Home Previous Zeitschrift 2002/10 Next Index
 
  Inhalt:
 
 
 
Schutz von Informationen: Neuorientierung
 
Schutz von Informationen auf Computersystemen
 
Präventiver Schutz von Informationen
 
Restaurativer Schutz von Informationen
 
Ganzheitlicher Schutz
 
Autor
 

 

Schutz von Informationen: Lohnt sich die Mühe? 

Teil 2

In Teil 1 unserer Serie "Schutz von Informationen: Lohnt sich die Mühe?" haben wir die Bedeutung des Informationsschutzes für die folgenden drei allgemeinen Bereiche besprochen: Strategische Planung, Geschäftsabläufe und finanzielle Transaktionen. Alle drei Bereiche haben eines gemeinsam: sie bergen unternehmenskritische Informationen. Der Artikel zeigte auf, warum der Schutz dieser Informationen von zentraler Bedeutung für den Erfolg bzw. Misserfolg eines Unternehmens ist. In Anbetracht der Ereignisse in New York am 11. September 2001 hat der Schutz von Informationen für viele Unternehmen zentrale Bedeutung erlangt.

Wenn es uns gelingt, einmal kurz nicht an den Verlust der vielen Menschenleben bei dieser Tragödie zu denken, an welches Bild erinnern wir uns beim Zusammenbruch des World Trade Center (WTC) noch? Papier, Papier und noch mehr Papier, das durch die Trümmer und den Rauch wirbelte. Dokumente vom WTC wurden teilweise bis zu 5 Kilometer weit weg von der Unglücksstelle gefunden.

Durch dieses Ereignis wurde die Definition des Informationsschutzes von den elektronischen, auf Computern erstellten und verarbeiteten Daten auch auf die auf Papier erfassten Informationen ausgedehnt. Wie viele auf Papier festgehaltene Daten und Informationen wirklich vom Feuer verschlungen wurden, werden wir nie genau wissen. Und es ist kaum anzunehmen, dass alle Informationen wiederhergestellt werden können, gleichgültig, wie viel sie wert waren oder wie viel die Wiederherstellung kosten würde.

Schutz von Informationen: Neuorientierung

Weltweit konzentrieren sich Unternehmen vor allem auf den Schutz elektronischer Informationen. Würden alle auf Papier festgehaltenen Informationen unverzüglich nach Erstellung, Eingang oder Bearbeitung gescannt oder anderweitig in ein elektronisches Format gebracht, wären diese Daten durch die gegenwärtigen Maßnahmen geschützt. Natürlich müssen gewisse Informationen aus juristischen Gründen schriftlich auf Papier festgehalten werden, wie zum Beispiel Währungen, Testamente oder andere juristische Dokumente, ihr Inhalt könnte jedoch (mit Ausnahme von Währungen) durch die Erstellung elektronischer Kopien geschützt werden.

Warum scannen Unternehmen also nicht einfach sämtliche Dokumente ein? Ist diese Technologie zu teuer? Keineswegs. Liegt es daran, dass gegenüber der Ablage von Dokumenten in einem Aktenschrank mehr Aufwand und Kosten entstehen würden? Vielleicht. Oder werden auf Papier festgehaltene Informationen als weniger wichtig oder wertvoll betrachtet als die auf teuren und komplexen Geräten gespeicherten elektronischen Daten? Durchaus wahrscheinlich.

Viele Unternehmen folgen dem Motto: "Informationen bedeuten Macht" und "Informationen sind wertvoll". Trifft dies für Ihr Unternehmen zu, dann müssen Sie alle Informationen, unabhängig von der Speicherform, schützen.

Schutz von Informationen auf Computersystemen

In Teil 1 unserer Berichtreihe haben wir bereits darauf hingewiesen, dass nicht alle Informationen von gleicher Bedeutung sind und dass einige Daten besser geschützt werden müssen als andere. Wenn wir einmal annehmen, dass Unternehmen ihre wichtigen Daten elektronisch auf einem Computer speichern, können wir zur Besprechung der entsprechenden Schutzmaßnahmen übergehen.

Bevor wir auf die Einzelheiten des Informationsschutzes eingehen, müssen wir jedoch zuerst einige Grundregeln definieren:
 

Regel 1:  Wir müssen wissen, mit welchen Informationen wir es zu tun haben und wo sie sich befinden.
 
Regel 2:  Wir müssen den Wert der Informationen kennen und feststellen, wie schwierig ihre Wiederherstellung bei Verlust oder Beschädigung wäre.
 
Regel 3:  Wir müssen wissen, wer über (berechtigten) Zugriff auf die Informationen verfügt und auf welche Weise die betroffenen Personen die Informationen verwenden dürfen.
 
Regel 4:  Wir müssen feststellen, wie schnell bestimmte Informationen wieder zur Verfügung stehen müssen, sollten sie einmal nicht verfügbar sein (aufgrund von Datenverlust, nicht berechtigter Veränderung usw.).

