Alle Kategorien:
  E V T Z Allgemein
 EVTZ-Datenbank
  E V T Z Dokumente
 Kommentare
 Literaturdatenbank
  E V T Z Praxis
 Rechtsprechungsdatenbank
 Rechtsvorschriften
  Kooperationsinstrumente
 Startseite

Version [4117]

Dies ist eine alte Version von erdaxoITsecurityGuide erstellt von ErdaxoAdmin am 2022-08-09 23:07:40.

 

Inhaltsverzeichnis des Artikels

erdaxo IT-Security-Guide

ausgewählte Hinweise für unsere Kunden

Ein Konzept bzw. System für die IT-Sicherheit einer Organisation muss entsprechend den individuellen Bedürfnissen dieser Organisation vorbereitet und umgesetzt werden. Dennoch werden zahlreiche Maßnahmen in den meisten Szenarien und Umgebungen benötigt.

Deshalb dokumentieren wir an dieser Stelle, welche Schritte und Maßnahmen wir häufig in unseren IT-Sicherheitskonzepten empfehlen. Wir stellen sie in praktischen Kontext eines funktionierenden Sicherheitssystems und versuchen ihre systematische Darstellung.

Die Maßnahmen zur Sicherstellung der IT-Sicherheit teilen wir dabei in folgende Kategorien ein:

A. Rechtsrahmen
B. Organisation
C. Personal
D. Infrastruktur
E. Technik

Während sich ein oberflächlicher Umgang dadurch auszeichnet, dass sich alle Maßnahmen lediglich auf die Technik konzentrieren


A. Rechtsrahmen
Eine der zentralen Säulen des IT-Sicherheitsmanagements sind gute rechtliche Rahmenbedingungen. Auf den ersten Blick scheint der Zusammenhang zwischen juristischer Vorbereitung und Sicherheit in der Informationstechnik nicht wichtig zu sein. Je nach genutzter IT-Infrastruktur sind rechtliche Regeln von herausragender Bedeutung. Deshalb sollten Sie stets sicherstellen:
  • dass die Pflichten Ihrer Mitarbeiter im Hinblick auf IT-Sicherheit hinreichend in Arbeitsverträgen oder Betriebsvereinbarungen geregelt sind,
  • sofern Sie gezwungen sind, im IT-Bereich auf externe Dienstleister zurückzugreifen, ihre Haftung sowie Pflichten klar und hinreichend sanktioniert festgelegt sind,
  • falls Sie keinen Zugriff auf interne Mitarbeiter haben, die einen Notfall beseitigen könnten, sollten Sie entsprechende Vereinbarungen mit einem Dienstleister haben, in deren Rahmen Unterstützung garantiert wird,
  • bei jeglichen Verträgen über Technik (Hardware, Software usw.) sollten Sie vertraglich sicherstellen, dass die Verfügbarkeit eingesetzter Systeme gewährleistet ist (service level agreements) oder dass Sie kontinuierlich mit Sicherheitsupdates versorgt werden; optimalerweise ist diese Pflicht ihren Mitarbeitern oder Dienstleistern verbindlich übertragen worden,
  • sofern Sie personenbezogene Daten verarbeiten (und das tun Sie in der Regel), sollten Sie sicherstellen, dass dies rechtskonform und rechtssicher erfolgt.
Dies sind nur die wichtigsten, sicherheitsrelevanten rechtlichen Aspekte des IT-Betriebes. Techniker verschweigen Ihnen des öfteren die notwendigen Schritte, weil sie natürlich ungern zugeben wollen, dass ihre Dienstleistung auch rechtlich kontrolliert werden sollte. Dies ist bei erdaxo komplett anders: in unserem Team können Sie nicht nur auf technischer Expertise aufbauen - in unserem Team finden Sie Juristen, Vertragsfachleute und Datenschutzrecht-Spezialisten. Deshalb kommt bei uns auch dieser Bereich nicht zu kurz.

B. Organisation
Die Unternehmensorganisation hat enormen Einfluss auf IT-Sicherheit. Eine der Schlüsselfragen ist dabei - so unsere Auffassung - die Entscheidung zwischen interner Pflege der IT-Infrastruktur und dem Outsourcing. Und auch, wenn wir dadurch den Markt für unsere Dienstleistungen verringern und die Abhängigkeit des Kunden von uns deutlich verringern: wir empfehlen Ihnen nicht, IT-Dienste möglichst kostengünstig (auch bei uns möglich!) an externe Anbieter zu beauftragen. Kompetentes IT-Personal ist unserer Meinung nach eines der Schlüssel zum erfolgreichen Unternehmensbetrieb in naher und ferner Zukunft.

