Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

22.12.2006

Gefahrenquelle Mensch

Martin Walzer 
Vernünftige Security-Policies erhöhen die IT-Sicherheit, ohne die Produktivität der Mitarbeiter zu beeinträchtigen.

Die Mitarbeiter sind das höchste Gut eines Unternehmens - und gleichzeitig die größte Gefahr für seine IT-Sicherheit. Zu diesem Schluss kommt zumindest die aktuelle Ausgabe einer jährlichen Gemeinschaftsstudie von Microsoft und der Zeitschrift "Kes" zum Thema IT-Security. Demnach belegt der "Irrtum und die Nachlässigkeit eigener Mitarbeiter" im Jahr 2006 erneut den ersten Platz unter den Faktoren, die die IT-Sicherheit der 163 befragten Unternehmen bedroht haben. Allerdings überrascht das Ergebnis wenig: Die meisten vergleichbaren Untersuchungen der letzten Jahre zeugen davon, dass die Anwender das schwächste Glied in der Sicherheitskette sind und die IT-Verantwortlichen dies zum Großteil auch erkannt haben. Doch worin bestehen die Risiken, die von der eigenen Belegschaft ausgehen?

Der Weg zur guten Internet-Policy

Die folgenden Punkte gilt es bei der Implementierung einer Richtlinie zur Internet-Nutzung zu beachten:

- Zieldefinition: Definieren Sie das Ziel der Richtlinie so genau wie möglich.

- Bestandsaufnahme: Sofern bereits eine Richtlinie besteht, vergleichen Sie diese mit dem Ziel der neuen Policy.

- Unterscheidung von Abteilungen: Unterschiedliche Abteilungen haben individuelle Bedürfnisse, denen die Policy gerecht werden muss.

- Analyse des aktuellen Verhaltens: Untersuchen Sie den aktuellen Internet-Verkehr, um zu verstehen, welche Benutzer(gruppen) welche Inhalte nutzen.

- Zusammenarbeit mit allen Abteilungen: Die Abteilungen Personal, IT, Recht sowie Vertreter der Mitarbeiter müssen von Anfang an gemeinsam an der Erstellung der Richtlinie arbeiten.

- Regeln und Sanktionen: Definieren Sie gemeinsam spezifische Regeln, um das Ziel der Richtlinie zu erreichen, und legen Sie konkrete Verfahren fest, um die Regeln um- beziehungsweise durchzusetzen. Legen Sie Sanktionen für Zuwiderhandlungen fest.

- Probelauf: Testen Sie noch in der Entwurfsphase die Richtlinie mit einigen Schlüsselnutzern.

- Schwachstellen: Nutzer mit sehr beschränkten Rechten werden versuchen, diese Einschränkungen zu umgehen (zum Beispiel durch Gebrauch eines anderen Rechners). Finden und beseitigen Sie die Schlupflöcher.

- Remote User: Bedenken Sie die Konsequenzen der Richtlinie für Heimarbeiter und mobile Nutzer und beziehen Sie diese ein.

- Security Awareness: Erstellen Sie einen Plan für die Ankündigung der Richtlinie, um sicherzustellen, dass die interne Kommunikation funktioniert, die Richtlinie verstanden wird und dass nachzuvollziehen ist, dass die damit verbundenen Restriktionen gerechtfertigt sind.

- Kontrolle: Setzen Sie die Richtlinie in Regelwerke für den Web-Filter um.

- Veränderung: Jede Richtlinie ist ein Prozess, kein Zustand. Richtlinien müssen regelmäßig zu überprüfen und an veränderte Gegebenheiten anzupassen sein.

Hier lesen Sie …

• welche Risiken von den Mitarbeitern ausgehen;

• wie sich diese Gefahren mittels Security-Policies eindämmen lassen;

• welche Aspekte sie enthalten sollten und was bei ihrer Erstellung zu beachten ist.

