Mit Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- sowie der Datentrennungs-Kontrolle kennt Paragraf 9 des Bundesdatenschutzgesetzes (BDSG) acht sogenannte technische und organisatorische Maßnahmen, die zu treffen sind, um den Datenschutz zu gewährleisten. Übergeordnetes Ziel ist die Datensicherheit, welche einen ergänzenden Aspekt des Datenschutzes darstellt. Allein schon die begriffliche Nähe der Worte Zutritts-, Zugangs- und Zugriffskontrolle legen einen definierten Blick und Obacht im täglichen Umgang nahe.
Foto: Marco2811 - Fotolia.com
Zutrittskontrolle - "Draußen vor der Tür"
Zutrittskontrolle meint im Datenschutz, Maßnahmen zu ergreifen, die verhindern, dass unbefugte Personen den physikalischen Zutritt zu Datenverarbeitungsanlagen erhalten. Dazu zählen im weitesten Sinn Computer jeder Art - Server, PC, Notebook, Smartphone, Kopierer und andere Geräte, die sich zur Verarbeitung personenbezogener Daten eignen. Unbefugte Personen sind all jene, welche sich aufgrund der ihnen zugewiesenen Aufgaben nicht bei den entsprechenden Geräten aufhalten müssen.
Ziel ist es, die Möglichkeit unbefugter Kenntnis- oder Einflussnahme von vornherein auszuschließen. Die Schutzmaßnahmen sollen mit zunehmender Sensibilität der Daten entsprechend steigen. Maßnahmen im Rahmen der Zutrittskontrolle sind:
Empfang mit Personenkontrolle sowie das Tragen von Firmen-/ Besucherausweisen
Verschlossene Türen
Alarmanlage
Videoüberwachung und Wachdienst
Schlüssel- und Chipkartenregelung sowie biometrische Einlass-Systeme
Einbruchhemmende Fenster
- All-in-One: Ein optimaler Zutrittsschutz beinhaltet alle wichtigen Räume und Gebäudeteile eines Unternehmens. (Quelle: Novar)
- Raumüberwachung: Moderne Videosysteme können vordefinierte Gefahrensituationen erkennen und einen entsprechenden Alarm auslösen. (Quelle: Unisys)
- Alles im Blick: Das elektronische Auge registriert alle ungewöhnlichen Bewegungen und schlägt Alarm. (Quelle. Unisys)
- Zutrittssystem: Ein biometrisches Zugangskontrollsystem besteht aus mehreren unterschiedlichen Komponenten. (Quelle: Unisys
- Bitte eintreten: Personenvereinzeler und ein 3D-Gesichts-Scan verhindern den Zutritt von unerwünschten Besuchern. (Quelle: Unisys)
- Kein Zutritt: Nur berechtigte Personen erhalten den Zutritt in die entsprechenden Räume. (Quelle: Unisys)
- RFID-Spion: Mithilfe der RFID-Technologie lassen sich Bewegungen von Personen, Geräten und Fahrzeugen kontrollieren. (Quelle: Unisys)
- Tracking: Ein Backup-Band, versehen mit einem RFID-Tag, kann jederzeit lokalisiert und identifiziert werden. (Quelle: Unisys)
- Alles oder nichts: Aller Bestandteile eines ausgeklügelten Sicherheitssystems müssen fehlerlos zusammenarbeiten. (Quelle: Unisys)
- Schaltzentrale: Alle verwendeten Sicherheitssysteme sollten zentral über eine geeignete Software kontrolliert und verwaltet werden. (Quelle: Unisys)
- Maximale Sicherheit: Die Kombination aus RFID-Technologie und biometrischer Zutrittskontrolle ergibt einen maximalen Schutz vor unbefugten Besuchern. (Quelle: Unisys
Zugangskontrolle - "Nur für Befugte"
Die Zugangskontrolle verhindert die Nutzung der Datenverarbeitungsanlagen durch Unbefugte. Während die Zutrittskontrolle den physikalischen Zutritt verhindert, unterbindet die Zugangskontrolle die Nutzung des Systems. Dabei dürfen Unternehmen die Angreifbarkeit von außen via Datenverbindung (Internet) keinesfalls außer Acht lassen - ein bedeutendes Einfallstor für Cyberkriminelle und Datendiebe. Folgende Maßnahmen können ergriffen werden, um den unerlaubten Zugang zu personenbezogenen Daten zu verhindern:
Bildschirmschoner mit Passwortschutz
Passwortrichtlinie
Magnet- und Chipkarte
Benutzername und Passwort
PIN-Verfahren
Einsatz von Spamfilter und Virenscanner
Biometrische Verfahren
- 1. Verfügt der Anbieter über eine definierte Strategie für das Risk Management?
