IT-Grundschutz

Es ist festzulegen, welche Reaktion auf Verletzungen der Sicherheitspolitik erfolgen soll, um eine klare und sofortige Reaktion gewährleisten zu können.

IT-Sicherheit ist ein laufender Geschäftsprozess. Zur Sicherstellung des Prozesses müssen Risiken abgeschätzt und bewertet sein.

Übergreifende Regelungen (auch mündliche und gelebte Regelungen) zur "IT-Sicherheit" müssen für einen geregelten Ablauf festgelegt sein.

Regelungen müssen zur Einhaltung und Information schriftlich festgehalten werden. Diese Dokumentation muss den Anforderungen genügen und aktuell (nicht älter als 2 Jahre) sein.

Sämtliche Regelungen und Dokumente, die organisatorische oder technische Aspekte abhandeln, die für die Mitarbeiter von Bedeutung sind, sind in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen. Dies trifft jedoch nicht auf technische Einstellungen oder ähnliches zu !

Um Unzulänglichkeiten zu finden und die IT-Sicherheit den gegebenen Anforderungen anzupassen müssen Regelungen, Dokumente und die Auswirkung im Geschäftsbetrieb regelmässig (alle 2-5 Jahre) überprüft werden (Audit).

Beschaffung und Verwaltung (Inventar) von Hard- und Software (=Betriebsmittel) stellen eine wichtige Grundlage zur Einhaltung der IT-Sicherheit dar.

Der richtige produktive Einsatz von Hard- und Software (=Betriebsmittel) ist für die Einhaltung der IT-Sicherheit erforderlich.

Datenträger (Festplatte, Band, CD, DVD, Diskette, USB-Stick, usw.) sind für Speicherung, Austausch, usw. von Daten / Informationen erforderlich. Der Umgang mit Datenträgern muss angemessen und verantwortungsvoll erfolgen.

Betriebsmittel, die schützenswerte Daten enthalten (Festplatten , Bänder, CD's, DVD's, Disketten, Papier ) und nicht mehr gebraucht werden oder aufgrund eines Defektes ausgesondert werden sollen, sind so zu entsorgen, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind.

Für Wartungs- und Reparaturarbeiten (intern, extern, Fernwartung), insbesondere wenn sie durch Externe durchgeführt werden, sind Regelungen über deren Beaufsichtigung zu treffen.

Die von dem Unternehmen bzw. der Institution im Zusammenhang mit dem IT-Einsatz wahrzunehmenden Funktionen/Aufgaben sind festzulegen. Ausführende Funktionen und kontrollierende Funktionen sollten nicht von derselben Person wahrgenommen werden.

Vor der Vergabe von Zutrittsberechtigungen für Personen sind die schutzbedürftigen Räume eines Gebäudes zu bestimmen, z. B. Büro, Serverraum, Rechenzentrum. Es ist festzulegen, welche Person zur Ausübung der wahrgenommenen Funktion welches Zutrittsrecht benötigt. Dabei ist die vorher erarbeitete Funktionstrennung zu beachten. Unnötige Zutrittsrechte sind zu vermeiden.

Zugangsberechtigungen erlauben der betroffenen Person, bestimmte IT-Systeme bzw. System-Komponenten und Netze zu nutzen. Dies ist für jede nutzungsberechtigte Person aufgrund ihrer Funktion, unter Beachtung der Funktionstrennung, im einzelnen festzulegen.

Über Zugriffsrechte wird geregelt welche Person, im Rahmen ihrer Funktion, IT-Anwendungen oder Daten nutzen darf. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT-Systems.

Werden in einem IT-System Passwörter zur Authentisierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass das Passwort korrekt gebraucht wird. Dafür ist es empfehlenswert, eine Regelung zum Passwortgebrauch einzuführen und den IT-Benutzer diesbezüglich zu unterweisen.

Die Entwicklung und Freigabe von Software und deren Einsatz birgt ein hohes Risiko und muss sorgfältig erfolgen. Für eine detaillierte Untersuchung steht die Checkliste "Applikationssicherheit" zur Verfügung.

Der Einsatz von IT-Systemen erfordert eine umfassende Betreuung der IT-Benutzer. Neben der Schulung, die die IT-Benutzer in die Lage versetzt, die eingesetzte Informationstechnik sachgerecht einzusetzen, bedarf es einer Betreuung und Beratung der IT-Benutzer für die im laufenden Betrieb auftretenden Probleme.

Jeder Mitarbeiter sollte dazu angehalten werden, seinen Arbeitsplatz "aufgeräumt" zu hinterlassen. Ein IT-Benutzer hat dafür Sorge zu tragen, dass bei Verlassen seines Arbeitsplatzes entsprechende Vorkehrungen getroffen sind, dass Unbefugte keinen Zugang zu IT-Anwendungen oder Zugriff auf Daten erhalten.

IT-Mitarbeiter oder der Aussendienst arbeiten häufig von zu Hause aus. Seit Beginn der Pandemie Covid-19 im Jahr 2020 sind auch "normale" Arbeitsplätze sehr stark von Home Office betroffen. Sensible Firmendaten müssen auch im privaten Zuhause der Mitarbeitenden besonders geschützt sein.

Computerviren gehören zu den häufigsten Schadensereignissen.

Datensicherung ist eine wichtige IT-Sicherheitsmassnahme.

In der Notfallvorsorge sind alle Massnahmen, die nach Eintritt eines notfallauslösenden Ereignisses zu ergreifen sind, und alle dazu erforderlichen Informationen zu dokumentieren. Das Notfall-Handbuch ist so zu gestalten, dass ein sachverständiger Dritter in der Lage ist, die im Handbuch spezifizierten Notfallmassnahmen durchzuführen.

Business Continuity bedeutet, dass der Geschäftsbetrieb auch in Krisensituationen aufrecht erhalten werden kann. Dies bedeutet eine Erweiterung der Notfallvorsorge.

In diesen Bereich fallen bauliche, räumliche und sonstige physikalische Sicherheitsmassnahmen. Beispiele sind Zutritt zu Verteilern, Brandabschottung bei Trassen, Anordnung von schützenswerten Gebäudeteilen, usw. Diese Massnahmen sind Teil eines umfassenden Sicherheitskonzeptes und bedürfen ggf. einer besonderen Aufmerksamkeit.