Mobilität und Leihpersonal als Security-Fallen:
„wasserdichte“ Policies mit ISO 27001

Ponemon-Studie verzeichnet Anstieg von Datenverlust-Fällen um 64 Prozent

(Sept. 2009) – Nach den großen Datenverlustfällen der vergangenen Monate zeigt nun eine aktuelle Studie, dass sich die Situation zumindest in deutschen Unternehmen weiter zugespitzt hat. Die Marktforscher von „The Ponemon Institute“ haben in ihrer jährlichen Studie „German Enterprise Encryption @Trends“ (www.encryptionreports.com) festgestellt, dass 53 Prozent der befragten Unternehmen einen Datendiebstahl innerhalb der letzten zwölf Monaten zu vermelden hatten, in der Vorjahresstudie lag dieser Wert noch bei 34 Prozent, ein Anstieg um 64 Prozent. Befragt wurden 490 IT- und Security-Verantwortliche. Für Österreich wurde keine Befragung durchgeführt. In der Praxis zeigt sich aber immer wieder, dass ohne strukturierte Personal Policies wichtige Sicherheitslücken in Unternehmen übersehen werden. CIS-Auditor Dipl.-Ing. Herfried Geyer geht im Interview auf typische Security-Fallen und „wasserdichte“ Maßnahmen nach dem internationalen Standard für Informationssicherheit ISO/IEC 27001:2005 ein.

Herr Geyer, welche typischen personellen Sicherheitsrisiken sehen Sie in der Praxis?

Ein großes Thema ist Mobilität: Vertrauliche Daten via Push-Service auf Smart Phones, nicht durchgeführte Updates am Teleworking-PC oder die Nutzung von Data-Sharing-Plattformen im Web. Ein weiteres Problemfeld ist Leihpersonal: meist niedrig bezahlt, unter Druck, ohne Identifizierung mit dem temporären Arbeitgeber – so wird das Ausüben schädigender Handlungen begünstigt. Oder: Externes Help-Desk-Personal hat Zugriff zu Kundendaten und Intranet und müsste daher unbedingt in Personell Policies einbezogen werden. Auch Leasing-Portiere können erstaunliches IT-Wissen mitbringen, verfügen über Generalschlüssel und können unbeobachtet agieren.

Welchen Schutz bietet ISO 27001?

Im Bereich personelle Sicherheit liefert der Implementierungsleitfaden ISO 27002 detaillierte Vorgaben für Mobile Computing, Teleworking, Leasing-Personal, Zulieferer und Dienstleister. Die Komplexität des ganzen Themas verlangt ganzheitliche Konzepte: Der Zertifizierungsstandard ISO 27001 mit der Guideline ISO 27002 bieten ein erprobtes Framework für strukturiertes Sicherheitsmanagement. Die Klassifizierung von Daten, Personen und Ressourcen gehören ebenso dazu, wie Risikoanalysen und wirksame Policies.

Wie ist mit Drittfirmen umzugehen?

@Vertragliche Absicherung genügt nicht, es müssen Sicherheitsgates an den Schnittstellen implementiert werden. Sonst ist es besser, eigene Mitarbeiter einzusetzen. Bei Audits fordert die CIS als Prüforganisation Nachweise, dass relevante Drittfirmen auf demselben Security-Level arbeiten wie das zu zertifizierende Unternehmen. Auch bei Ausschreibungen wird dieser Punkt immer öfter gefordert.

Und was betrifft die eigenen Mitarbeiter?

Das Ausscheiden von Mitarbeitern ist in Unternehmen meist gut geregelt. Interne Positionswechsel oft weniger: Manche Mitarbeiter können nach Monaten noch auf Projektdaten zugreifen, über Schreibrechte verfügen oder Schlüssel behalten. Eine Personell Policy nach ISO 27002 deckt daher alle Phasen der Beschäftigung ab: Einstellung, Arbeitsverhältnis, Positionswechsel, Beendigung. Wichtig sind die Verifizierung von Zeugnissen sowie das Prüfen von Strafregisterauszügen oder Verschuldung. Generell gilt es, Mitarbeiter als Träger des Security-Systems zu gewinnen, durch flächendeckende Schulungen.

Kontrolle ist ein interessantes Thema…

Dazu gehören vor allem technische Protokollierungen. In der Praxis werden Log-Files wieder überschrieben, um Speicherplatz zu sparen. Dies ist ein heikler Punkt bei knappen IT-Budgets. Daher sieht ISO 27001 eine Risikoabschätzung vor, wobei Zugriffslogs auf sicherheitsrelevante Informationen in der Regel länger aufzubewahren sind als viele operative Logs. Zum Aufdecken von Betrugssituationen können Fraud-Detection-Programme zum Einsatz kommen, die unplausible Transaktionen auflisten.

Und innerhalb der IT-Abteilung?

Um etwa Log Files vor nachträglicher Veränderung zu schützten, ist richtig eingesetztes 4-Augen-Prinzip effektiv. Vor allem auch innerhalb der IT: dort wird am wenigsten an personelle Sicherheit gedacht, nach dem Motto: „Das sind eh nur wir.“ Wer personelle Sicherheit ernst nimmt, begegnet auch den Anforderungen der 8. EU-Richtlinie und des Sarbanes Oxley Act.

Vielen Dank für das Gespräch!





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com