Verfügt er über keine Strategie, wird sich ein Investment kaum lohnen. Hat er doch eine, die allerdings eher zweifelhaft ist, macht ein Auftrag ebenfalls keinen Sinn. - 2. Verfügt der Anbieter über ein (aktuelles) Regelwerk, Organisationsstrukturen, Vorgaben und Maßnahmen für die Umsetzung dieser Strategie?
Wenn die Führung einer Organisation die Cyber-Sicherheit nicht als Priorität ansieht, dann wird das auch die Belegschaft nicht tun. Anders, wenn Security integraler Bestandteil der Unternehmens-DNA ist. - 3. Welche Verwaltungsstrukturen belegen, dass der Anbieter seine Sicherheitsstrategie ernst nimmt? Gibt es einen gesonderten Ausschuss oder andere überwachende Stellen?
Je ranghöher die Mitglieder eines solchen Ausschusses besetzt sind, desto mehr können Sie darauf vertrauen, dass es sich nicht nur um Lippenbekenntnisse handelt. - 4. Wie stellt der Anbieter sicher, dass die Sicherheit integraler Bestandteils seines Angebotes ist, wie ist der Vorstand darin eingebunden und wie kann er zur Rechenschaft gezogen werden?
Tragen bestimmte Vorstände persönliche Verantwortung für die Umsetzung der Sicherheitsstrategie beim Kunden? - 5. Welchen Ansatz verfolgt der Anbieter, um die Umsetzung der Sicherheitsstrategie in all seinen Unternehmensteilen sicherzustellen? Wie wird er angewendet?
Ist die Sicherheitsstrategie des Anbieters nur bei einigen wenigen Stellen konzentriert, kann sie nicht Teil der Unternehmens-DNA sein. - 6. Welche Unterstützung erfährt die Sicherheitsstrategie im Unternehmen des Anbieters? Stehen auch die letzten regionale Außenstellen hinter ihr?
Trägt jeder Teil des Anbieters zur Umsetzung der Sicherheitsstrategie bei oder wird dies durch ein spezielles Team verantwortet? Im zweiten Falle kann die Verantwortung leicht abgeschoben werden. - 7. In jeder Firma treten Sicherheitsvorfälle auf. Wie ist der Anbieter in der Vergangenheit damit umgegangen und was wurde daraus gelernt?
Hat sich das Management nicht mit diesen Vorfällen befasst, dann kann Security auch kein integraler Bestandteil des Unternehmens sein. - 8. War die IT des Anbieters jemals Opfer einer Cyberattacke? Wenn ja: Was wurde daraus gelernt?
Der Anbieter sollte die Anwendung seiner eigenen Medizin in seiner Organisation demonstrieren können. - 9. Unterstützt der Provider in seiner Sicherheitsstrategie international anerkannte Standards? Welche Standardisierungsgremien wachen über deren Einhaltung?
Erst wenn stets die neuesten Standards übernommen werden, lässt sich von einer Sicherheitsstrategie "up-to-date" sprechen. - 10. Wie erfolgt die Identifikation neuester Standards und Vorgaben? Welche Maßnahmen werden ergriffen, um mögliche Konflikte mit bestehenden Gesetzen und Vorgaben zu lösen und immer auf dem Stand zu sein?
Der Anbieter sollte über ein definiertes Verfahren verfügen, um neue Standards zu überprüfen und rechtliche Konflikte auszuschließen. - 11. Verfügt der Anbieter über geeignete Stellen oder ein Team, um die neusten Standards zu unterstützen – inklusive und insbesondere Kryptografie?
Neben der Verschlüsselung sollte auf die Prozess-Standards der ISO 27000-Serie sowie Industriestandards wie X.805, PCI und OWASP geachtet werden. - 12. Was tut der Anbieter, um gesetzliche Vorgaben und Bestimmungen zur Cybersicherheit in all den Ländern, in denen er agiert, zu verstehen und umzusetzen? Wie fließen diese in seine Produkte und Services ein?
Der Anbieter muss zeigen können, wie er auf teilweise widersprüchliche Gesetze in den verschiedenen Ländern reagiert. - 13. Wie stellt der Anbieter sicher, dass sein Angebot gesetzeskonform ist? Was, wenn dies einmal nicht der Fall ist? Gibt es Aussagen des Providers über seine Beziehung zu Regierungen?
Können sich die verschiedenen Länderteams beim Gesamtmanagement Gehör verschaffen? Nimmt das Management Rücksicht auf Gesetze? - 14. Wie stellt der Anbieter sicher, dass sein Angebot mit den gesetzlichen Exportbestimmungen d'accord geht? Etwa im Falle von starker Kryptografie gibt es Ausfuhrverbote.
Der Anbieter muss integrale Prozesse vorweisen können, um auch hier sicherzustellen, dass die gesetzlichen Bestimmungen ausreichend Berücksichtigt werden. - 15. Wie steht es um den Umgang mit geistigem Eigentum?
