{"id":123206,"date":"2008-06-01T12:00:00","date_gmt":"2008-06-01T12:00:00","guid":{"rendered":"https:\/\/dievolkswirtschaft.ch\/2008\/06\/rieder-2\/"},"modified":"2023-08-23T23:41:16","modified_gmt":"2023-08-23T21:41:16","slug":"rieder","status":"publish","type":"post","link":"https:\/\/dievolkswirtschaft.ch\/de\/2008\/06\/rieder\/","title":{"rendered":"Das 10-Punkte-Programm f\u00fcr die Informationssicherheit bei KMU"},"content":{"rendered":"

\"\"
\n
\nViren und W\u00fcrmer legen ganze Informatiksysteme lahm; Unbefugte verschaffen sich Einblick in wertvolle, geheime Gesch\u00e4fts- und Produktinformationen; unersetzliche Betriebsdaten gehen wegen mangelhafter Backups unwiderruflich verloren – dies sind Bedrohungen, welche den betroffenen Betrieb nicht nur viel Zeit und Geld kosten, sondern ihn im Extremfall in seiner Existenz gef\u00e4hrden. W\u00e4hrend grosse Unternehmen heute den strategischen Wert ihrer Informationen kennen und einen entsprechenden Aufwand zu deren Schutz betreiben, herrscht bei den KMU – dem R\u00fcckgrat der schweizerischen Volkswirtschaft – zum Thema Informationssicherheit noch grosser Aufkl\u00e4rungs- und Handlungsbedarf. <\/p>\n

Einfach umsetzbarer Minimalstandard<\/h2>\n


\nHier will der Verein InfoSurance – eine gemeinsame Institution von Wirtschaft und Staat – in Zusammenarbeit mit Verb\u00e4nden und anderen KMU-nahen Institutionen und Unternehmen einen Beitrag leisten. Eine Gruppe von Fachleuten rund um InfoSurance hat ein IT-Grundschutz-Set entwickelt: das 10-Punkte-Programm f\u00fcr KMU (siehe Kasten 1 1. Zuweisung der Verantwortlichkeiten 2. Datensicherung 3. Schutz vor Computerviren 4. Sichere Verbindung ins Internet 5. Software-Aktualisierung; Patches 6. Umgang mit Passw\u00f6rtern 7. Schutz mobiler Ger\u00e4te 8. Benutzerrichtlinien 9. Physischer Schutz der IT10. Ordnung). Die darin enthaltenen Regeln verstehen sich als Minimalstandard und sind in jedem Unternehmen anwendbar. Ihre Einhaltung muss von der Gesch\u00e4ftsleitung im Rahmen ihrer Sorgfaltspflicht periodisch \u00fcberpr\u00fcft werden.\u00a0Das Programm kann mit geringem Aufwand und selbstst\u00e4ndig durch die KMU umgesetzt werden. Bei der Zusammenstellung des Pakets wurde besonderen Wert darauf gelegt, den speziellen Bed\u00fcrfnissen und M\u00f6glichkeiten eines KMU Rechnung zu tragen. Es liegt auf der Hand, dass hier nicht dieselben personellen und finanziellen Ressourcen zur Gew\u00e4hrleistung des Informationsschutzes zur Verf\u00fcgung stehen wie etwa bei einer Grossbank. Im Gegensatz zur g\u00e4ngigen Meinung ist die Etablierung eines elementaren Sicherheitsstandards im Betrieb aber nicht zwangsl\u00e4ufig mit hohen Kosten verbunden. Mindestens ebenso wichtig wie technische Vorkehrungen sind organisatorische Massnahmen – vor allem aber der Wille zu deren konsequenter Umsetzung durch die gesamte Belegschaft. <\/p>\n

Informationssicherheit ist kein Selbstzweck<\/h2>\n


\nInformationssicherheit ist kein Selbstzweck, sondern dient letztlich dem Schutz der Investitionen und dem Erfolg eines Unternehmens. Nicht alle KMU haben jedoch die gleichen Bed\u00fcrfnisse. W\u00e4hrend die einen mit sehr vertraulichen Informationen und sensiblen Personendaten zu tun haben (z.B. Treuh\u00e4nder, Juristen, \u00c4rzte), sind andere auf eine hohe Verf\u00fcgbarkeit ihrer Informatikmittel angewiesen (z.B. produzierende Unternehmen, Grafiker, Druckereien). Interessanterweise geht eine grosse Zahl von KMU davon aus, dass ihre Unternehmen kein lohnendes Ziel f\u00fcr Hacker seien. Dies ist falsch, denn ungesch\u00fctzte Systeme sind ein gefundenes Fressen und werden so manipuliert, dass sie zu Elementen eines riesigen \u00abSchwarmes\u00bb von Systemen werden, die gemeinsam einen grossen, verteilten Angriff durchf\u00fchren. In verschiedenen F\u00e4llen wurden die Verantwortlichen der Unternehmung wegen Verletzung ihrer Sorgfaltspflicht zur Rechenschaft gezogen. <\/p>\n

