Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

19.11.1993

16 goldene Sicherheitsregeln Massnahmen basieren auf Vertrauen und Kontrolle

Von Professor Hartmut Pohl, SDL-Sicherheitsdienstleistungen GmbH, Koeln, und Dr. Gerhard Weck, Infodas GmbH, Koeln

1. Zutrittskontrolle: Kontrollieren Sie den Zugang Berechtigter und verhindern Sie den Zugang unberechtigter Mitarbeiter und Betriebsfremder zu allen Raeumen und PCs und zu den Netzwerkraeumen.

2. Schutz vor Diebstahl, Sabotage und Beschaedigungen: Schuetzen Sie die PCs, alle zugehoerigen Komponenten sowie die Kabel des Netzwerks gegen hoehere Gewalt (zum Beispiel mit Hilfe einer Notstromversorgung), versehentliche und beabsichtigte Beschaedigungen und gegen Diebstahl.

3. Schutz der Datentraeger: Sichern Sie alle Datentraeger gegen Entwendung und Diebstahl durch Markierung, Erfassung, Kontrolle und Lagerung in zentralen Archiven.

4. Kontrolle des Geraetebestands: Kontrollieren Sie die - moeglichst zentralisierte - Beschaffung der Geraete und der Zusatzkomponenten. Legen Sie die Standardkonfiguration fest. Ueberwachen Sie den Bestand an Geraeten und ueberpruefen Sie die Konfigurationen auf eigenmaechtige Aenderungen. Verhindern Sie das Mitbringen und die Nutzung anderer - auch privater - Geraete oder Komponenten.

5. Kontrolle des Softwarebestandes: Implementieren Sie nur Software, deren Herkunft Ihnen genau bekannt ist und zu deren Ersteller Sie Vertrauen haben. Verhindern Sie das Mitbringen anderer - auch privater - Programme.

6. Zugriffskontrolle: Legen Sie in einem Zugriffskontrollsystem detailliert fest, welche Mitarbeiter - entsprechend ihren Aufgaben - auf welche Daten, Programme und peripheren Geraete wie Disketten, Laufwerke, Platten, Server und Drucker zugreifen koennen sollen.

Identifizierung: Die berechtigten Benutzer sollen sich durch eine Se-curity-Card oder aehnliches gegenueber dem Computer identifizieren.

Authentifizierung: Fuehren Sie Passworte ein, die nicht erraten werden koennen, und erzwingen Sie einen haeufigen Wechsel.

Temporaerer Schutz: Bei Verlassen des Raumes sollte Tastatur und Bildschirm gesperrt werden. Das gleiche gilt bei Betreten des Raums durch Betriebsfremde.

7. Nachweisfuehrung: Protokollieren Sie alle Aktivitaeten auf PCs und Netzwerken und werten Sie die Protokolle unter Sicherheitsaspekten aus. Kontrollieren Sie unter anderem die Passwortnutzung (Laenge, Wechsel etc.).

8. Verschluesselung: Verschluesseln Sie alle wertvollen Daten auf Datentraegern.

9. Besonderer Schutz: Schuetzen Sie die Computer mit den wertvollsten Daten Ihres Unternehmens durch besonders intensive Massnahmen gegen Verlust und Manipulation.

10.Sicherheitsbeauftragter: Uebertragen Sie einem besonders erfahrenen und vertrauenswuerdigen Mitarbeiter die Funktion des Datensicherheitsbeauftragten.

11. Sicherheitsanalyse: Fuehren Sie bei umfangreichen Anwendungen, sehr vielen PCs, Netzwerken, beim Anschluss an mittlere oder Grosscomputer und beim Anschluss an oeffentliche und offene Netze eine Sicherheitsanalyse durch. Lassen Sie sich gegebenenfalls von Spezialisten beraten.

12. Sicherheitsstrategie: Lassen Sie vom Sicherheitsbeauftragten eine unternehmensuebergreifende Sicherheitsstrategie mit speziellen Sicherheitskonzepten fuer die verschiedenen Fachbereiche und Abteilungen zusammen mit allen notwendigen Sicherheitsmassnahmen formulieren.

13. Untersuchung von Sicherheitsproblemen: Lassen Sie sich ueber alle Unregelmaessigkeiten, Hinweise auf Sabotageversuche oder Wirtschaftsspionage informieren und lassen Sie diesen Hinweisen (unauffaellig) nachgehen.

14. Beratung der Anwender: Offerieren Sie allen Mitarbeitern im Unternehmen zentral eine Beratung bei jeglichen Problemen, entwickeln Sie organisatorische Verfahren zur Behebung von Fehlern und bieten Sie Verfahren zur Erkennung und Ausmerzung von Viren, Wuermern etc. an sowie zur Rekonstruktion von Dateien bei Beschaedigung oder Verlust.

15. Mitbestimmung: Beteiligen Sie grundsaetzlich die Mitarbeitervertretung (Betriebsrat) an allen Sicherheitsueberlegungen. Der Schutz vor Wirtschaftsspionage und Sabotage hilft, die Arbeitsplaetze Ihres Unternehmens zu sichern.

16. Berater: Ziehen Sie - insbesondere bei der Einfuehrung neuer Sicherheitsmassnahmen sowie bei sicherheitsrelevanten Vorfaellen - einen einschlaegig ausgewiesenen, spezialisierten Berater hinzu.