Inhalt

• Informationssicherheit im Radar Ihrer Hauptakteure und Mitarbeiter
• News
• Fakten und Zahlen
• Informationssicherheit und Outsourcing leicht gemacht
• White Papers
• Jobs
• Impressum

Informationssicherheit im Radar Ihrer Hauptakteure und Mitarbeiter

Wie werden in Ihrem Unternehmen die Richtlinien, Prozesse und Verfahren zum risikogerechten Umgang mit geschäftskritischer Information von Ihren Mitarbeitern wahrgenommen? Werden die Rahmenbedingungen stufengerecht erkannt und effizient umgesetzt? Gibt es allenfalls Wahrnehmungslücken? Schauen Sie auf das Radar Ihrer Hauptakteure und Mitarbeiter.

Auf der Basis eines ausgeklügelten Katalogs von Aussagen zu Unternehmenskultur und -politik sowie zu organisatorischen, personellen und technischen Gegebenheiten im Unternehmen erhalten Sie ein qualitatives Bild der subjektiven Wahrnehmung der Informationssicherheit in Ihrem Unternehmen. Insgesamt umfasst der Katalog ca. 60 Aussagen. Der Katalog kann durch Schlüsselpersonen Ihres Unternehmens einzeln oder durch ganze Mitarbeitergruppen bearbeitet werden und ist nach den 11 Gruppen von Massnahmenzielen des international anerkannten Standards ISO/IEC 27001:2005 - Anforderungen an ein Informationssicherheitsmanagementsystem - strukturiert:

• Sicherheitspolitik
• Organisation der Sicherheit
• Klassifizierung und Kontrolle der Vermögenswerte
• Personelle Sicherheit
• Physische und umgebungsbezogene Sicherheit
• Management der Kommunikation und des Betriebs
• Zugriffskontrolle
• Beschaffung, Ausbau und Unterhalt von Kommunikationssystemen
• Management von Sicherheitsvorfällen
• Betriebliches Kontinuitätsmanagement
• Einhaltung von Gesetzen, Richtlinien und internen Regelungen

Die Bearbeitung eines einzelnen Aussagenkatalogs dauert ca. eine Stunde. Der vollständig ausgefüllte Katalog wird durch die Decker Consulting GmbH unter Wahrung der Vertraulichkeit gratis und unverbindlich ausgewertet. Dazu werden die Ergebnisse für die einzelnen Aussagen unter verschiedenen Aspekten zusammengefasst, normiert und dann in Form eines Spinnendiagramms (Radars) graphisch dargestellt. Kritische Bereiche werden wie in dem folgenden fiktiven Beispiel auf einen Blick sichtbar:

Auf Wunsch des Unternehmens begleiten wir den Bearbeitungsprozess und begutachten sowie präsentieren das Ergebnis, ebenfalls gratis und unverbindlich.

Das Informationssicherheits-Radar dient ausschliesslich dazu, allenfalls kritische Bereiche der unternehmensweiten Informationssicherheit sichtbar zu machen und Rückschlüsse auf die Qualität der Umsetzung und die Akzeptanz durch Ihre Mitarbeiter auf den verschiedenen Führungsebenen zu ziehen. Als solches ist es ein wertvolles Instrument zur zielgerechten Definition weiterer Massnahmen. Sowohl bei der Definitiion wie auch der Umsetzung dieser Massnahmen stehen wir Ihnen gerne kompetent zur Seite. Das Informationssicherheits-Radar dient weder der formalen Prüfung der Implemenierung einzelner Massnahmen noch deren Effektivität oder Effizienz.

Dr. habil. Karsten M. Decker

News

• Decker Consulting GmbH erweitert sein Dienstleistungsangebot zur Unterstützung von EC Projekten. Praxiserfahrung mit dem 7. Rahmenprogramm ist bereits vorhanden.
• Das neue White Paper ``Ist Informationssicherheit ein technisches Problem?'' steht ab sofort auf unserer Webseite unter Downloads gratis zur Verfügung.