Mehr zum Thema

www.computerwoche.de/

1214712: Die Bedrohung kommt von innen;

1214699: Das größte Risiko ist der Anwender;

www.computerwoche.de/ security-expertenrat

Handlungen kategorisieren

Zunächst einmal gilt es, unabsichtliche von vorsätzlichen Handlungen zu unterscheiden. Zur ersten Kategorie gehören das Einschleusen von Spyware und Viren, die Reaktion auf Phishing-Attacken oder die unbewusste Verbreitung von Spam. Zu vorsätzlichen Handlungen wiederum zählt das Herunterladen von Videos und Musik am Arbeitsplatz. Das Risiko für das Unternehmen liegt hier in der Haftbarkeit für Verstöße gegen das Urheberrecht. Aber auch wenn sich Mitarbeiter während der Arbeit mit unangebrachten oder illegalen Inhalten - etwa Pornografie oder Rassismus - beschäftigen, entstehen juristische Risiken. Die Weitergabe von vertraulichen Informationen wie Kundendaten, Finanzinformationen oder geheimen Daten hingegen gefährdet möglicherweise sogar die Existenz eines Betriebs. Schließlich kann durch unangemessenes Verhalten auf Seiten der Belegschaft auch das Image einer Organisation Schaden nehmen. Mittels Security-Policies lassen sich diese Risiken eindämmen.

Sicherheitsrichtlinien sind mit den Gesetzen einer Stadt, eines Staates oder Landes vergleichbar, die - zumindest in Demokratien - auf einem gesellschaftlichen Konsens beruhen und angemessene beziehungsweise unangemessene Verhaltensweisen definieren sowie Sanktionen bei Fehlverhalten festlegen. Während eine kleine Gruppe von Personen noch ausschließlich auf Vertrauensbasis funktionieren kann, werden Regeln mit zunehmender Größe einer Organisation immer wichtiger. In kleinen Betrieben finden sich umfangreiche Regelwerke zur IT-Sicherheit daher eher selten. Der Grund: Zum einen ist die Erstellung der Richtlinien ein zeitraubender Prozess, zum anderen fehlen dort oft die technischen und organisatorischen Mittel, um die Einhaltung der Regeln zu kontrollieren und durchzusetzen.

Die Sicherheitsrichtlinien

Ziel einer Security Policy ist stets, das Unternehmen vor einem drohenden Risiko zu schützen. So können Sicherheitsrichtlinien ebenso Regeln zur Absicherung von Gebäuden gegen Feuer und Wasser enthalten wie Verhaltensvorgaben für Mitarbeiter beim Umgang mit der IT. Letztere, auch als "Acceptable Use Policy" bezeichnet, gehören zu den wichtigsten Security-Policies für Unternehmen. Es empfiehlt sich, zumindest diese Richtlinie einzuführen. Andere Policies regeln etwa,

• wie Mitarbeiter von außen auf das Unternehmensnetz zugreifen dürfen ("Remote Access Policy"),

• wie sie mit sensiblen Informationen umzugehen haben ("Information Protection Policy"),

• wie E-Mails und Web-Verkehr auf Viren überprüft werden ("Virus Protection and Prevention Policy"),

• wie Passwörter auszusehen haben ("Password Policy")

• wie mit drahtlosen Netzen umzugehen ist ("Wireless Network Policy").

Da Informationen, sprich: Daten, heute das Kapital eines Unternehmens darstellen, müssen sie besonders geschützt werden. Ein im Taxi liegen gebliebener Laptop mit vertraulichen Informationen ohne Startup-Passwort und verschlüsselte Festplatte kann ein Unternehmen in den Ruin treiben, wenn er dem Mitbewerb in die Hände fällt. Daher ist eine Regel für den verantwortungsvollen Umgang mit Firmendaten und -eigentum ebenfalls anzuraten.

Die grundsätzliche Frage, die sich Unternehmen bei der Erstellung von Security-Policies stellen müssen, ist, wem sie wie stark vertrauen (möchten). In der Vergangenheit wurde in den Policies schlicht alles aufgelistet, was den Mitarbeitern untersagt war. Das hat sich wenig bewährt, da angesichts der schnellen Technologieentwicklung neue Anwendungen in der Negativliste zunächst einmal fehlen. Mittlerweile wird eher generell beschrieben, was unerwünscht ist - etwa die private Nutzung des Internets am Arbeitsplatz. Je allgemeiner die Richtlinien, desto schwieriger ist es allerdings, deren Einhaltung zu kontrollieren.

