Access Management
Identitätsdiebstahl schwer gemacht
Prävention
Wer den Schaden abwenden möchte, muss frühzeitig beginnen, ein Schutzpaket zu schnüren:
- Leitlinie zur Zugangskontrolle
Es sollte klar geregelt und protokolliert sein, wer welche Zugangsrechte hat. Das gilt sowohl für die logische als auch für die physische Form. Zugangsrechte sind dabei regelmäßig zu prüfen, insbesondere bei Personen mit privilegierten Zugangsrechten. - Mitarbeiterschulung (Security Awareness)
Security Awareness kann nicht nur gegen Außen- sondern auch gegen Innentäter funktionieren. Wichtig ist geschultes Personal, das die Awareness gewissenhaft vorlebt. - Netzwerksicherheits-Management
Datennetze sind angemessen zu verwalten und zu kontrollieren, damit Informationen geschützt sind und bleiben. Es ist es sinnvoll, ein eigenes Verfahren und speziell zuständiges Personal bereit zu stellen. Näheres zur Netzwerksicherheit lässt sich in der ISO/IEC 27033 nachlesen. Auch die neu überarbeitete ISO/IEC 27002 enthält weitere Informationen. - Informationssicherheit mit Externen
In der Zusammenarbeit mit Lieferanten, Partnern und Freiberuflern darf die Informationssicherheit nicht leiden - auch nicht, wenn die Kooperation beendet wird. Vertraulichkeitsvereinbarungen (NDA - "Non-disclosure agreement") über das Arbeitsverhältnis hinaus und Nachweise über die aktive Sicherheitskultur sollten obligatorisch sein. - Transparentes Risikomanagement
Je mehr ein Unternehmen seine Geschäftsprozesse nach außen verlagert, desto geringer ist der Einfluss auf die eigentliche Sicherheit selbst. Das muss nicht heißen, dass sich das Risiko erhöht. Dennoch ist die Frage der eigenen Risikoakzeptanz entscheidend. Denn auch Kooperationsverträge mit NDAs bieten nur einen passiven Schutz. Ähnlich ist es beim gewerblichen Rechtsschutz. Werden beispielsweise Patente rechtswidrig genutzt, lässt sich dagegen zwar juristisch vorgehen, ist über Landesgrenzen hinweg jedoch extrem komplex und langwierig. Es ist durchaus möglich, dass sich der Reputationsschaden bis zum Gerichtsentscheid höher als erwartet auswirkt. Daher kann eine ehrliche, wenngleich womöglich unangenehme Risikoanalyse zwar aufwändig, aber sehr sinnvoll sein. Mit ihr lassen sich Notfallpläne für realistische Schadensszenarien entwickeln und bei vorhandenen Ressourcen auch durchsetzen. Angenehmer Nebeneffekt: Zumindest in diesem Bereich wird ein <a href="http://www.computerwoche.de/a/business-continuity-management-sind-sie-auf-den-ernstfall-vorbereitet,2546356" target="_blank">Business Continuity Management</a> etabliert.
Fazit
Ein ganzheitliches Sicherheitskonzept wie die ISO 27001 ist bestimmt ein passender Schlüssel zum Schutz vor Identitätsdiebstahl und Datenmissbrauch. Unternehmen sollten sich trotzdem Gedanken über das Betriebsklima und eine eventuell hohe Personalfluktuation machen. Auf den ersten Blick sparen sie Geld, wenn sie kurzfristig beispielsweise Werkstudenten oder Praktikanten für kleinere (Sicherheits-)Projekte beauftragen. Möglicherweise machen diese auch einen guten Job. Jedoch gibt es auch eine Kehrseite der Medaille: Mit jedem Mitarbeiter, der das Unternehmen verlässt, geht ein Stück Know-how verloren, und das Risiko von Schäden durch die beschriebenen Angriffe steigt. Zudem freut sich das eigene Personal nicht gerade über eine hohen Fluktuation. Mitarbeiter spüren, wenn Unternehmen höhere Umsätze einer zufriedenen Belschaft vorziehen.
Um das Betriebsklima zu wahren, sollen Unternehmen alle Mitarbeiter wertschätzen, aktiv wahrnehmen und auf ihre Bedürfnisse eingehen. Erfahrungsgemäß gehen die Besten zuerst - und mit ihnen das wertvollste Wissen. Daher ist neben einem ganzheitlichen und individuell abgestimmten Sicherheitskonzept das Betriebsklima entscheidend. Berger macht deutlich: "Die härteste Realität in jedem Unternehmen ist nicht die ‚Hardware‘, sondern eine sehr spezielle Software: das, was die Mitarbeiter über ihr eigenes Unternehmen denken." Genau diese Gedanken entscheiden letztlich über ihre Handlungen. Dagegen können manchmal selbst die besten Schutzmaßnahmen nichts ausrichten. Nicht einmal die der NSA. So konnte es ein einziger Mann mit dem vielleicht mächtigsten Nachrichtendienst unseres Planeten aufnehmen. (sh)