Informationsmanagement

Informationen sind ein wesentlicher Wert
für Unternehmen und Behörden und müssen
daher angemessen geschützt werden.

Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann. Dabei ist ein vernünftiger Informationsschutz ebenso wie eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen.

Mit dem richtigen Sicherheitskonzept können Sie ein solides Fundament für ein vertrauenswürdiges Niveau Ihrer Informationssicherheit legen. Dieser Leitfaden hilft Ihnen dabei: In kompakter Form finden Sie einen Überblick über die wichtigsten Sicherheitsmaßnahmen. Praxisbeispiele machen auf Gefahren aufmerksam und veranschaulichen die notwendigen organisatorischen, infrastrukturellen und technischen Maßnahmen. Checklisten unterstützen Sie bei der Analyse der eigenen Situation. Damit steht fest:

Der Weg zu mehr Sicherheit ist auch ohne große IT-Budgets möglich.

Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI):

Eine weit verbreitete Ansicht ist, dass Sicherheitsmaßnahmen zwangsläufig mit hohen Investitionen in Sicherheitstechnik und der Beschäftigung von hochqualifiziertem Personal verknüpft sind. Dem ist jedoch nicht so. Die wichtigsten Erfolgsfaktoren sind ein gesunder Menschenverstand, durchdachte organisatorische Regelungen sowie zuverlässige und gut informierte Mitarbeiter, die selbständig Sicherheitserfordernisse diszipliniert und routiniert beachten. Die Erstellung und Umsetzung eines wirksamen und effektiven Informationssicherheitskonzeptes muss darum nicht zwangsläufig unbezahlbar sein. Die wirksamsten Maßnahmen sind überraschend simpel und noch dazu oft kostenlos!

Eine andere weit verbreitete
Fehleinschätzung betrifft den
eigenen Schutzbedarf. Oft stößt
man auf die folgenden Aussagen:

Eine andere weit verbreitete Fehleinschätzung betrifft den eigenen Schutzbedarf. Oft stößt man auf die folgenden Aussagen:

„Bei uns ist noch nie etwas passiert.“

Diese Aussage ist mutig. Vielleicht hat bei früheren Sicherheitsvorfällen niemand etwas bemerkt!

„Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht.“

Diese Einschätzung ist in den meisten Fällen zu oberflächlich. Bei sorgfältiger Betrachtung von möglichen Schadensszenarien zeigt sich schnell: Es können durchaus Daten verarbeitet werden, die vielfältigen Missbrauch ermöglichen, wenn sie in die falschen Hände fallen.

„Unser Netz ist sicher.“

Die Fähigkeiten potentieller Angreifer werden oft unterschätzt. Hinzu kommt, dass selbst ein erfahrener Netz- oder Sicherheitsspezialist nicht alles wissen und gelegentlich Fehler machen kann. Externe Überprüfungen decken nahezu immer ernste Schwachstellen auf und sind ein guter Schutz vor „Betriebsblindheit“.

„Unsere Mitarbeiter sind vertrauenswürdig.“

Verschiedene Statistiken zeichnen ein anderes Bild: Die Mehrzahl der Sicherheitsverstöße wird durch Innentäter verursacht. Dabei muss nicht immer Vorsatz im Spiel sein. Auch durch Versehen, Übereifer oder Neugierde gepaart mit mangelndem Problembewusstsein entstehen manchmal große Schäden.

Jeder sollte sich bewusst machen: Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess. Stellen Sie sich daher immer wieder die folgenden Fragen:

Jeder sollte sich bewusst machen: Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess. Stellen Sie sich daher immer wieder die folgenden Fragen:

Was würde geschehen, wenn in Ihrer Organisation wichtige Computer oder andere IT-Komponenten plötzlich ausfielen und einen längeren Zeitraum (Tage, Wochen, …) nicht mehr nutzbar wären? Könnte die Arbeit fortgesetzt werden? Wie hoch wäre der mögliche Schaden?

Welche Formen von Missbrauch wären möglich, wenn vertrauliche Informationen Ihres Unternehmens oder Ihrer Behörde in die Hände Dritter gelangten?

Welche Formen von Missbrauch wären möglich, wenn vertrauliche Informationen Ihres Unternehmens oder Ihrer Behörde in die Hände Dritter gelangten?