Aber auch zahlreiche weitere Fragen der Unternehmensorganisation haben Einfluss auf die IT-Sicherheit. Gern helfen wir Ihnen dabei, die für Sie optimalen Entscheidungen zu treffen:
  • welche Struktur IT-Systeme im Kontext der Belegschaft haben sollten,
  • wie die Verantwortung im Detail zu verteilen ist,
  • welche sonstigen organisatorischen Maßnahmen sinnvoll sind.

C. Personal
Im Hinblick auf Ihre Mitarbeiter setzt sich die oben genannte These fort: kompetentes Personal - auch im Hinblick auf Informationstechnologien - ist der Schlüssel zum Erfolg. Wir empfehlen, dem Personal Möglichkeiten zur Fortbildung zur Verfügung zu stellen und auch im Hinblick auf IT-Sicherheit zur Steigerung der Kompetenzen zu motivieren. Beinahe in jedem Unternehmen überwiegen heutzutage sog. Wissensarbeiter, die auf eine ganz besondere Weise zu begleiten sind.
Auch diesbezüglich können Sie bei erdaxo kompetente Beratung erwarten: wir haben auch Experten für das persönliche sowie organisatorische Wissensmanagement!

D. Infrastruktur

E. Technik
Auf die Technik wird im Bereich der Datenverarbeitung meist der größte Schwerpunkt gelegt, wenn es um die Sicherheit der Systeme geht. Auch wenn wir mit der Darstellung oben zeigen wollten, wie wichtig es ist, eine ganzheitliche Betrachtung der Thematik zu pflegen, müssen wir zugeben, dass auch im technischen Bereich zahlreiche Maßnahmen bzw. Vorgehensweisen für die IT-Sicherheit entscheidend sein können. Auch in diesem Bereich können wir Ihnen zahlreiche, wertvolle Hinweise geben. An dieser Stelle sind insbesondere folgende Punkte empfehlenswert:

1. Professionelle Technik
2. Was tun, wenn das Budget begrenzt ist?
3. Wo sind optimale, qualitativ hochwertige Softwarelösungen zu finden?


1. Konkrete Produkte

a. Muss es das Neueste sein?
Hören Sie nicht auf den 0815-Anbieter - er will zunächst nur eins: Ihr Geld! Was fehlt: Problemlösung!

b. Erstaunlich: was nichts kostet... ist mehr wert?
Ja, das alte Sprichwort steht in der IT Kopf!

Warum? Der Nutzen, der Mehrwert, die Qualität insbesondere der Software leiden extrem aus nur einem Grund: sie sind nur Teil eines Geschäftsmodells - die Lösung des Problems des Kunden ist absolute Nebensache!

c. Deshalb: Open Source!
Es ist nicht DIE Lösung - aber Teil der Lösung.
Beispiel: opencode.de. Warum kennen wir es nicht: na ja, wenn ein Projekt (zum Beispiel) nicht aus Marketinggründen existiert, sondern weil Dienstleister im Rahmen seiner Arbeit ein Werkzeug zur Problemlösung produziert hat, dann investiert dieser Dienstleister nicht noch Aufwand für Marketing, weil er nichts verkaufen will bzw. muss.

F. Layout, Material, Begleitinfos
Linux + FreeBSD mit Maskottchen!

Programming OSS U R communist!

Wie viele Schritte braucht man um ... Windows vs. UNIX?




Material sonst:






Dann Link auf unsere Erfahrungen: erdaxoITgegenGefahren



In diesem Artikel werden wir Berichte über von uns betreute oder in den Medien vorgestellte Vorfälle sammeln und auswerten. Wir versuchen damit, unseren Kunden zu zeigen, welche Fehler in der IT gemacht werden und wie sich diese vermeiden lassen.

Die ersten Vorfälle, über die wir hier berichten möchten

A. Angriff mit der ouroboros/Lazarus+-Ransomware bei einem Freiberufler
B. Angriff durch emotet auf das Kammergericht Berlin


G. ouroboros/Lazarus+ bei einem Freiberufler in Nordbayern
Im Herbst 2019 haben wurden wir durch einen freiberuflich tätigen Kunden gebeten, in seinem Unternehmen (ca. 10 Computer-Arbeitsplätze + zentraler Datenbestand auf einem Server mit Branchensoftware) bei der Bewältigung einer Ransomware-Attacke mit anschließender Komplettverschlüsselung aller Daten zu unterstützen, nachdem zahlreiche andere Anbieter sowie Kriminalpolizei keine Hilfe bieten konnten.


H. emotet beim Kammergericht Berlin
Im Herbst 2020 legt ein Schadsoftware-Befall das Kammergericht Berlin lahm. Wir versuchen den Angriff zu rekonstruieren und die Sollbruchstellen zu ermitteln.
Auf dieser Seite sind keine Kommentare vorhanden