Der Anbieter muss definierte Vorgaben für den Umgang mit geschützten Inhalten vorweisen können, die auch ethnische und regionale Unterschiede in Betracht ziehen. - 16. Wie stellt der Anbieter sicher, dass seine lokalen Vertriebsteams nur Produkte und Services anbieten, die im jeweiligen Land gesetzeskonform sind?
Vertriebler wollen verkaufen und betrachten dabei Gesetze und Vorgaben oft als lästig. Es braucht stringente unternehmensinterne Regeln, um diese Teams auf die jeweils gültigen Regeln einzuschwören. - 17. Wie stellt der Anbieter sicher, dass abgeschlossene Verträge die jeweils geltenden Gesetze berücksichtigen?
Vertragswerke sind in der Regel sehr komplex, dennoch muss ein Verfahren bestehen, mit dem sie auf ihre "Wasserdichtheit" bezüglich der jeweils geltenden Gesetze überprüft werden können. - 18. Kaum ein Service beziehungsweise Software kommt ohne Bestandteile von Dritten aus. Wie stellt der Anbieter sicher, dass diese ebenfalls allen gesetzlichen Bestimmungen entsprechen?
Der Anbieter muss Kontrollmechanismen vorweisen können, um etwa Lizenzkonflikte auszuschließen. - 19. Wird auch das Management-Team des Anbieters in Sachen Cyber Security geschult? Erhalten sie regelmäßige Updates und Trainings?
Solange das Management – und hier besonders das mittlere Management – keine Vorbildfunktion einnimmt, werden auch die Angestellten eine laxe Haltung der Sicherheit gegenüber einnehmen. - 20. Hat der Anbieter besonders sensible Posten identifiziert, also Stellen, an denen besonders auf Risiken geachtet werden muss?
Jeder Mitarbeiter des Anbieters, der auf Ihr System und Ihre Daten Zugriff hat, muss ganz besonders geschult werden, um seiner Verantwortung gerecht werden zu können. - 21. Wie werden diese sensiblen Stellen überprüft und überwacht? Wird der Background der betreffenden Person gecheckt? Wie können Sie eine möglicherweise unsichere Person schnell loswerden?
Interne Gefahren sind größer als externe, Sie müssen sowohl darauf vorbereitet sein als auch darauf reagieren können. - 22. Welche Schulungsmaßnahmen werden für sensible Stellen angeboten? Wie wird die Teilnahme daran überprüft?
Wenn das Wissen der entscheidenden Mitarbeiter nicht "up-to-date" ist, gehen Sie ein hohes Risiko ein. - 23. Hat der Anbieter Regeln für die Fortbildung der sensiblen Stellen aufgestellt?
Kritische Posten müssen definierte Prozesse der Fortbildung durchlaufen. - 24. In vielen Ländern gibt es Gesetze gegen Bestechung und Korruption. Sind die Mitarbeiter in diesem Hinblick auf dem jeweils neusten Stand?
Der Anbieter muss standardisierte Verfahren vorweisen können, mit denen Mitarbeiter die Gesetzeslage nahe gebracht wird. - 25. Kann der Anbieter Mechanismen vorweisen, mit denen Mitarbeiter das Management auf etwaige Regelverstöße aufmerksam machen kann?
Die Mitarbeiter, nicht das Management, haben den Finger am Puls des Kunden und spüren als erstes, wenn etwas schief läuft. Es muss dezidierte Abläufe für Alarmrufe an das Management geben. - 26. Was macht der Anbieter, wenn ein wichtiger Mitarbeiter das Unternehmen verlässt?
Mitarbeiter haben oft jede Menge Erfahrungen gesammelt – profitiert der Anbieter davon, auch wenn der Mitarbeiter das Unternehmen verlässt, etwa dadurch, dass er ihn abschließend befragt? Auch hier sollte es festgelegte Mechanismen geben. - 27. Welche definierten Strafmaßnahmen hat der Anbieter für Mitarbeiter vorgesehen?
Wie will der Anbieter gegen Mitarbeiter vorgehen, die wissentlich gegen die Vorgaben und Regularien zur Cybersicherheit verstoßen haben? - 28. Beziehen die Strafmaßnahmen auch die Vorgesetzten mit ein?
Verstöße sollten erst gar nicht passieren, da das Management seine Mitarbeiter streng überwachen sollte. Bei Vorfällen sollten sich diese übergeordneten Stellen nicht aus der Verantwortung stehlen können. - 29. Gibt es standardisierte Vorgaben für den Entwicklungsprozess, die auf die Einhaltung von Cyber-Security-Richtlinien abzielen?