Diese Regeln mögen recht einfach klingen - Ihre Erfüllung stellt viele Unternehmen jedoch vor eine echte Herausforderung. Für die Ausarbeitung und Implementierung eines effektiven Datenschutzes sind sie von echter Notwendigkeit.
Es gibt zwei gundlegende Arten des Informationsschutzes: Präventiv und restaurativ.

Präventiver Schutz von Informationen

Dieser Schutzmechanismus basiert auf der Anwendung von Sicherheitsmaßnahmen im Vorfeld. Diese Sicherheitsmaßnehmen werden in der Regel in drei Kategorien eingeteilt: physische, logische und administrative Maßnahmen. Für ein Unternehmen sind alle drei Kategorien erforderlich. Das Unternehmen verpflichtet alle Mitarbeiter in einer entsprechenden Dokumentation zur Einhaltung dieser Sicherheitsstandards.

Im Folgenden finden Sie einige Beispiele zu den einzelnen Maßnahmen:
 

Physisch:  Geschlossene Türen, Schlösser, Wachpersonal, Diskettenzugriffssperren, mit dem Schreibtisch/der Wand verankerte Systeme, CCTV, Aktenvernichter, Feuerlöscher
Logisch (technisch):  Kennwörter, Dateizugriffsrechte, Zugriffssteuerlisten, Kontorechte, Überbrückungsgeräte
Administrativ:  Bewusstsein für Sicherheitsanliegen, Aufhebung von Benutzerkonten, Richtlinien

Restaurativer Schutz von Informationen

Die Beschädigung von Daten lässt sich nie vollständig vermeiden. Gelingt die Wiederherstellung bzw. Neuerstellung geschäftskritischer Informationen nicht innerhalb eines akzeptablen Zeitraums, wirkt sich dies nachteilig für das Unternehmen aus.
Daher ist die Ausarbeitung und der Einsatz einer effizienten Sicherungs- und Wiederherstellungsstratgie von elementarer Bedeutung für ein Unternehmen. Informationssicherung bedeutet dabei nicht nur die Sicherung "wertvoller Daten", sondern häufig auch des gesamten Systems, da Informationen oft erst durch die auf dem System laufenden Services verwendbar werden.

Die grundlegende Voraussetzung für eine Strategie zum restaurativen Informationsschutz ist dabei, dass die Daten wiederherstellbar sind. Dies wird von vielen Unternehmen häufig nicht richtig in Betracht gezogen. Es wird allgemein angenommen, dass Daten, die laut Sicherungsprogramm auf die Sicherungsmedien geschrieben wurden, auch von dort wiederhergestellt werden können. Diese Annahme ist jedoch aus verschiedenen Gründen häufig falsch.

Stellen Sie sich bei der Ausarbeitung einer Strategie für den restaurativen Informationsschutz die folgenden Fragen:

  • Wurde der Wiederherstellungsvorgang noch vor kurzem überprüft?
  • Wie lange dauerte die Wiederherstellung?
  • Wie viel produktive Zeit ging dabei verloren?
  • Lief alles wie erwartet?
  • Wie viel Zeit war zur Eingabe der Datenänderungen seit dem letzten Backup erforderlich? 
Ganzheitlicher Schutz

Beim Schutz der Unternehmensdaten vor Beschädigung bzw. Verlust handelt es sich keineswegs um eine einfache Aufgabe. Der Schutz muss ganzheitlich erfolgen, d. h. ein Unternehmen sollte mit den erforderlichen Schutzmaßnahmen zu einem für ihn akzeptablen Preis ausgestattet werden. Sie müssen alle Eventualfälle in Betracht ziehen, auf das Schlimmste vorbereitet sein und nach dem Vorfall wieder so da stehen, als wäre nichts passiert. Diese Ereignisse können nicht vorausgeplant werden und scheinen sich immer zu den ungünstigsten Zeitpunkten zu ereignen. Unternehmen, die bis zur letzten Minute mit der Ausarbeitung einer entsprechenden Strategie warten, erleiden in der Regel den größten Schaden. 

Zum Autor:

Dr. Stuart Broderick arbeitet bereits seit über 17 Jahren als Berater für den Informationsschutz in der Industrie. Er ist Leiter der Abteilung "Worldwide Services Development" bei Symantec und ist in dieser Position verantwortlich für die Entwicklung der Implementierungs-, Consulting- und Managed Security Services im Rahmen der Symantec Security Services. Davor hielt Dr. Broderick die Position des Director of Consulting Services bei Secure Network Consulting, Inc., sowie eines Principal Security Consultant der europäischen Division von AXENT Technologies, Inc. Darüber hinaus hat Dr. Broderick bei etlichen Top-Firmen in England als Sicherheits- und Geschäfts-Consultant gearbeitet. Seine berufliche Erfahrung erstreckt sich hierbei auf die Ausarbeitung unternehmensspezifischer Trainingsprogramme, die Umsetzung grundlegender Sicherheitsmanagement-Strategien sowie die Erstellung und Implementierung von Sicherheitsrichtlinien und -prozeduren.
 

Symantec
Zum Seitenanfang
 

© ADOLPH Verlag GmbH - Letztes Update 03.05.2004