Tipps für eine erfolgreiche IT Security Strategie

Diese Fragen sollten Sie sich stellen: 
Phase 1 – Strategie und Personalpolitik

Gibt es in Ihrem Unternehmen eine klare IT-Sicherheitspolitik, die den Mitarbeitern bekannt ist?

IT-Sicherheitsrichtlinien sind für den Erfolg eines jeden Unternehmens von zentraler Bedeutung. Sie sind das Rückgrat aller Abläufe/Verfahren und müssen mit dem Hauptauftrag des Unternehmens und seiner Verpflichtung zur Sicherheit übereinstimmen. Sie legen fest, welches Personal für welche Informationen im Unternehmen zuständig ist. Die Informationssicherheit basiert auf gut dokumentierten Richtlinien, die von allen Mitgliedern einer Organisation anerkannt und befolgt werden (müssen).

Umfassende Sicherheitsrichtlinien stellen sicher, dass:

  • die Informationssicherheit eingehalten wird
  • das Risiko gemindert wird, in einen Sicherheitsvorfall verwickelt zu werden
  • Mitarbeiter im Falle eines Vorfalles wissen, wie reagiert werden muss
  • das Unternehmen optimal auf ein Audit vorbereitet ist

Gibt es in Ihrem Unternehmen verbindliche Passwortrichtlinien?

Weshalb ist ein sicheres Passwort denn so wichtig?

Cyberkriminelle benutzen Tools um Passwörter zu knacken. Je häufiger und einfacher ein Passwort, desto kürzer die Zeit, es zu entschlüsseln. Viele Plattformen fordern deshalb von den Anwendern bereits ein achtstelliges Passwort. Die Praxis zeigt jedoch , dass bereits eine Erhöhung auf zwölf Stellen die Sicherheit massgeblich verbessert. Je vielfältiger die verwendeten Zeichen, desto länger dauert die Berechnung. Zum Knacken der Zeichenkombination qBza8l? Benötigt ein Algorithmus vermutlich weniger als 2 Stunden, während. das Entschlüsseln des Passwortes qBza8l?W2b: bereits 18’000 Jahre dauert, was spätestens bis zur Einführung von Quantencomputern ausreichen sollte.

Mehr dazu auch in unserem Blog-Artikel: https://www.entec.ch/blog/it-security-und-die-passwort-problematik

Trainieren und sensibilisieren Sie Ihre Mitarbeitenden?

Mit einer Phishings-Simulation proben Sie den Ernstfall

Die eigenen Mitarbeitenden sind nach wie vor das einfachste Ziel für Angreifer. Besonders Phishing-Attacken sind ein lukratives Geschäft für Cyberkriminelle. Das Angriffsvolumen hat in den letzten Jahren exponentiell zugenommen: 66% der Malware wird mittlerweile über schädliche E-Mail-Anhänge und komplexe Spear-Phishing Angriffe eingeschleust. Die durchschnittlichen Kosten, welche dabei für Unternehmen entstehen, belaufen sich auf rund 130'000 CHF pro Vorfall. Entsprechend geschulte und auf die Gefahren von Cyber-Angriffen sensibilisierte Mitarbeitende können jedoch durchaus als «menschliche Firewall» fungieren. Ein solides Awareness-Training darf deshalb in keiner fundierten IT Security Strategie fehlen.

«Entec Phishing as a Service» bildet verschiedene Phishing-Angriffe nach, damit Sie die Schwachpunkte in Ihrem Unternehmen identifizieren und Ihre Benutzer anschliessend in praxisrelevanten Trainings gezielt über die Gefahren von Phishing aufklären können. Mehr zu unserem Service unter: https://www.entec.ch/it-security/training/entec-phishing-as-a-service

Verfügen Sie über Vertraulichkeitsvereinbarungen für Auftragnehmer und Zulieferer?

Vertraulichkeitsvereinbarungen werden erstellt, um die Vertragsverhandlungen und die Projektdefinition nach aussen zu schützen und sie für den internen Informationsaustausch zu öffnen. In diesem Fall werden sie meist gemeinsam mit einer Absichtserklärung (Letter of Intent) abgeschlossen. Inhalt von Vertraulichkeitserklärungen können:

  • Prozesse des Informations- und Dokumentenmanagements
  • Regelungen über Nachweispflichten
  • Benennungen besonders schützenswerter Informationen
  • Benennung freier Informationen
  • Konventionalstrafen

und andere juristische Vereinbarungen sein.

Verfügt Ihr Unternehmen über eine Datenschutzpolitik?

Im Zuge der voranschreitenden Digitalisierung und Globalisierung werden immer grössere Datenmengen angehäuft. Datenschutz gewinnt folglich zunehmend an Relevanz, birgt aber auch große Herausforderungen.

Für die Bearbeitung von personenbezogenen Daten braucht es eine Rechtsgrundlage, sei es in Form einer schriftlichen Einwilligung, der betroffenen Person oder aber in Form von gesetzlichen Bestimmungen. Sinn und Zweck sind nicht der Schutz der Daten, sondern „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) ist seit dem 25. Mai 2018 in Kraft. Mit den neuen Bestimmungen erhalten Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten. Zudem nimmt die DSGVO die Unternehmen vermehrt in die Verantwortung, während gleichzeitig ihre Meldepflichten abgebaut werden. Des Weiteren wird die Rolle der Datenschutzbehörden gestärkt. Zahlreiche Schweizer KMUs könnten von der Datenschutz-Grundverordnung direkt betroffen sein. Die DSGVO macht auch vor kleinen und mittelständischen KMUs keinen halt – ungeachtet der Grösse und der jährlichen Umsätze, stehen alle Unternehmen in der Pflicht, umfangreiche Massnahmen zu ergreifen, um personenbezogene Daten zu schützen und den betroffenen Personen mehr Kontrolle über ihre persönlichen Daten zu gewähren.

Konsequenzen

Die zuständigen Aufsichtsbehörden müssen jeweils sicherstellen, dass die für Verstösse gegen die DSGVO verhängten Sanktionen wirksam, verhältnismässig und abschreckend sind. Auch sieht die Verordnung eine ganze Reihe von abschreckenden Massnahmen vor:

  • z. B. Mahnungen
  • Verwarnungen
  • förmliche Bekanntmachungen
  • vorübergehende oder dauerhafte Beschränkungen der Bearbeitung

Unter all diesen Instrumenten müssen die Datenschutzbehörden dasjenige auswählen, das dem Ziel der Einhaltung der Vorschriften am besten gerecht wird. Als letztes Mittel können Verantwortliche mit Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Jahresumsatzes belegt werden.  

 

Coming soon:
Phase 2 – Datensicherung 

Bei Fragen rund um die IT Sicherheit stehen Ihnen unsere Spezialisten gerne zur Verfügung. Wir freuen uns über Ihre unverbindliche Kontaktaufnahme.