Die zehn Punkte des Programms<\/h2>\n

<\/p>\n

Verantwortlichkeiten<\/h3>\n


\nLegen Sie die Verantwortlichkeiten rund um die Informationssicherheit fest. Wer ist der zentrale Ansprechpartner? Wer f\u00fchrt die Datensicherung durch? Die Informationssicherheit muss von allen getragen werden. Alle Mitarbeitenden m\u00fcssen ihren Beitrag leisten, etwa indem Verschwiegenheit gegen\u00fcber Aussenstehenden gewahrt wird. Die oberste Verantwortung tr\u00e4gt jedoch immer die Gesch\u00e4ftsleitung. Um ihrer Sorgfaltspflicht gerecht zu werden, muss sie sich mit dem Thema auseinandersetzen. Eine Delegation an die IT ist weder m\u00f6glich noch sinnvoll. <\/p>\n

Datensicherung<\/h3>\n


\nEine vollst\u00e4ndige, aktuelle Datensicherung ist das A und O der Informationssicherheit. Alle relevanten Daten m\u00fcssen t\u00e4glich gesichert werden. Die Sicherung soll in Generationen erfolgen (z.B. Montag Band 1, Dienstag Band 2 usw.). Auch Wochen- und Monatsb\u00e4nder sind sinnvoll. Eine regelm\u00e4ssige Kontrolle, ob die gesicherten Daten auch tats\u00e4chlich wieder zur\u00fcckgelesen werden k\u00f6nnen, ist ebenfalls zwingend notwendig. Backup-Medien m\u00fcssen an einem sicheren Ort aufbewahrt werden, mitunter ausserhalb der Unternehmung. <\/p>\n

Virenschutz<\/h3>\n


\nEin Virenoder Malware-Schutz ist heute zum Gl\u00fcck beinahe Standard. Wichtig ist aber auch, dass dieser regelm\u00e4ssig mit den neusten Virensignaturen versorgt wird, sonst nimmt sein Schutzwert schnell ab und er wird wertlos. Somit m\u00fcssen die Aktualisierungsabonnemente regelm\u00e4ssig erneuert werden, und das Virenprogramm muss seine Signaturlisten t\u00e4glich aktualisieren k\u00f6nnen. Auch muss regelm\u00e4ssig gepr\u00fcft werden, ob der Virenschutz tats\u00e4chlich noch gestartet ist und l\u00e4uft. <\/p>\n

Firewall<\/h3>\n


\nDass das Internet neben grossen Vorteilen auch neue M\u00f6glichkeiten f\u00fcr Missbrauch er\u00f6ffnet, ist nichts Neues. Die Firewall \u00fcberwacht die Verbindung zwischen Computer und Internet und verhindert unzul\u00e4ssige Zugriffe. Es ist sehr wichtig, nicht nur die Verbindungen vom Internet nach innen zu \u00fcberwachen, sondern auch die umgekehrte Richtung. Allenfalls eingeschleuste Trojaner (Schadenssoftware) versuchen, Daten aus dem Netzwerk der Unternehmung nach aussen zu \u00fcbermitteln. Auch eine Firewall braucht Wartung und muss regelm\u00e4ssig kontrolliert werden, um Angriffsversuche zu erkennen. <\/p>\n

Software-Updates<\/h3>\n


\nSoftware ist sehr komplex. Bei der Entwicklung schleichen sich Fehler ein, welche von potenziellen Angreifern missbraucht werden. Die Hersteller bieten f\u00fcr sicherheitsrelevante Fehler Korrekturen an, so genannte Patches. Diese m\u00fcssen schnellstm\u00f6glich installiert werden, um potenzielle Schwachstellen zu beseitigen, bevor sie ausgenutzt werden k\u00f6nnen. Noch vor Jahren vergingen Wochen, ja Monate, bevor eine erkannte Schwachstelle ausgenutzt wurde; heute sind es oft nur noch Tage. Somit ist eine unverz\u00fcgliche Installation der Patches zwingend n\u00f6tig. <\/p>\n

