Msg systems: Sicherheitszertifizierungen bieten keine echte Sicherheit
16.09.2013 -
Immer mehr Unternehmen lassen Sicherheitsaudits durchführen, da sie ihre Daten und Informationen schützen und sicherstellen wollen, dass dieser Schutz tatsächlich vorhanden ist. Obgleich Zertifizierungen wie ISO/IEC 27001 oder das IT-Grundschutz-Zertifikat ein gewisses Sicherheitsniveau bescheinigen, gewährleisten sie keine vollständige Risikofreiheit. Auch bei Unternehmen, die über derartige Zertifizierungen verfügen, haben die Experten von msg systems im Rahmen von individuellen Audits dennoch zahlreiche Sicherheitsrisiken identifiziert.
Bei Sicherheitszertifizierungen werden manche Aspekte - wie beispielsweise Datenabfluss - nicht intensiv genug überprüft. In vielen Fällen ist die Überprüfung zwar lückenlos, aber die technische oder organisatorische Durchsetzung entsprechender Policies wird nicht konsequent erreicht oder ist leicht zu umgehen. Das betrifft nicht nur neue Technologien; auch bei „klassischen Sicherheitsthemen" wie Rollen und Berechtigungen sind nach wie vor ernst zu nehmende Risiken erkennbar.
Typische Brennpunkte hierbei sind:
- Mängel beim Rechtemanagement: Häufig genießen Administratoren zu viele Rechte und ihre Zugriffe werden zu wenig kontrolliert. Im Interesse der Sicherheit müssten hier beispielsweise das 4-Augen-Prinzip oder eine technische Protokollierung für bestimmte administrative Tätigkeiten an unternehmenskritischen Systemen, etwa HR- oder Kundensystemen, verbindlich werden.
- Auch Mitarbeiter haben oft zu umfangreiche Rechte. Insbesondere ist darauf zu achten, dass nicht mehr benötigte Rechte, etwa von Mitarbeitern, die aus dem Unternehmen ausscheiden oder in andere Bereiche wechseln, zeitnah entzogen werden. Der Einsatz von Identity-Management-Systemen kann dies sinnvoll forcieren.
- Der Problemkreis Datenabfluss/Datenmitnahme wird ebenfalls häufig unterschätzt: Mitarbeiter, die das Unternehmen verlassen wollen, können sich unerlaubt Projekt-, Kunden- und Vertriebsdaten aneignen. Data Leakage Prevention (DLP)-Systeme oder Information Rights Management (IRM)-Systeme helfen hier, Firmengeheimnisse zu wahren.
- Datenübertragung und Mailverschlüsselung: Wenn sensible Daten unverschlüsselt über unsichere Übertragungswege wie E-Mails oder USB-Sticks laufen, nutzt auch der sicherste Speicherort im Unternehmen nur wenig.
- Bring Your Own Device (BYOD): In vielen Unternehmen können Mitarbeiter mit ihren Notebooks und Smartphones auf Unternehmensdaten zugreifen. Hier sind unternehmensweite Vorgaben, wie eine BYOD-Policy, sowie eine technische Geräteauthentisierung, etwa nach 802.1X, dringend geboten.
- Mobile Device Management (MDM): Notebooks sind inzwischen meist verschlüsselt, bei Tablets und Smartphones sieht das oft noch anders aus. Um ein Mindestmaß an Sicherheit herzustellen, ist der Einsatz einer MDM-Lösung ein wichtiger Anfang.
- Mangelnde Durchsetzung von Vorgaben: Die beste Vorgabe bringt nichts, wenn sie leicht zu umgehen ist oder ihre Einhaltung nicht geprüft wird. Technische Maßnahmen, beispielsweise zur Passwortänderung, helfen, Policies verbindlich durchzusetzen.
„Diese Sicherheitsprobleme werden bei den gängigen Zertifizierungsprüfungen meist zu oberflächlich betrachtet", betont Bernhard Weber, Experte für Information Security bei msg systems. „Unternehmen, die einen angemessenen und wirksamen Schutz wünschen, empfehlen wir risikoorientierte Audits, zum Beispiel in Anlehnung an IDW PS330, durchführen zu lassen. Denn diese ermöglichen es, mit relativ geringem Aufwand die Top-Risiken zu identifizieren und die Sicherheit im Unternehmen deutlich zu erhöhen."