Fakten und Zahlen

• Hacker erschleichen sich durch Täuschung von Mitarbeitern geschäftskritische Informationen. Nachdem viele Unternehmen ihre IT-Infrastruktur inzwischen auf dem neuesten Stand halten, nehmen kriminelle Hacker verstärkt die Mitarbeiter für ihre gefährlichen Attacken ins Visier, um sich sensible Unternehmensinformation zu erschleichen (Social Engineering). Dabei nutzen kriminelle Hacker menschliche Eigenschaften wie Hilfsbereitschaft, Unwissenheit, Respekt vor Autoritäten und Gutgläubigkeit aus, um die Mitarbeiter zu manipulieren und sich zum Beispiel Zugangscodes zu geplanten Patentanmeldungen zu erschleichen. ``Es ist die Aufgabe der Unternehmen, ihre Angestellten für das Thema IT-Sicherheit zu sensibilisieren'', sagt Robert Chapman, Mitbegründer von Training Camp und Geschäftsführer der gleichnamigen GmbH. ``Aufgrund der technischen Weiterentwicklungen und des schier grenzenlosen Erfindungsreichtums der Angreifer ist ausserdem eine kontinuierliche Aktualisierung des Wissens gefragt.''
  (Quelle: www.itseccity.de, 27. April 2007)
• Mobile Datenspeicher sind Sicherheitsrisiko Nummer eins. Gemäss einer Umfrage von Centennial unter 370 IT-Verantwortlichen sehen 38 Prozent der Unternehmen in externen Speichermedien wie USB-Sticks die grösste Gefahrenquelle für Unternehmensdaten. Trotz dieser Erkenntnis geben jedoch vier von fünf der befragten Unternehmen zu, keine effektiven Massnahmen zu treffen, um sich vor dem unberechtigtem Einsatz von USB-Sticks, PDAs, MP3-Player oder externen Festplatten zu schützen. 43 Prozent haben keine Kontrolle über den Datenverkehr von und zu externen Speichermedien, bei rund 27 Prozent entscheidet der verantwortliche Manager über den Umgang mit den Geräten. Nur neun Prozent haben dagegen zu drastischen Massnahmen gegriffen und sämtliche externe Speichermedien aus der Firma verbannt.
  (Quelle: Securitymanager.de, 16. Mai 2007)
• Die Gefahr lauert in den eigenen Reihen. Hacker und Viren gelten gemeinhin als die grössten Bedrohungen für sensible Daten in Unternehmen. Der Blick für die Gefahren richtet sich aber meistens nur nach aussen, dabei stellen die eigenen Mitarbeiter den grössten Unsicherheitsfaktor dar. Das Ausmass der Gefährdung der Datensicherheit ist mittlerweile auch durch verlässliche Zahlen zu belegen: Nach einer Studie des US-Marktforschungsinstituts ICM Research verlassen pro Woche und Mitarbeiter neun vertrauliche Dokumente deutsche Büros auf tragbaren Geräten. Etwa 19 Prozent der befragten Mitarbeiter gaben an, regelmässig Unternehmensdaten mit Dritten auszutauschen. Insgesamt wurden 76 Prozent der grossen, 46 Prozent der mittleren und 36 Prozent der kleineren Unternehmen laut einer Studie der Wirtschaftsprüfungsgesellschaft KPMG in der Vergangenheit Opfer wirtschaftskrimineller Handlungen. Die Dunkelziffer wird deutlich höher angesetzt, wobei speziell der kleine Mittelstand im Fokus der Täter steht. Die Sorglosigkeit der Unternehmen hat eine einfache Ursache: Insgesamt wird die Gefahr durch Datendiebstahl, vorsätzliche Zerstörung oder Manipulation von Daten unterschätzt.
  (Quelle: Securitymanager.de, 20. Juni 2007)
• Wirtschaftsspionage vernichtet Jobs in Deutschland. Die zunehmende Wirtschaftsspionage vernichtet nach Ansicht von Experten in Deutschland jedes Jahr rund 50,000 Jobs und kostet die deutschen Wirtschaft insgesamt zwischen 10 und 50 Milliarden Euro pro Jahr. Vor allem die Chefs von kleinen und mittleren Unternehmen nehmen das Thema nicht ernst genug. Im harten weltweiten Konkurrenzkampf versuchen Unternehmen immer öfter, zum Nulltarif Know-how abzuziehen. Während im Jahr 2000 erst jedes zehnte deutsche Unternehmen ausspioniert wurde, ist es inzwischen jede vierte Firma, quer durch alle Branchen. In den meisten Fällen ist der Täter ein Mitarbeiter. So gibt es zahlreiche Fälle, bei denen Werkstudenten oder sogar feste Mitarbeiter vertrauliche Akten kopierten. Aber auch technische Angriffe auf die Rechner der eigenen Firma nehmen rasant zu.
  (Quelle: CIO.de, 24. Juni 2007)

Informationssicherheit und Outsourcing leicht gemacht

Für Sie gratis bereitgestellt: Schnelltests und vollständige Selbstbewertungsformulare zu den folgenden Themen:

• Informationssicherheit - Schnelltest
• Outsourcing - Schnelltest
• Informationssicherheit - Selbstbewertung
• Outsourcing - Selbstbewertung

Überzeugen Sie sich selbst vom praktischen Wert unserer Formulare.

White Papers

• Ist Informationssicherheit ein technisches Problem?
• Basel II: Senkung der operationellen Risiken schafft Zugang zu günstigeren Krediten
  (Publiziert im Schweizer KMU Magazin ORGANISATOR, Nr. 5 Mai 2007)
• Informationssicherheit und Outsourcing: Fünf Trends für 2007
  (Publiziert im Schweizer KMU Magazin ORGANISATOR, Nr. 3 März 2007)
• Informationssicherheit: Luxus oder überlebenswichtig?
• Grid Computing - the European business perspective
  (Publiziert in EuropeanCEO, November - Dezember, 2004; in Englisch)

Alle White Papers sind kostenlos.

Jobs

Suchen Sie eine neue Herausforderung? Können Sie auf eine langjährige erfolgreiche Berufstätigkeit als Linienverantwortlicher zurückblicken? Möchten Sie nicht nur beraten, sondern die von Ihnen erarbeiteten Konzepte auch verantwortlich umsetzen?

Zur Erweiterung unseres Teams freier Mitarbeiter suchen wir erfahrene Fachspezialisten mit Flair für das Geschäft und grosser Sozialkompetenz in den folgenden Bereichen:

• Informationssicherheit
• IT Service Management
• Internationales Projektmanagement
• Projektassistenz
• Public Relations und Event-Management

Bitte senden Sie Ihre Bewerbung an Dr. habil. Karsten M. Decker. Für Fragen steht Ihnen Karsten Decker auch unter der Telefon-Nr. +41 (41) 790-9080 zur Verfügung.

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.