Elektronische Prozesse haben in vielen Unternehmen bereits einen hohen Sicherheitsstandard: Moderne Verschlüsselungstechnologie, Vier-Augen-Prinzip und Freigabeprozesse sind auf allen Ebenen eingeführt. Elektronische Checks, Hacker-Prävention, Back-up und Firewalls sind Usus. Ungesichert bleibt allerdings häufig immer noch ein anderer Bereich – der Mensch. Daten werden ja nicht nur elektronisch verarbeitet. Daher gelingt es immer wieder, elektronische Sicherheitsmaßnahmen zu umgehen. Nur ein ganzheitlicher Sicherheitsansatz, der neben der Technologie auch Prozesse inklusive Mitarbeiter, Kommunikation und physische Gegebenheiten berücksichtigt, wird dieser Herausforderung gerecht.
Read the rest of this entry »

Halten wir uns zur Einleitung ein paar Zeilen der Väter unseres Grundgesetzes vor Augen… 
Besonderer Schutz der Persönlichkeit durch das Grundgesetz Art.1 Abs.1 GG.
- Schutz der persönlichen Ehre
- Recht am eigenen Bild (ebenso: Wort etc.)
- Recht auf informationelle Selbstbestimmung
- Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
- allgemein ungestörte freie Entfaltung der Persönlichkeit in der privaten Sphäre (geschützter
  Bereich zur Entfaltung der Privatautonomie, zur Selbstfindung, zum vertrauensvollen Austausch etwa innerhalb der Familie usw.)

Abstufungen der Schutzwürdigkeit (abnehmender Schutz):
- Intimsphäre
- Privatsphäre
- Sozialsphäre

Nun, im Zeitalter der Informationsverarbeitung finden diese Zeilen der Väter unseres Grundgesetzes scheinbar keine Beachtung mehr. Kümmert das überhaupt noch jemanden, wenn plötzlich seine Kontodaten von A nach C über B gesendet werden. „Auf dem Konto ist ohnehin nichts drauf, nun was soll man sich darüber aufregen?“, …wir sind doch alle satt, wen kümmert es?
Read the rest of this entry »

Die Meldung sagt indirekt, dass man sich einen sehr energiesparenden Computer kaufen sollte, wenn man in Erwägung zieht, mit dem Microsoft-Betriebssystem Vista zu arbeiten, denn die Stromrechnung wird es zeigen. Nebenbei sollte man sich auch eine Großpackung Doucement-Pillchen in der Apotheke dazu kaufen, damit man seine teure Hardware nicht jedes Mal gegen die Wand feuert, die gar nicht schuld daran ist, dass man mit dem Computer nicht mehr arbeiten kann - und man das Ganze wenigstens lächelnd hinnehmen kann.
Read the rest of this entry »

Der Schutz und die Verfügbarkeit von elektronischen Daten nach dem Need-to-know-Prinzip im Bereich der elektronischen Business-Kommunikation ist die entscheidende Basis jeder erfolgreichen Sicherheitsstrategie und betrifft das ganze Unternehmen. Perimeter-Schutz durch den alleinigen Einsatz von Netzwerksicherheitslösungen an den Entry-Points zum Corporate Network ist unzureichend und kann kritische Geschäftsprozesse sehr schnell empfindlich beeinflussen. Data Loss Prevention (DLP) soll sicherstellen, dass sensible Informationen nicht unkontrolliert in falsche Hände gelangen können. DLP-basierte Lösungen schützen unter anderem vor externen Malware-Angriffen, Social Engineering, Wirtschaftsspionage und Anwenderfehlern.

Warum ist Datenverlust so verbreitet?
Ein Datenverlust kommt ein immer zum denkbar ungünstigsten Zeitpunkt. Außerdem ist jeder überzeugt, dass er persönlich von Datenverlust ausgenommen ist. Murphy zeugt vom Gegenteil.
Das Schutzprinzip mit konventionellen Perimeter-Security-Lösungen an den Außengrenzen ist nicht ausreichend, denn hier gilt: harte Schale, weicher Kern. Für den Schutz vor internen Informationslecks sind ganzheitliche Design-Ansätze gefragt. So können bei der Abgabe von Angeboten interne Kalkulationen in die falschen Hände gelangen und ganz schnell zu einem Vorteil für den Mitbewerber werden.
Read the rest of this entry »

Kürzlich hatte ich die Gelegenheit, einen Vortrag über Business Continuity Management Systeme (BCMS) zu halten. In einem BCMS sind vor allem die BIA (Business Impact Analyse) und die Risikoanalyse als Methoden von erheblicher Bedeutung. Denn niemand kann mit Gewissheit vorhersagen, wann, wo und unter welchen Umständen unternehmensbedrohliche Ereignisse eintreten werden, die in jedem Fall mit finanziellen Verlusten (zum Teil an die Grenze des Verkraftbaren für ein Unternehmen) verbunden sein können. Die beiden Methoden können dieses Risiko aber eingrenzen, indem ein passender Business Continuity Plan (BCP) entworfen wird. Denn eine Risikoanalyse ermöglicht eine kalkulierte Prognose des negativen Falls. Wenn ein BCMS aktiv wird, ließen sich beispielsweise bei kritischen Geschäftsprozessen mit Hilfe der Risikoanalyse mögliche Schäden und der damit einhergehende finanzielle Verlust vorhersagen, und der passende BCP würde parat stehen.

Immer dann, wenn ich in meinen Vorträgen über Wahrscheinlichkeiten im Zusammenhang mit Risiken rede, bemerke ich, dass die Mehrzahl unserer IT-ler dieser Thematik gegenüber eher abgeneigt gegenüber stehen. In der Praxis hat dies zur Folge, dass Risikoanalysen nur Teilaspekte berücksichtigen. Sie beschränken sich oft allein auf die Betrachtung von Bedrohungen. Zu berücksichtigen ist aber, dass Bedrohungen den Risiken nicht gleichgesetzt werden können.
Read the rest of this entry »