Die folgenden sind 10 wichtige Regeln zur Informationssicherheit, die Unternehmen beachten sollten:
1. Sensibilisierung der Mitarbeiter: Schulen Sie Ihre Mitarbeiter regelmäßig, um das Bewusstsein für Informationssicherheit zu erhöhen. Verwenden Sie Schulungen, Tests und Schulungsmaterialien, um das Bewusstsein der Mitarbeiter zu erhöhen. Verhindern Sie dadurch, dass Mitarbeiter auf Phishing-E-Mails hereinfallen, die dazu führen können, dass vertrauliche Informationen preisgegeben werden.
2. Zugriffskontrolle: Beschränken Sie den Zugriff auf Informationen und Systeme nur auf Mitarbeiter, die diese Informationen benötigen. Verwenden Sie Passwörter, Verschlüsselung und andere Mechanismen, um den Zugriff auf vertrauliche Informationen zu beschränken. Trennen Sie strickt zwischen normalem Anwenderkontext und solchen mit Administrationsrechten. Deaktivieren Sie Benutzerkonten, die nicht mehr benötigt werden.
3. Netzwerksicherheit: Schützen Sie Ihre Netzwerke vor Angriffen von außen durch die Verwendung von Firewalls, Intrusion Detection/Prevention Systemen und anderen Sicherheitsmechanismen. Halten Sie Firewalls aktuell.
4. Sicherheitsrichtlinien: Erstellen Sie Sicherheitsrichtlinien, die Mitarbeiter befolgen müssen, um das Unternehmen und seine Daten zu schützen. Stellen Sie sicher, dass alle Mitarbeiter über diese Richtlinien informiert sind und diese auch verstehen und anwenden.
5. Datensicherung: Erstellen Sie regelmäßige Backups wichtiger Daten, um Verluste durch Datenverlust oder Systemausfälle zu vermeiden. Neben der Erstellung von Backups von wichtigen Daten ist es auch wichtig, regelmäßig Tests von Datenrücksicherungen durchzuführen, um sicherzustellen, dass im Falle eines Datenverlusts oder Systemausfalls die Daten tatsächlich wiederhergestellt werden können. Dies ist ein wichtiger Bestandteil der Disaster Recovery-Strategie eines Unternehmens und sollte in regelmäßigen Abständen durchgeführt werden, um sicherzustellen, dass Backups funktionieren und aktuell sind. Ein erfolgreicher Test der Datenrücksicherung muss regelmäßig durchgeführt werden, um zu gewährleisten, dass Daten aus Sicherungen wiederhergestellt werden können. Um die Datensicherungen vor z.B. Verschlüsselung durch Krypto-Trojaner zu schützen, sollten sich die Sicherungen nicht im Netzwerk befinden.
6. Aktualisierung von Software: Halten Sie Software auf dem neuesten Stand, um Sicherheitslücken zu schließen und Angriffe zu verhindern. Dies gilt für Server und für Clients sowie für Betriebssystem und Anwendungen. Regelmäßige Updates sollten auch für die Firewall- und Routersysteme erfolgen.
7. Schutz vor Schadsoftware: Stellen Sie durch eine Anti-Malware-Lösung (insb. Virenschutz) sicher, dass alle Server und Clients stets über aktuelle Schutzfunktionen verfügen.
8. Mobile Geräte: Sichern Sie mobile Geräte, die von Mitarbeitern verwendet werden, um auf vertrauliche Informationen zuzugreifen, durch Passwörter, Verschlüsselung und Remote-Wipe-Funktionen.
9. Kennwortsicherheit: Stellen Sie sicher, dass für alle Anmeldungen sichere Kennwörter verwendet werden, die ausreichend komplex und lang sind. Verwenden Sie nicht für jeden Onlinedienst dasselbe Kennwort. Aktivieren Sie eine 2-Faktor-Authentifizierung, wenn es bei den Dienstanbietern möglich ist. Diese sollte mindestens zum Einsatz kommen für Remoteeinwahlen (z.B. VPN), Cloudeinwahlen in Unternehmen und für Einwahlmöglichkeiten mit hohen Berechtigungen.
10. Überwachung: Überwachen Sie Systeme und Netzwerke, um Angriffe zu erkennen und darauf reagieren zu können.
Diese Regeln sollten als Leitfaden für Unternehmen dienen, um die Informationssicherheit zu gewährleisten und zu verbessern. Es ist wichtig zu beachten, dass die Informationssicherheit ein kontinuierlicher Prozess ist und immer auf dem neuesten Stand gehalten werden sollte, um mit den sich ständig ändernden Bedrohungen Schritt zu halten.
Haben Sie Fragen zur Informationssicherheit, zum Datenschutz und zu Fördermöglichkeiten? Sprechen Sie gerne mit unserem Beratungsteam.
Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.
Über den Autor: Markus Olbring ist Inhaber und Geschäftsführer der comdatis it-consulting GmbH & Co.KG mit Sitz in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich seit über 15 Jahren mit den Themen Datenschutz, Informationssicherheit, Digitalisierung und IT-Compliance.