl der "Sicherheitstechnologien" oder schlicht derjenigen Werkzeuge, die bei digitaler Datenverarbeitung Sicherheit erhöhen können, wird nachstehend vorgestellt und in der Lehrveranstaltung - mit kleinen Beispielen - behandelt. Es handelt sich um keinen offiziellen Katalog oder Empfehlung offizieller Stellen - es sind Werkzeuge, deren Vorteile der Autor im praktischen Einsatz kennenlernen konnte.




[1] Vgl. dazu Kersten / Klett: Der IT Security Manager, Kapitel 7.1.


CategoryDatensicherheit
There are no comments on this page.
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki