{"id":4761,"date":"2011-03-26T11:48:00","date_gmt":"2011-03-26T11:48:00","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/03\/26\/lehren-aus-wikileaks-aber-was-ist-informationssicherheit-genau\/"},"modified":"2022-12-28T11:58:18","modified_gmt":"2022-12-28T11:58:18","slug":"lehren-aus-wikileaks-aber-was-ist-informationssicherheit-genau","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/de\/blog\/2011\/03\/26\/lehren-aus-wikileaks-aber-was-ist-informationssicherheit-genau\/","title":{"rendered":"Lehren aus Wikileaks: Aber was ist Informationssicherheit genau?"},"content":{"rendered":"<p>Heute ist Wikileaks aus einem guten Grund eine brandhei\u00dfe Geschichte \u2013 es geschieht nicht sehr h\u00e4ufig, dass vertrauliche Dokumente der weltweit m\u00e4chtigsten Regierung im Internet ver\u00f6ffentlicht werden. Und einige dieser Dokumente sind gelinde gesagt peinlich.<\/p>\n<p>Ich werde mich hier nicht dazu \u00e4u\u00dfern, ob die Ver\u00f6ffentlichung dieser Dokumente durch Wikileaks legal war oder nicht, ob die Ver\u00f6ffentlichung dieser Informationen aus \u00f6ffentlichem Interesse h\u00e4tte erfolgen m\u00fcssen oder nicht, oder was mit seinem Gr\u00fcnder geschieht (beim Verfassen dieses Artikels war Julian Assange in Haft) usw.<\/p>\n<p>Das Problem ist eher, dass ein neues Wikileaks erscheint, sobald das alte Wikileaks geschlossen werden sollte. Anders ausgedr\u00fcckt: Die Bedrohung durch Weitergabe von Informationen an die \u00d6ffentlichkeit nimmt st\u00e4ndig zu. (\u00dcbrigens hatte Julian Assange vor dem Gang ins Gef\u00e4ngnis angek\u00fcndigt, er werde belastende Informationen \u00fcber eine gro\u00dfe US-Bank und ihre missbr\u00e4uchliche Praxis ver\u00f6ffentlichen.)<\/p>\n<p>Ich m\u00f6chte hier den Standpunkt eines Unternehmens herausstellen \u2013 was geschieht, falls wir das n\u00e4chste Ziel von Wikileaks oder dessen Klon werden sollten? Wie kann die Sicherheit unserer Informationen gew\u00e4hrleistet und der Schaden eines solchen gro\u00dfen Vorfalls vermieden werden?<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><br \/>\n<div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Einfaches Beispiel<\/h2>\n<p>Aber wie funktioniert Informationssicherheit in der Praxis? Nehmen wir ein einfaches Beispiel \u2013 zum Beispiel lassen Sie Ihr Notebook h\u00e4ufig im Auto auf dem R\u00fccksitz liegen. Die Chancen stehen gut, dass es fr\u00fcher oder sp\u00e4ter gestohlen wird.<\/p>\n<p>Was k\u00f6nnen sie tun, um dieses Risiko zu senken? Zun\u00e4chst einmal k\u00f6nnen Sie eine Vorschrift (durch Schreiben eines Verfahrens oder einer Leitlinie) erlassen, dass Notebooks nicht in einem Auto unbeaufsichtigt zur\u00fcckgelassen werden d\u00fcrfen, oder dass das Auto dort geparkt werden soll, wo eine Art physischer Schutz gegeben ist. Zweitens k\u00f6nnen Sie Ihre Daten sch\u00fctzen, indem Sie ein starkes Passwort verwenden und Ihre Daten verschl\u00fcsseln. Au\u00dferdem k\u00f6nnen Sie fordern, dass Ihre Mitarbeiter eine Erkl\u00e4rung unterzeichnen, mit der sie sich rechtlich f\u00fcr die m\u00f6glicherweise eintretenden Sch\u00e4den verantwortlich erkl\u00e4ren. Aber all diese Ma\u00dfnahmen k\u00f6nnen wirkungslos bleiben, wenn Sie Ihren Mitarbeitern die Vorschriften nicht mithilfe einer kurzen Schulung erkl\u00e4ren.<\/p>\n<p>Welche Schlussfolgerungen k\u00f6nnen Sie aus diesem Beispiel ziehen? Informationssicherheit ist niemals nur eine einzelne Sicherheitsma\u00dfnahme, sie ist immer mehrere Ma\u00dfnahmen zusammen. Und die Ma\u00dfnahmen sind nicht nur IT-bezogen, sondern umfassen auch organisatorische Fragen, Personalmanagement, physische Sicherheit und Rechtsschutz.<\/p>\n<p>Das Problem ist: Dies war ein Beispiel eines einzelnen Notebooks, ohne bedrohtes Insiderwissen. Betrachten wir nun, wie komplex der Schutz der Informationen Ihres Unternehmen ist. Informationen sind nicht nur auf Ihren PCs gespeichert, sondern auch auf verschiedenen Servern, nicht nur in Ihren Schubladen, sondern auch auf s\u00e4mtlichen Ihrer Mobiltelefone, nicht nur auf USB-Sticks, sondern auch in den K\u00f6pfen aller Mitarbeiter. Und Sie haben m\u00f6glicherweise einen sehr ver\u00e4rgerten Mitarbeiter.<\/p>\n<p>Scheint wie eine unm\u00f6gliche Aufgabe? Schwer \u2013 ja, aber nicht unm\u00f6glich.