1. Home
  2. /
  3. Sicherheit

Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann.

Michael Hange – Präsident des Bundesamtes für Sicherheit in der Informationstechnik

Da wir die Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik vollständig teilen, haben wir uns intensiv mit dem Thema auseinandergesetzt. Im Ergebnis haben wir entsprechende Regelungen zum Schutz unserer Mandantendaten getroffen. Hardware- und softwareseitig setzen wir die neusten Sicherungssysteme, wie Verschlüsselungstechnologien und Virenscanner ein. Da die Daten unserer Kunden das höchste Gut sind, arbeiten wir ausschließlich mit einem zertifizierten Rechenzentrum in Deutschland zusammen. Wir garantieren daher, dass alle Kundendaten dem deutschen Datenschutz unterliegen. Weiterhin arbeiten wir in unseren Anwendungen mit gesicherten Zugangsdaten und schulen unsere Mitarbeiter regelmäßig. Unsere aufbau- und ablauforganisatorischen Regelungen begrenzen den Datenzugriff von Mitarbeitern und Mandanten auf das Notwendige.

Die gesamten Sicherungsvorkehrungen haben wir in unserer IT-Sicherheitsstrategie zusammengefasst, die wir Ihnen an dieser Stelle in Auszügen darstellen wollen:

1. Informationssicherheitsaspekte werden bei allen Projekten frühzeitig und ausreichend berücksichtigt
Eine große Programmvielfalt mit hoher Funktionalität, bequemer Bedienung, niedrigen Anschaffungs- und Betriebskosten sowie Informationssicherheit stehen fast immer in Konkurrenz zueinander. Daher binden wir den Informationssicherheitsaspekt schon zu Beginn eines Projektes mit ein.

2. Informationssicherheitsziele werden festgelegt, damit angemessene Maßnahmen definiert werden können
Dazu führen wir eine „Schutzbedarfsfeststellung“ als Bestandteil jeder Sicherheitsanalyse durch. Sie soll sicherstellen, dass die definierten Schutzziele und die hieraus abgeleiteten Sicherheitsmaßnahmen angemessen sind und den individuellen Gegebenheiten entsprechen. Da sich Rahmenbedingungen im Laufe der Zeit ändern können, überprüfen wir regelmäßig die Einstufung des Schutzbedarfs.

3. Zu jedem vorhandenen Sicherheitsziel und jeder zugehörigen Maßnahme sind geeignete Regelungen zu treffen
Die meisten, mit Informationssicherheit assoziierten Aufgaben müssen regelmäßig wiederholt und neu durchlaufen werden. Jede identifizierte Maßnahme wird dahingehend untersucht, ob sie nur ein einziges Mal oder regelmäßig ausgeführt werden muss.

4. Zuständigkeiten sind festzulegen
Für jede identifizierte Aufgabe wurde festgelegt, wer für die Durchführung verantwortlich ist. Ebenso ist für alle allgemein formulierten Sicherheitsrichtlinien genau festgelegt, für welchen Personenkreis diese verbindlich sind.

5. Bestehende Richtlinien und Zuständigkeiten sind bekannt
Es ist sichergestellt, dass alle Mitarbeiter die Unternehmensrichtlinien – in ihrer aktuellen Fassung – kennen.

6. Die Informationssicherheit wird regelmäßig überprüft
Das Niveau der Informationssicherheit wird regelmäßig bewertet und kontrolliert.

7. Vorhandene Schutzmechanismen werden genutzt
Viele Programme, die in einem gewöhnlichen Client-Server-basierten Netz zur Bürokommunikation genutzt werden, verfügen inzwischen über eine Vielzahl hervorragender Schutzmechanismen. Die vom Hersteller implementierten Sicherheitsfunktionen und -mechanismen werden daher analysiert und eingesetzt.

8. Viren-Schutzprogramme sind flächendeckend einzusetzen
Aktuelle Viren-Schutzprogramme sind unverzichtbar. Schadsoftware kann über Datenträger oder über Netze (Internet, Intranet) verbreitet werden. E-Mails und jegliche Kommunikation über das Internet sind zentral auf Viren zu untersuchen. Zusätzlich ist jeder Computer mit einem Viren-Schutzprogramm ausgestattet, das ständig (resident) im Hintergrund läuft.

9. Datenzugriffsmöglichkeiten sind auf das erforderliche Mindestmaß beschränkt
Jeder Benutzer (und auch jeder Administrator) darf nur auf die Datenbestände zugreifen und die Programme ausführen dürfen, die er für seine tägliche Arbeit auch wirklich benötigt. Erforderliche Berechtigungen werden in passenden Berechtigungsprofilen zusammengefasst.

10. Ausführliche Installations- und Systemdokumentationen sollen vorliegen
Die Systemdokumentation muss auch von Dritten nachvollzogen und verstanden werden können. Dadurch werden Ausfallrisiken reduziert, wenn der hauptamtliche Administrator plötzlich nicht mehr zur Verfügung stehen sollte. Im Fall eines erfolgten Hackereinbruchs können zudem unbefugte Veränderungen am System schneller identifiziert werden.