Passw\u00f6rter<\/h3>\n


\nEin ungeeigneter Umgang mit Passw\u00f6rtern f\u00fchrt zu Identit\u00e4tsmissbrauch. Nach wie vor werden Passw\u00f6rter vom arbeitenden Personal als st\u00f6rendes \u00dcbel erachtet. Das Abschliessen des Zuganges zur Firma mit dem Schl\u00fcssel ist eine Selbstverst\u00e4ndlichkeit; das Verwenden eines Bildschirmschoners mit Passwort wird hingegen nur mit grossem Missfallen akzeptiert. Das Passwort sch\u00fctzt die digitale Identit\u00e4t und ist somit sehr vertraulich zu handhaben. Weiter muss auch die Qualit\u00e4t der Passw\u00f6rter stimmen: mindestens 8 Stellen, grosse und kleine Buchstaben, Zahlen und Sonderzeichen, keine Verwendung von Namen, Ortschaften usw. Wenn das Passwort aufgeschrieben werden muss, dann bitte pers\u00f6nlich verwahren, nicht als Post-it am Bildschirm oder unter der Tastatur! <\/p>\n

Mobile Ger\u00e4te<\/h3>\n


\nModerne mobile Ger\u00e4te – wie Handys und PDAs – sind kleine, leistungsf\u00e4hige Computer mit gewaltigen Speicherkapazit\u00e4ten. Dies gilt untern anderem auch f\u00fcr iPods, MP3-Player, Digitalkameras und Memory-Sticks. Problemlos lassen sich damit die Daten ganzer Archive innert Minuten kopieren. Falls dies nicht im Sinne der Unternehmung ist, m\u00fcssen diese M\u00f6glichkeiten auf technischer Ebene und\/oder mittels Weisungen unterbunden werden. Auf jeden Fall m\u00fcssen die mobilen Ger\u00e4te so gesch\u00fctzt werden, dass die darauf gespeicherten Daten nicht von unberechtigten Dritten eingesehen werden k\u00f6nnen. <\/p>\n

Benutzerrichtlinien<\/h3>\n


\nDie Anwendung der Informatikmittel muss geregelt sein. Was ist zul\u00e4ssig und was nicht? Angepasste, umsetzbare Benutzerweisungen legen fest, wie die zur Verf\u00fcgung gestellten Computer eingesetzt werden d\u00fcrfen. D\u00fcrfen eigene Programme installiert werden? Darf der Virenschutz ausgeschaltet werden, damit die Anwendungen schneller laufen? D\u00fcrfen Daten auf der lokalen Festplatte abgelegt werden? Diese und weitere Fragen m\u00fcssen gekl\u00e4rt sein. Benutzerrichtlinien d\u00fcrfen nicht zu einem Papiertiger verkommen. Die Umsetzung durch alle Mitarbeitenden ist durchzusetzen. <\/p>\n

Zutritt zur Infrastruktur<\/h3>\n


\nDer Zutritt zur Unternehmung muss im Rahmen des M\u00f6glichen und Sinnvollen geregelt sein. Die Server und die Netzwerkinfrastruktur geh\u00f6ren eingeschlossen und f\u00fcr Dritte nicht zug\u00e4nglich. Auch muss der Zutritt zu den B\u00fcror\u00e4umen oder zur Produktion kontrolliert erfolgen. Die ganzen Massnahmen zum Schutz der Informationen in den Computern sind wenig sinnvoll, wenn die wertvolle Information einfach in verwaisten B\u00fcros beschafft werden kann. <\/p>\n

