
Geprüft und für gut befunden
SPIRIT/21 hat das ISO/IEC 27001 Überwachungsaudit zum zweiten Mal ohne Abweichungen bestanden.
„Vielen Dank, dass Sie ACME AntiVirus gekauft haben. Ihr PC ist jetzt für ein Jahr geschützt.“ Eine Security Software auswählen, bezahlen und installieren - schon ist für die gekaufte Laufzeit erst einmal Ruhe. Diese Rückmeldung wird so hoffentlich nur in Privathaushalten sichtbar sein. Dennoch zeigt sie beispielhaft, wie Informationssicherheit häufig auch nach Spectre, Meltdown und Co. in Unternehmen verstanden wird. Dabei ist das Thema weitaus komplexer.
Im geschäftlichen Umfeld bilden sogenannte Schutzziele die Basis, um Informationssicherheit zu erreichen. Dazu zählen insbesondere
Die Komplexität liegt hier wie häufig im Detail. Denn um die Schutzziele erfüllen zu können, müssen diverse Maßnahmen ergriffen werden, die sowohl technischer als auch organisatorischer Natur sein können.
Eine Anti-Virus-Lösung kann beispielsweise je nach Möglichkeit und Konfiguration dazu beitragen, alle drei Schutzziele zu erreichen.
Außer der Installation einer Anti-Virus-Lösung bieten sich im geschäftlichen Umfeld eine Reihe weiterer technischer Maßnahmen an, um die Sicherheit von Informationen zu gewährleisten. So kann die Vertraulichkeit von E-Mails z.B. durch Verschlüsselung sichergestellt werden. Bei Dateien können Berechtigungen auf Datei- oder Verzeichnisebene erteilt werden. Solche Berechtigungen müssen kontinuierlich überwacht und angepasst werden. Integrität kann z.B. durch die Signierung von Informationen gewährleistet werden. Und die Verfügbarkeit von Informationen kann schließlich durch den Einsatz von Hochverfügbarkeits- oder Backup-Lösungen verbessert werden. Dies sind nur wenige der vielfältigen Möglichkeiten.
Wenn aber z.B. das Backup in der Cloud erfolgt und der Cloudspeicher durch eine Fehlkonfiguration öffentlich erreichbar ist, ist die Vertraulichkeit und Integrität der Informationen in Gefahr. Das heißt, wenn alle drei Schutzziele erreicht werden sollen, müssen stets die Folgen und Auswirkungen aller technischer Einzelmaßnahmen im Blick behalten werden.
Welche organisatorischen Maßnahmen neben den technischen Vorkehrungen notwendig sind, um Informationen im geschäftlichen Umfeld zu sichern, erfahren Sie im 2. Teil meines Blog-Beitrags.