Der Anbieter muss ein Regelwerk vorlegen können, um sichere Entwicklungsprozesse gewährleisten zu können. Hier gibt es keinen globalen Standard, jedes Unternehmen muss seine eigenen Prozesse definieren. - 30. Wie ist die Sicherheit im Entwicklungsprozess verankert und wie reagiert sie auf eine wandelnde Bedrohungslage? Wie unterscheidet der Anbieter zwischen zwingenden und eher lässlichen Maßnahmen?
Der Anbieter muss belegen können, dass sein Sicherheitskonzept dynamisch und fest im Entwicklungsprozess integriert ist. - 31. Kunden aus aller Welt haben unterschiedliche, manchmal widersprüchliche Ansprüche an die Sicherheit. Verfügt der Anbieter über ein Portfolio integrierter Prozesse, die den unterschiedlichen Interessen Rechnung trägt?
Jedes Land hat andere Gesetze – unflexible Prozesse sind nicht in der Lage, darauf adäquat zu reagieren. - 32. Verfügt der Anbieter über ein Life-Cycle-Management für seine Produkte in Hinblick auf die Sicherheit? Wenn ja, wie ist dieses definiert?
Wie schließt der Anbieter Konflikte zwischen Sicherheitsanforderungen und gewünschten Funktionen über den gesamten Lifecycle hinweg aus? - 33. Kann Ihr Anbieter detailliert darlegen, wie sein Produkt weiterentwickelt und damit verbessert werden kann? Sind Reviews, Sicherheitschecks und Ausschlusskriterien vordefiniert?
Software kann sehr komplex sein, ihre Weiterentwicklung muss in einem eng gesteckten Rahmen erfolgen, sonst wird sie leicht überladen und kontraproduktiv. - 34. Software besteht oftmals aus vielen verschiedenen Programmen von verschiedenen Herstellern. Wie garantiert der Anbieter, dass sie alle sicher sind?
Ungeprüfte Unterprogramme von Dritten können ein System behindern oder gar lahmlegen, von der mangelnden Sicherheit ganz abgesehen. - 35. Mittels eines Konfigurations-Managements wird das ordentliche Zusammenspiel verschiedenen Programme gewährleistet. Dafür gibt es unterschiedliche Ansätze. Wie sieht der Ihres Anbieters aus?
Der Anbieter sollte die Integration einer neuen Software in das bestehende System demonstrieren können. - 36. Die Trennung von Aufgaben ist unumgänglich, um Bedrohungen zu begrenzen und Schäden auszuschließen. Wie spiegelt sich das im Entwicklungsprozess insbesondere bei der Arbeit der Entwickler wider?
Es gilt, interne Gefahren einzudämmen, indem nicht zu viel Verantwortung in eine Hand gelegt wird. - 37. Oftmals wird Code von Drittanbietern in eigene Programme integriert – wie genau wird dies überprüft?
Die Software Ihres Anbieters mag konfliktfrei und sicher sein – stimmt dies aber auch für alle fremden Teile? - 38. Open-Source-Software und andere Programme können oft kostenfrei von diversen Websites bezogen werden – wie stellt der Anbieter sicher, dass diese Trojaner-frei ist?
Die Qualitätskontrolle muss auch auf Software von Dritten angewandt werden. - 39. Mit welchen Mechanismen wird Code von Dritten auf Schwachstellen hin überprüft?
Wie sieht die Qualitätskontrolle konkret aus? - 40. Wie stellt der Anbieter sicher, dass gefundene Fehler überall ausgemerzt werden, wo sich die betreffende Software im Einsatz befindet?
Guter Code findet sich oft in vielen Bereichen eines Systems – ein Fehler darin muss methodisch und überall behoben werden. - 41. Kommen verschiedene Entwicklungssprachen und -werkzeuge zum Einsatz?
Im Laufe des Bestehens eines Unternehmens sammeln sich viele verschiedene Programme an – mit welchen Mitteln stellt der Anbieter sicher, dass sie alle auf ihre Sicherheit hin überprüft werden? - 42. Welchen Ansatz verfolgt der Anbieter, um den gesamten Entwicklungsprozess von Anfang bis zum Ende zu dokumentieren, inklusive aller Open-Source-Bestandteile und anderer Software von Dritten?
Ohne genauen Überblick über alle eingesetzten Komponenten kann die Fehlersuche Tage oder gar Wochen dauern. In dieser Zeit können Sie das Angebot nicht nutzen. - 43. Ausgefeilte Programme bestehen aus Millionen von Code-Zeilen. Mit welchem Verfahren werden sie im Rahmen des Entwicklungsprozesses überprüft?
Automatisierte Programme und Werkzeuge sollten für eine dynamische und permanente Überprüfung des Systems sorgen. - 44. Welche Verfahren setzt der Anbieter ein, um ein Produkt als "marktreif" freizugeben?