Nur so restriktiv wie nötig

Security-Policies dürfen nicht über das Ziel hinausschießen, indem sie die Mitarbeiter zu sehr beschränken und so ihre Produktivität verringern. Sind Regeln zu restriktiv, findet die Belegschaft zudem stets einen Weg, sie zu umgehen. Die Balance zwischen Schutzbedarf und Produktivität zu finden ist meist die größte Herausforderung bei der Erstellung von Richtlinien. Hier sollte gelten: "So restriktiv wie nötig und so frei wie möglich." So kann etwa eine Policy zur Nutzung des Internets, die das Online-Shopping erlaubt, durchaus positive Auswirkungen haben: Einerseits fühlen sich die Mitarbeiter besser behandelt, wenn man ihnen zutraut, angemessen mit dem Internet umgehen zu können. Andererseits können sie beim Online-Shopping Zeit sparen, die sie sonst eventuell in eine verlängerte Mittagspause mit Einkaufsbummel investiert hätten.

Mit Bedacht regeln

Wichtig ist demnach, dass Regeln verantwortungsbewusst, praktikabel und angemessen sind. Gleichzeitig gilt es, sie präzise und leicht verständlich zu formulieren und darauf zu achten, dass sie sich implementieren und durchsetzen lassen. Zudem sollten Richtlinien Informationen darüber enthalten, warum sie gebraucht werden, welche Bereiche sie abdecken und wie Verstöße geahndet werden. Darüber hinaus müssen Ansprechpartner und Verantwortlichkeiten definiert sein.

Regeln, die nicht durchgesetzt werden, sind nicht viel wert. Einige Richtlinien wie etwa eine "Acceptable Internet Use Policy" lassen sich mittels Web-Filtern auf Basis von Proxys kontrollieren. Diese müssen allerdings flexibel genug sein, um Benutzern und Nutzergruppen je nach ihrem Aufenthaltsort sowie der Uhrzeit unterschiedliche Rechte einräumen zu können. Dabei kann es sinnvoll sein, den Zugriff auf bestimmte Web-Seiten nicht radikal zu unterbinden. Beim Aufruf einer als unangemessen eingestuften Site erhält der Benutzer dann zunächst einen Warnhinweis, kann die Seite aber dennoch besuchen - eventuell mit dem Vermerk, dass dies protokolliert wird. Darüber hinaus können Security-Appliances das Verhalten der Mitarbeiter protokollieren und somit Verstöße gegen Richtlinien nachweisen.

Da immer mehr Mitarbeiter von unterwegs oder von zu Hause aus arbeiten, sind sie ebenfalls in die Security-Policies einzubeziehen. So reicht es zur Überwachung etwa der Acceptable Internet Use Policy nicht mehr aus, diese nur am Internet-Gateway in der Zentrale umzusetzen, wenn Mitarbeiter in ihrem Home Office direkt ins Web gehen. Hier können Lösungen zur Endpoint-Security helfen, die mit Hilfe einer lokalen Clients-Software ein und dieselben Sicherheitsrichtlinien am Gateway und auf den Clients durchsetzen.

Mehr Freiheiten durch Kontrolle

Da Mobilität auch mit wechselnden Endgeräten verbunden ist, die oft nicht im Zugriffsbereich der IT-Administratoren liegen, sollte sich der betreffende Client auch on Demand installieren, sobald von außen auf Unternehmensressourcen zugegriffen wird. So erhalten mobile Mitarbeiter mehr Freiheiten, da sie in einer kontrollierten Umgebung arbeiten und weniger pauschal verboten werden muss.

Andere Regeln lassen sich schwerer durchsetzen oder sanktionieren: Wenn Mitarbeiter beispielsweise ein bösartiges E-Mail-Attachment anklicken, ist eher Aufklärung als das Androhen von Sanktionen angebracht. Hier helfen Security-Awareness-Programme, die Anwender mit den Sicherheitsrichtlinien vertraut machen. Solche Maßnahmen reichen von Schulungen, Workshops, Newslettern und Veröffentlichungen im Intranet über Posterkampagnen bis hin zu Gewinnspielen mit einem Security-Quiz, speziellen Videos oder Bildschirmschonern mit Sicherheitshinweisen.

Alle an einen Tisch

Security-Policies sind ein sehr individuelles Thema, für das es kein Patentrezept gibt. Sicherheitsregeln müssen an die firmenspezifischen Bedürfnisse und Ressourcen angepasst werden. Eines haben jedoch alle Policies gemeinsam: Sind an ihrer Erstellung nicht von Anfang an sämtliche betroffenen Abteilungen eines Unternehmens beteiligt, werden sie wahrscheinlich scheitern. Die Kunst ist demnach, das Sicherheitsbedürfnis des IT-Security-Managers mit den rechtlichen Anliegen der Personalabteilung und den Freiheitswünschen der Arbeitnehmerseite zu vereinen. (kf)