11. Zum Schutz von Netzen wird eine Firewall verwendet
Kein Computer, der geschäftsmäßig genutzt wird, darf ohne Schutz durch eine geeignete Firewall mit dem Internet verbunden werden! Weitere Regelungen sind im Firewallkonzept dargelegt.

12. Nach außen angebotene Daten sind auf das erforderliche Mindestmaß zu beschränken
Zahlreiche sensitive Informationen werden für berechtigte Benutzer auch über offene Netze bereitgestellt. Vertrauliche Daten sind damit von außen zugreifbar. Ihr Schutz hängt ausschließlich von zuverlässigen Authentisierungs- und Autorisierungsmechanismen ab. Es sollte im Einzelfall stets geprüft werden, ob schutzbedürftige Daten überhaupt außerhalb des eigenen, gut geschützten Netzes bereitgestellt und verarbeitet werden müssen.

13. Beim Umgang mit Web-Browsern ist besondere Vorsicht geboten
Im Web-Browser sollten nur die aktiven Inhalte bzw. Skriptsprachen und Multimedia-PlugIns zugelassen werden, die für die Arbeit wirklich unverzichtbar sind. Besonders riskante Skriptsprachen sollten in jedem Fall deaktiviert werden.

14. Bei E-Mail-Anhängen ist besondere Vorsicht notwendig
Kein Anwender darf solche Anhänge arglos ohne Überprüfung öffnen. Die Verwendung eines Viren-Schutzprogramms ist Pflicht!

15. Am Arbeitsplatz sollte Ordnung herrschen und sensitive Informationen nicht frei zugänglich sein
Vertrauliche Akten müssen bei Verlassen des Arbeitsplatzes im Schrank oder Safe verschlossen werden. Datenträger dürfen nie offen herumliegen, wenn sich vertrauliches Material darauf befindet. Im Bedarfsfall sollten sie sachgerecht entsorgt werden, um unbefugtes Rekonstruieren zu verhindern. Vertrauliche Ausdrucke gehören in den Datenvernichter.

16. Mitarbeiter werden regelmäßig geschult
Besonders für Administratoren und Informationssicherheitsverantwortliche sind regelmäßige Weiterbildungen unverzichtbar.

17. Konsequenzen für Sicherheitsverstöße sind festgelegt
Allen Mitarbeitern ist bewusst, dass die (absichtliche oder versehentliche) Missachtung von Sicherheitsvorgaben Konsequenzen nach sich zieht.

18. Sicherheits-Updates müssen regelmäßig eingespielt werden
Höchste Priorität bei Sicherheits-Updates haben angesichts der sich manchmal rasend schnell ausbreitenden neuen Viren die Virenschutzprogramme.

19. Softwareänderungen werden getestet
Jede Softwareänderung an Produktivsystemen wird zuvor ausgiebig in einer Testumgebung überprüft.

20. Es werden gut gewählte (sichere) Passwörter eingesetzt
Das Passwort muss länger als sieben Zeichen sein, nicht in Wörterbüchern vorkommen, nicht aus Namen bestehen und auch Sonderzeichen oder Ziffern enthalten.

21. Sensitive Daten und Systeme müssen geschützt werden
Der Einsatz einer Verschlüsselungssoftware für vertrauliche Dateien ist umgesetzt.

22. Schutz vor Katastrophen und Elementarschäden
Notfallpläne sind jedem Mitarbeiter bekannt. Wenn das Bürogebäude abbrennt, ein erheblicher Teil der Mitarbeiter durch eine Grippewelle ausfällt, ein Zulieferer oder Dienstleister infolge einer Insolvenz ausfällt, oder auch nur ein Datenserver streikt, der Drucker nicht mehr druckt, der Strom ausfällt, das Netz von einem Virus befallen wurde oder Daten versehentlich gelöscht wurden, sollte jeder Mitarbeiter wissen, was zu tun ist.

23. Alle wichtigen Daten werden regelmäßig gesichert
Alle relevanten Daten sind vom eingerichteten Backup erfasst. Es wird regelmäßig verifiziert, dass das Backup auch tatsächlich funktioniert und die Daten wieder erfolgreich eingespielt werden können. Der Aufbewahrungsort der Backup-Medien ist hinreichend gegen Elementarschäden wie Feuer, Wasser und Ähnliches geschützt.

24. IT-Systeme müssen angemessen gegen Feuer, Überhitzung, Wasserschäden und Stromausfall geschützt sein
Besonders wichtige IT-Komponenten (Server, Sicherungsmedien, Router etc.) sind in ausreichend geschützten Räumen untergebracht (Rechenzentrum). Zusätzlich sind sie an eine unterbrechungsfreie Stromversorgung mit Überspannungsschutz angeschlossen.

25. Maßnahmen zum Zutrittsschutz und zum Schutz vor Einbrechern
Besonders Server oder Rechner, mit denen auf sensitive Daten zugegriffen wird sind so aufgestellt, dass Fremde sich nicht unbemerkt an ihnen zu schaffen machen können (Zutrittskontrolle Rechenzentrum).

Quelle: Leitfaden Informationssicherheit – Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Kontakt