Ihr Anbieter sollte Ihnen garantieren können, dass sein Produkt nicht nur zu 95 sondern zu 100 Prozent marktreif ist. - 45. Im Leben einer Software treten immer wieder mal Defekte auf – wie werden diese entdeckt und ausgebessert?
Sie wollen sich nicht immer aufs Neue mit einem bekannten Problem herumschlagen. Wie stellt der Anbieter sicher, dass ein Defekt ein und für alle mal aus dem System verschwindet? - 46. Wie belegt der Anbieter seine Kompetenz in Sachen Cybersicherheit? Gibt es dafür etwa ein Competence-Center?
Niemand kann Experte für alles sein. Es muss unter den Entwicklern spezielle Personen für die Sicherheit von Codes geben. - 47. Die Bedrohungslage ändert sich ständig. Wie reagiert der Anbieter darauf?
Nicht nur bekannte Gefahren gilt es abzuwehren, auch für künftige müssen Sie gewappnet sein. Wie will dies der Anbieter garantieren? - 48. Mit welchen Mitteln arbeiten die Sicherheitsmechanismen des Anbieters? Hat er eine Datenbank der bekannten Bedrohungen aufgebaut oder eine Bibliothek für durchgeführte Tests?
Für jeden Prozess ihres Anbieters sollte es eine Reihe von integrierten Plattformen geben. - 49. Wie sieht das Release Management Ihres Anbieters aus? Wird eine Anwendung oder ihre Überarbeitung gleichzeitig an alle Kunden in allen Ländern ausgegeben oder gibt es andere Mechanismen?
Hier gibt es kein "richtiges" Modell, Sie müssen einfach überprüfen, ob das Release Management Ihres Anbieters zu Ihnen passt. - 50. Gibt es zusätzlich zum Expertenteam im Entwicklungsbereich ein Cyber Security Laboratory, das Software unabhängig und noch vor dem Marktstart auf Herz und Nieren überprüft?
Entwickler haben ihre eigene Sicht der Dinge – erst eine unabhängige Instanz sorgt für ausreichend Objektivität. - 51. Können die Entwickler oder das Marketing des Anbieters Weisungen dieses Cyber Security Laboratory ignorieren?
Der unabhängigen Testinstanz muss ein Vetorecht zugebilligt werden. - 52. Führt das Laboratory Penetrationstests sowie statische und dynamische Code-Scans durch, um die Sicherheit zu gewährleisten?
Welche Methoden kommen zum Einsatz, um die Produkte des Anbieters wasserdicht zu halten? - 53. Gibt es externe und unabhängige Einrichtungen, die die Sicherheit der Produkte des Anbieters überprüfen?
Ein gewisser Wettbewerb zwischen interner und externer Kontrollinstanz gewährt ein Plus an Sicherheit. - 54. Können Anwender die Produkte des Anbieters in ihren eigenen Test-Centern überprüfen?
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden. - 55. Würde Ihr Anbieter Ihnen oder anderen Kunden erlauben, ein unabhängiges Testlabor mit der Überprüfung seines Codes zu beauftragen?
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden. - 56. Falls ja: Besteht der Anbieter auf die Ersteinsicht in die Ergebnisse der Überprüfung durch ein unabhängiges Testlabor?
Erhalten Sie von dem unabhängigen Testlabor einen ungeschminkten Ist-Bericht oder will der Anbieter diesen schönen? - 57. Hat Ihr Anbieter Einfluss auf die Untersuchungsmethoden des unabhängigen Testlabors?
Kennt ihr Anbieter die eingesetzten Untersuchungsmethoden, dann kann er sich dafür präparieren. - 58. Welche Mechanismen stellen sicher, dass von unabhängigen Testlaboren gefundene Fehler an das Entwicklerteam zurückgemeldet und behoben wird?
Fehlerreports dürfen nicht einfach in der Ablage P oder einer Schublade landen. - 59. Darf ein unabhängiges Testlabor die bereinigte Software neuerlich überprüfen?
Vermeintlich "gesäuberte" Software ist nur vermeintlich sicher – sie muss neuerlich überprüft werden. - 60. Lernt der Anbieter aus den von einem unabhängigen Testlabor gefundenen Fehlern und sammelt er systematisch Erkenntnisse?
Fehler (und Lösungen) müssen systematisch gesammelt werden, damit sie in Zukunft ausgeschlossen werden können. - 61. Wie hält es der Anbieter mit der Sicherheit in den Produkten seiner Zulieferer (Hardware, Software, Services)?
Wie garantiert Ihr Anbieter, dass alle von Zulieferern bezogenen Produkte Ihren Sicherheitserwartungen entsprechen? - 62. Welche Sicherheitsanforderungen stellen diese Zulieferer an ihre Zulieferer?