Ordnung<\/h3>\n


\nAuch im Computer m\u00fcssen die Dokumente nachvollziehbar abgelegt werden. Eine sinnvolle, funktionelle Ablagestruktur spart regelm\u00e4ssigen Suchaufwand. Dass zumindest abteilungsintern ein einheitliches System verwendet wird, ist von grosser Bedeutung. Arbeitspl\u00e4tze mit vertraulichen Daten sind beim Verlassen immer aufzur\u00e4umen; die Clear-Desk-Politik ist anzuwenden. Bei der Entsorgung von Daten muss auf eine zuverl\u00e4ssige Vernichtung geachtet werden. Papier geh\u00f6rt in den Schredder; ausgediente Computer m\u00fcssen mit einer speziellen Software gel\u00f6scht werden (Wiping), oder die Datentr\u00e4ger sind endg\u00fcltig zu zerst\u00f6ren.
\n
\nKasten 1: Das 10-Punkte-Programm 1. Zuweisung der Verantwortlichkeiten 2. Datensicherung 3. Schutz vor Computerviren 4. Sichere Verbindung ins Internet 5. Software-Aktualisierung; Patches 6. Umgang mit Passw\u00f6rtern 7. Schutz mobiler Ger\u00e4te 8. Benutzerrichtlinien 9. Physischer Schutz der IT10. Ordnung
\n
\nKasten 2: Verein InfoSurance Der Verein InfoSurance ist eine gemein-same Institution von Wirtschaft und Staat f\u00fcr einen sicheren Informations- und Kommunikationsplatz Schweiz mit dem Schwergewicht KMU und Heimanwender. Sie will organisatorische und infrastrukturseitige Voraussetzungen schaffen, damit den Risiken der zunehmenden Abh\u00e4ngigkeit von Informationstechnologien wirkungsvoll und effizient begegnet werden kann.N\u00e4here Informationen \u00fcber den Verein InfoSurance finden Sie auf der Website www.infosurance.ch<\/a> .
\n
\nKasten 3: Brosch\u00fcre und IT-Sicherheitshandbuch f\u00fcr KMU Das 10-Punkte-Programm kann als Brosch\u00fcre von der Website der InfoSurance www.infosurance.ch<\/a> heruntergeladen werden. Bestellungen der gedruckten Brosch\u00fcre oder Fragen im Zusammenhang mit Informationssicherheit in KMU richten Sie bitte an info@infosurance.ch. F\u00fcr weiterf\u00fchrende Informationen empfehlen wir das IT-Sicherheitshandbuch f\u00fcr die Praxis. Grunds\u00e4tzliches wird erkl\u00e4rt und mit vielen Praxisbeispielen untermauert. Die beiliegenden Checklisten und Vorlagen unterst\u00fctzen die Umsetzung. Das Handbuch kann auf www.sihb.ch<\/a> bestellt werden.<\/p>","protected":false},"excerpt":{"rendered":"

Viren und W\u00fcrmer legen ganze Informatiksysteme lahm; Unbefugte verschaffen sich Einblick in wertvolle, geheime Gesch\u00e4fts- und Produktinformationen; unersetzliche Betriebsdaten gehen wegen mangelhafter Backups unwiderruflich verloren – dies sind Bedrohungen, welche den betroffenen Betrieb nicht nur viel Zeit und Geld kosten, sondern ihn im Extremfall in seiner Existenz gef\u00e4hrden. W\u00e4hrend grosse Unternehmen heute den […]<\/p>","protected":false},"author":3167,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[66],"post_opinion":[],"post_serie":[],"post_content_category":[154],"post_content_subject":[],"acf":{"seco_author":3167,"seco_co_author":null,"author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Dipl. El.-Ing. FH, Leiter Informationssicherheit Hochschule Luzern - Wirtschaft, Inhaber isec ag Luzern, Pr\u00e4sident Verein InfoSurance","seco_author_post_occupation_fr":"Responsable de la s\u00e9curit\u00e9 de l'information \u00e0 la Haute \u00e9cole de Lucerne - \u00c9conomie, propri\u00e9taire de isec ag Lucerne, pr\u00e9sident de l'association InfoSurance","seco_co_authors_post_ocupation":null,"short_title":"","post_lead":"Mit zunehmender Automatisierung und Vernetzung der Gesch\u00e4ftsprozesse wird Informationssicherheit auch f\u00fcr die kleinen und mittleren Unternehmen (KMU) ein immer wichtigeres Thema. Wie ein angemessener IT-Grundschutz ohne hohen Zeit- und Kostenaufwand zu erreichen ist, zeigt der Verein InfoSurance mit seinem einfach umsetzbaren 10-Punkte-Programm f\u00fcr KMU. Mit diesem Programm wird ein KMU in die Lage versetzt, notwendige Massnahmen zur Verbesserung der Informationssicherheit zu erkennen und in eigener Regie oder in Zusammenarbeit mit dem IT-Support umzusetzen.","post_hero_image_description":"","post_hero_image_description_copyright_de":"","post_hero_image_description_copyright_fr":"","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":123209,"main_focus":null,"serie_email":null,"frontpage_slider_bild":"","artikel_bild-slider":null,"legacy_id":"8815","post_abstract":"","magazine_issue":null,"seco_author_reccomended_post":null,"redaktoren":null,"korrektor":null,"planned_publication_date":null,"original_files":null,"external_release_for_author":"19700101","external_release_for_author_time":"00:00:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/exedit\/55b5fc0169ea1"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/123206"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/3167"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/comments?post=123206"}],"version-history":[{"count":1,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/123206\/revisions"}],"predecessor-version":[{"id":128099,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/123206\/revisions\/128099"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/3167"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/media?parent=123206"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post__type?post=123206"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_opinion?post=123206"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_serie?post=123206"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_category?post=123206"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_subject?post=123206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}