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Herangehensweise<\/h2>\n<p>Um dieses komplexe Problem zu l\u00f6sen, ben\u00f6tigen Sie einen Rahmen. Die gute Nachricht ist, dass es diese Rahmenbedingungen in Form von Normen bereits gibt \u2013 am st\u00e4rksten verbreitet ist <a href=\"https:\/\/staging.advisera.com\/27001academy\/de\/was-ist-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>, die international f\u00fchrende Norm f\u00fcr Informationssicherheits-Managementsysteme, aber es gibt auch andere &#8211; COBIT, NIST SP 800 Series, PCI DSS usw.<\/p>\n<p>Ich werde hier auf ISO 27001 konzentrieren. Ich glaube, dass Sie Ihnen beim Aufbau eines Informationssicherheitssystems eine gute Grundlage bietet, weil sie einen Katalog mit 133 Sicherheitsma\u00dfnahmen beinhaltet und die Flexibilit\u00e4t bietet, nur die Ma\u00dfnahmen anzuwenden, die hinsichtlich des Risikos wirklich ben\u00f6tigt werden. Ihre bestes Merkmal ist jedoch, dass es einen Managementrahmen f\u00fcr die Steuerung und Leitung von Sicherheitsproblemen definiert. Damit wird erreicht, dass Sicherheitsmanagement Teil des Gesamtmanagements eines Unternehmens wird.<\/p>\n<p>Kurzum \u2013 mit dieser Norm k\u00f6nnen Sie alle in verschiedener Form vorliegenden Informationen und s\u00e4mtliche Risiken ber\u00fccksichtigen. Ihnen wird ein Weg aufgezeigt, um jedes potenzielle Problem sorgf\u00e4ltig zu l\u00f6sen und die Sicherheit Ihrer Informationen sicherzustellen.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Konsequenzen f\u00fcr das Gesch\u00e4ft<\/h2>\n<p>Also sollten Konzerne f\u00fcrchten, dass Ihre Informationen an die \u00d6ffentlichkeit kommen? Sollten sie etwas Illegales oder Unethisches tun, so sollten sie das sicherlich.<\/p>\n<p>Doch wenn rechtschaffene Unternehmen ihr Gesch\u00e4ft sch\u00fctzen m\u00f6chten, so d\u00fcrfen sie nicht nur an Rendite, Marktanteil, Kernkompetenzen und langfristige Visionen denken. Ihre Strategie muss auch die Sicherheitsprobleme ber\u00fccksichtigen, denn unsichere Informationen k\u00f6nnen wesentlich teurer als beispielsweise die fehlgeschlagene Markteinf\u00fchrung eines neuen Produktes werden. Mit Sicherheit meine ich nicht nur physische Sicherheit, den die reicht einfach nicht mehr aus \u2013 die heutige Technik erm\u00f6glicht Informationsl\u00f6cher \u00fcber viele verschiedene Wegen.<\/p>\n<p>Was wir brauchen, ist ein umfassendes Konzept f\u00fcr die Informationssicherheit &#8211; egal, ob Sie ISO 27001, COBIT oder ein anderes Framework verwenden, solange Sie es systematisch nutzen. Und es ist keine einmalige Anstrengung, es ist ein dauerhafter Vorgang. Und ja &#8211; es ist nichts, was Ihre IT-Jungs alleine schaffen k\u00f6nnen. Es ist etwas, an dem sich das ganze Unternehmen beteiligen muss, angefangen bei der Gesch\u00e4ftsleitung.<\/p>\n<p><i>Weitere Informationen zur Informationssicherheit finden Sie in diesem kostenlosen Online-Training <\/i><a href=\"https:\/\/staging.advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 Foundations Course<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute ist Wikileaks aus einem guten Grund eine brandhei\u00dfe Geschichte \u2013 es geschieht nicht sehr h\u00e4ufig, dass vertrauliche Dokumente der weltweit m\u00e4chtigsten Regierung im Internet ver\u00f6ffentlicht werden. Und einige dieser Dokumente sind gelinde gesagt peinlich. Ich werde mich hier nicht dazu \u00e4u\u00dfern, ob die Ver\u00f6ffentlichung dieser Dokumente durch Wikileaks legal war oder nicht, ob die &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[52],"tags":[1237,1547],"class_list":["post-4761","post","type-post","status-publish","format-standard","hentry","category-blog-de","tag-iso-27001-de","tag-iso-27001-de-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts\/4761","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/comments?post=4761"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts\/4761\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/media?parent=4761"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/categories?post=4761"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/tags?post=4761"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}