Hier wird es schnell unübersichtlich: Zertifikate können dabei helfen, die Produkte von Zulieferern der Zulieferer als sicher zu behandeln. - 63. Hat der Anbieter einen Katalog über Sicherheitsanforderungen an seine wichtigsten Zulieferer formuliert?
Zulieferer müssen wissen, was von ihnen in Sachen Sicherheit erwartet wird. - 64. Wie gedenkt Ihr Anbieter die Einhaltung dieser Sicherheitsanforderungen zu überprüfen? Kommen Scorecards oder andere Metriken zum Einsatz?
Zulieferer kommen und gehen – es muss eine davon unabhängige und festgeschriebene Methode zur Überprüfung der Einhaltung des Maßnahmenkatalogs vorgesehen sein. - 65. Gibt es ein definiertes Berichtswesen für etwaige später gefundene Fehler in Produkten von Zulieferern?
Immer wieder treten in Anwendungen erst nach einiger Zeit Probleme auf. Ihr Anbieter muss darüber schnellstmöglich informiert werden, so dass er Sie schützen kann. - 66. Welche Maßnahmen gedenkt Ihr Anbieter zu ergreifen, wenn ein Zulieferer nicht mehr Ihren Sicherheitsansprüchen genügt?
Ein Zulieferer muss dazu gebracht werden können, Sicherheitsüberprüfungen durchzuführen und Maßnahmen zu verbessern. Ist dies aus welchen Gründen auch immer nicht möglich, müssen weitere Maßnahmen greifen. - 67. Hält sich Ihr Anbieter an international gültige Bestimmungen wie Trade Partnership Against oder Transported Asset Protection Association (TAPA)? Ist er dafür zertifiziert?
In verschiedenen Ländern gelten verschiedene Standards – Ihr Anbieter sollte eine wirklich große Palette an unterstützten Protokollen vorweisen können. - 68. Führt Ihr Anbieter regelmäßig Sicherheits-Audits bei seinen Zulieferern durch? Worauf achtet er dabei? Wie wird auf gefundene Schwachstellen reagiert?
Ein kollaborativer Ansatz kann Ihnen, Ihrem Anbieter und seinen Zulieferern helfen, Produkte sicherer zu machen. - 69. Welche Standards und Best Practices kommen bei Ihrem Anbieter im Fertigungsprozess zum Einsatz?
In der Fertigung kommen viele komplexe Prozesse und Verfahren zum Einsatz. Ihr Anbieter sollte einen holistischen Ansatz dafür darlegen können, in dem die besten international gültigen Standards und Ansätze versammelt sind. - 70. Ihr Anbieter muss den Fertigungsprozess von Anfang bis Ende beschreiben können und angeben, an welchen Kontrollinstanzen schad- oder fehlerhafte Codes aussortiert bzw. repariert werden.
Treten Anwendungsfehler im Betrieb auf, müssen die betreffenden Teile separiert und geprüft werden, bevor sie zurück ins System gespielt werden. - 71. Wie stellt der Anbieter sicher, dass die von ihm eingesetzten Codes von Dritten auch tatsächlich die Codes sind, die er bestellt hat?
Ihr Anbieter sollte keinem seiner Zulieferer Vertrauen schenken, sondern auf Nummer Sicher gehen. - 72. Wie stellt der Anbieter sicher, dass die von ihm eingesetzten Codes von Dritten nicht von eigenen Mitarbeitern verändert werden?
Wieder gilt es, die internen Gefahren im Haus des Anbieters zu minimieren. - 73. Wie schützt der Anbieter seine Software nach deren Vollendung vor Manipulationen?
Fertige, aber noch nicht eingesetzte Produkte bieten ideale Möglichkeiten für Manipulationen. Wie schützt sich der Hersteller dagegen in seinen Fabriken und Lagerhallen? - 74. Wie stellt Ihr Anbieter sicher, dass das Produkt, das Sie erhalten, identisch ist mit dem, was er Ihnen zuvor demonstriert hat?
Logistikströme müssen überwacht und vor Manipulationen geschützt sein. - 75. Wie stellt Ihr Anbieter sicher, dass die von ihm in seinen Produkten eingesetzten Komponenten immer auf dem neusten Stand sind?
Software ist oft fehlerhaft und braucht Updates. Der Einsatz der jeweils neusten Releases minimiert das Fehlerrisiko. - 76. Wie stellt Ihr Anbieter sicher, dass die bei Ihnen eingespielte Software exakt diejenige ist, die von seinem Entwicklerteam freigegeben wurde?
Ihr Anbieter muss eine lückenlose End-to-End-Integration demonstrieren können. - 77. Wie stellt Ihr Anbieter sicher, dass keiner seiner Mitarbeiter während des Fertigungsprozesses Malware in die Software einschleust?
Gerade während der Fertigung braucht Software besonderen Schutz. Eine Monitoring-Lösung sollte den Zugriff von Unautorisierten verhindern. - 78. Wie stellt Ihr Anbieter sicher, dass nach angeschlossener Produktion alle Verbindungen von seinen Mitarbeitern zur Software gekappt wurden?
Offene Ports erlauben es, auch noch nachträglich Manipulationen am fertigen Produkt vorzunehmen. - 79. Ist Ihre Software während des Fertigungsprozesses anonymisiert?
Ein Produkt, das einem Abnehmer fix zugeordnet ist, lädt zu Angriffen auf eben diesen spezifischen Abnehmer ein. Anonymisierte Software minimiert dieses Risiko. - 80. Wie stellt Ihr Anbieter sicher, dass das Produkt nicht manipuliert wurde, falls das Produkt "ungebraucht" an den Anbieter zurückgegeben wird?
Wieder muss Ihr Anbieter beweisen können, dass er niemandem traut – noch nicht einmal Ihnen! - 81. Sollten Sie Ihr Produkt einmal etwa wegen eines Fehlers zurückgeben müssen, wie stellt der Anbieter sicher, dass dabei keine Ihrer Daten mit übernommen werden?
Oft handelt es sich um Kundendaten, und die dürfen schon aus datenschutzrechtlichen Gründen nicht weitergegeben werden, natürlich auch nicht an Ihren Software-Anbieter. - 82. Wie stellt Ihr Anbieter sicher, dass eine "gefixte" Software frei von Malware ist und dass es sich tatsächlich um die Software handelt, die sie zur Reparatur eingeschickt haben?
Auch beim Beheben von Fehlern darf der Anbieter von seinem Konzept der absoluten Überwachung nicht abweichen. - 83. Wie genau werden alle Komponenten einer Software überwacht, sei es bei der Fertigung oder während einer Reparatur? Wer wann und wo wie Zugriff hat, muss genau dokumentiert sein.
Die Sicherheit einer Software kann nur durch eine lückenlose Überwachung und Dokumentation gewährleistet werden. - 84. Wie erhalten die Service-Mitarbeiter Ihres Anbieters Zugang zum Produkt?
Auch die von Ihnen eingesetzte Software benötigt Wartung – Sie dürfen aber die Kontrolle über den Zugang dazu nie verlieren. - 85. Welche Schutzmechanismen hat Ihr Anbieter für die Service-Zugänge installiert?
Der Anbieter muss Richtlinien und Verfahren vorweisen können, wie die Zugangsdaten geschützt sind und was mit Ihnen nach Beendigung der Wartung passiert. - 86. Wie sind die PCs und Laptops der Mitarbeiter Ihres Anbieters abgesichert? Können sie eigene Software aufspielen?
Sind die Rechner der Mitarbeiter verseucht, besteht auch höchste Gefahr für Ihre Anwendung und Ihre Daten. - 87. Wie stellt Ihr Anbieter sicher, dass seine Mitarbeiter immer die korrekte Software einsetzen?
Produkte für Unternehmenskunden sind oft sehr komplex, Teile davon benötigen Updates etc. Ihr Anbieter muss nachweisen können, dass stets die aktuelle Version bearbeitet wird. - 88. Wie will Ihr Anbieter Ihnen garantieren, dass die Service-Mitarbeiter keine Malware in Ihr Produkt einschleusen?
Hier müssen Methoden installiert sein, um das Korrumpieren Ihres Produkts zu verhindern. - 89. Ihr Anbieter muss Ihnen sein Sicherheitskonzept bis ins Detail darlegen und Komponenten daraus - wie etwa Firewalls - demonstrieren können.
Auch alle Hardware-Komponenten müssen abgesichert werden. - 90. Wenn Ihr Anbieter für die Problembehandlung mit Ihren Kundendaten umgehen muss, holt er dafür die Erlaubnis des Kunden ein? Wie stellt er sicher, dass mit den Daten sorgsam umgegangen wird?
Es muss Vorschriften und Regeln über den Umgang mit Kundendaten geben, diese muss man Ihnen vorlegen können. - 91. Welche Regeln gelten, wenn für das Beheben von Problemen Kundendaten über Landesgrenzen hinweg versendet werden müssen?
Sie müssen sich mit Ihrem Anbieter auf Vorgaben einigen, was in diesem Fall erlaubt ist und was nicht. Bedenken Sie dabei immer die Datenschutzrichtlinien der betreffenden Länder. - 92. Was passiert mit den verschobenen Daten nach der Behebung des Problems?
Auch für das Löschen von Daten müssen automatisierte Methoden vorliegen, diese muss man Ihnen demonstrieren können. - 93. Für das Finden von Fehlern sind Überwachungsprotokolle essentiell – wie stellt Ihr Anbieter sicher, dass in diesen wirklich alle relevanten Daten erfasst werden?
Hier sollten industrieweit anerkannte Überwachungsprotokolle zum Einsatz kommen. - 94. Sie benötigen Ihren Anbieter ganz besonders in Krisenzeiten – wie wird Ihnen Ihr Anbieter im Falle von Naturkatastrophen oder Systemausfällen beistehen? Fordern Sie konkrete Beispiele und konkrete Hilfestellungen ein.
Business Continuity muss neben der Sicherheit ganz oben auf der Prioritätenliste Ihres Anbieters stehen. - 95. Verfügt Ihr Anbieter über ein Kriseninterventionsteam (PSIRT/CSIRT)? Wo ist es ansässig und wie können Sie es schnellstmöglich erreichen? Wie laufen im Notfall die Prozesse ab?
Vorkonfigurierte Prozesse und ein jederzeit erreichbares Kriseninterventionsteam minimieren den Schaden. - 96. Wie arbeitet das Kriseninterventionsteam Ihres Anbieters mit Ihrem eigenen Kriseninterventionsteam zusammen? Gibt es eine zentrale Stelle, die gegebenenfalls die Kommunikation koordiniert?
Ihr Anbieter sollte sich als flexibel genug erweisen, um mit Ihnen beziehungsweise Ihrem Team auch im Krisenfall reibungslos zusammenarbeiten zu können. - 97. Arbeitet Ihr Anbieter mit der Security Research-Community zusammen?
Ihr Anbieter muss sich als lernfähig erweisen und in Sachen Sicherheitsbedrohungen auf dem jeweils neusten Stand sein. - 98. Wie werden Sie im Krisenfall informiert?
Treten Probleme auf, zählt jede Sekunde. Stellen Sie sicher, dass es vorkonfigurierte Kommunikationskanäle vom Anbieter zu verantwortlichen Stellen in Ihrem Unternehmen gibt. - 99. Welche Vorschriften und Methoden hat Ihr Anbieter eingerichtet, damit sein Management-Team und der Vorstand schnellstmöglich über interne Vorfälle und die allgemeine Sicherheitslage informiert werden?
Je mehr Feedback die Konzernspitze Ihres Anbieters über die eigene Sicherheitslage erhält, umso vertrauenswürdiger ist er. - 100. Erlaubt Ihr Anbieter seinen wichtigsten Anteilseignern und anderen externen Stellen ein Audit seiner Prozesse?
Je offener ein Anbieter für Untersuchungen und Expertisen von Dritten ist, desto wahrscheinlicher ist sein Unternehmen ein sicheres.
Zugriffskontrolle - "Deine, meine und unsere Daten"
Die Zugriffskontrolle stellt sicher, dass ausschließlich befugte Personen Zugriff auf personenbezogene Daten, Programme, und Dokumente erhalten. Die Berechtigung ergibt sich aus der Aufgabenzuweisung und der Organisation des Betriebes. Wichtig: Der Vorgesetzte eines befugten Mitarbeiters verfügt nicht automatisch über eine Zugriffsberechtigung. Ein unbefugtes Lesen, Kopieren, Verändern oder Löschen personenbezogener Daten während ihrer Verarbeitung, Nutzung oder Speicherung soll ausdrücklich verhindert werden.
Eine Zugriffsmatrix dokumentiert unter Zuhilfenahme eines Berechtigungskonzepts, welcher Mitarbeiter auf welche Daten und Programme Zugriff hat. Bei der Verwendung mobiler Datenträger und Endgeräte wie USB-Sticks, Notebooks oder Kameras verdient die Zugriffskontrolle erhöhte Aufmerksamkeit. Datensicherheit sollte hier auch durch den Einsatz eines entsprechenden Verschlüsselungsverfahrens sichergestellt werden. Maßnahmen der Zugriffskontrolle sind:
Erstellen eines Berechtigungskonzepts
Einrichten von Administratorenrechten
Verschlüsselung der Datenträger
Regelungen für den Gebrauch von mobilen Datenträgern und Endgeräten
Verschlüsselung des WLAN
Löschung wiederbeschreibbarer Datenträger und deren datenschutzkonforme Vernichtung
Letztendlich schließen Zutritts-, Zugangs- und Zugriffskontrolle jeweils nahtlos aneinander an. Im Einzelfall muss daher jedes Unternehmen prüfen, welche der einzelnen Maßnahmen zweckmäßig und umsetzbar sind. Nicht nur aufgrund der engen Begrifflichkeiten. Um kostspielige Missverständnisse in der Datensicherheit zu vermeiden, braucht es Sorgfalt und Expertise. Professioneller Datenschutz und Datensicherheit gehen Hand in Hand - zum Schutz vor Strafe und vor allem des eigenen Unternehmens. (bw)