IT Security Policy - Leitfaden

Präambel

Der folgende Text ist eine Art Stoffsammlung für eine security policy eines Unternehmens. Das zu erstellende Dokument sollte mit einer stichwortartigen Beschreibung von Grundsätzen zum Schutz von Mitarbeitern, Informationen, Systemen und Werten des Unternehmens beginnen, z.B.:

1. Schutz von Informationen und Systemen

Informationen und Systeme des Unternehmens, seiner Kunden, Mitarbeiter und Partner sind so zu behandeln, dass

2. Klassifizierung von Informationen

Klare Zuständigkeiten von Informationseigentümer und Informationsnutzer definieren und dokumentieren.

Verpflichtung der Informationsnutzer, Informationen, die nicht für sie bestimmt sind, nicht einzusehen und nicht zu verwenden.

Klassifizierung der Informationen entsprechend ihrer Anforderungen an die Vertraulichkeit, z.B.

streng vertraulich

Unberechtigte Veröffentlichung oder Weitergabe solcher Informationen kann größere negative Folgen oder einschneidende Störungen von Geschäftsaktivitäten nach sich ziehen. Der Zugriff auf streng vertrauliche Informationen ist auf eine geringe und namentlich genau festgelegte Anzahl von Personen begrenzt. Sparsamer Umgang mit dieser Klassifikation. Erfordernis der Unterzeichnung einer besonderen Vertraulichkeitserklärung.

Beispiele: Rezepturen, Geschäftsgeheimnisse, Insider-Informationen ...

vertraulich

Darunter fallen Informationen, deren Veröffentlichung der zukünftigen Entwicklung des Unternehmens erheblichen Schaden zufügen könnte (Wettbewerb, Finanzen, Rechtslage). Personenbezogene Daten sind grundsätzlich als vertraulich zu klassifizieren. Zugriff nur auf vom Informationseigner legitimierte Personen, Unterzeichnung einer gesonderten Vertraulichkeitserklärung

intern

Default. Für alle MitarbeiterInnen zugängliche Informationen, jedoch nicht für die Öffentlichkeit bestimmt. Weiterleitung nur an interne MitarbeiterInnen. Zugriff Externer nur mit Erlaubnis des Informationseigners.

Beispiele: interne Entwicklungsinformationen, Infos für Kunden, Sitzungsprotokolle, Präsentationen, Projektinfos ...

kundenbezogen

Für Kunden und Geschäftspartner zugängliche Informationen, die jedoch nicht für die Öffentlichkeit bestimmt sind.

Beispiel: Supportinformationen, Produktbeschreibungen ...

öffentlich (public)

alle weiteren Informationen, für die allgemeine Öffentlichkeit zugelassen, keine Schutzmaßnahmen erforderlich.

Kennzeichnungspflicht der Informationen durch die Informationseigner oder von diesen beauftragte Personen. Informationen der Klassifizierung „streng vertraulich“ dürfen nicht über Festnetz- oder Mobiltelefon übermittelt werden, sonstige elektronische Übermittlung nur mit Verschlüsselung.

Für den Informationszugang der Kategorien streng vertraulich und vertraulich gilt das „Need-to-Know“-Prinzip, d.h. Zugang zu Informationen nur in dem Maße, wie es für die Erfüllung der Arbeit erforderlich ist.

3. Autorisierung

Need-to-know-Prinzip für die Vergabe von Berechtigungen. Erweiterte Rechte im Rahmen von zusätzlich zur Grundberechtigung vergebenen Privilegien, für deren Vergabe es ein besonderes Verfahren geben muss.

Rollendefinierte Berechtigungen, Verfahren bei Versetzungen, Löschen der Berechtigung bei Verlassen des Unternehmens.

Regelungen für Berechtigungen, die nur im Rahmen von Projekten vergeben wurden (z.B. zeitliche Befristung, Erfordernis der zu beantragenden Verlängerung, automatisches Löschen nach Fristablauf).

Personelle Trennung von Zugangsanforderer und Entscheidungsträger (Vergabe der Berechtigungen).

An dieser Stelle könnte betont werden, dass es ein Bestandteil der Unternehmenskultur ist, Mitarbeiter zu ermutigen, sich auch mit Themen zu beschäftigen, die außerhalb des engeren eigenen Aufgabenfeldes liegen, deshalb innerhalb des Unternehmens für die Mitarbeiterinnen und Mitarbeiter freier Zugang zu allen Dokumenten, die als „intern“ klassifiziert sind.

Personelle Verantwortlichkeitstrennung für kritische Geschäftsbereiche (Kennzeichnungspflicht, Vier-Augen-Prinzip/Zwei-Personen-Kontrolle).

Ausdrückliches Hacking-Verbot.

Verbot der Umgehung von Autorisierungsmechanismen.

4. Umgang mit Passwörtern

Technische Erzwingung einer Mindestlänge. Komplexitätsvorschrift (Password bestehend aus Zeichen unterschiedlicher Kategorien wie z.B. Zahlen Klein- und Großbuchstaben, Sonderzeichen), Nichtableitbarkeit der Passwörter von einem in einem Wörterbuch verzeichneten Wort, Festlegung einer maximalen Gültigkeitsdauer, Einschränkungen für die Passworthistorie: keine Widerverwendung der x zuletzt benutzten Passwörter, soweit möglich alles technisch erzwungen. Empfehlungen für die Herstellung „sicherer“ Passwörter (evtl. Verfügbarkeit einer speziellen Software im Intranet, mit deren Hilfe die Benutzer die „Sicherheit“ eines Passwortes testen können). Evl. Angebot an die Benutzer, durch ein im Intranet zur Verfügung gestelltes Programm die Sicherheit von Passwörtern zu testen.

Änderungspflicht bei erstmaliger Benutzung eines zugeteilten Passwortes.

Passwörter sollen nicht aufgeschrieben oder elektronisch gespeichert werden.

Passwörter dürfen nicht weitergegeben werden, stattdessen Pflicht zur Nutzung der Delegationsfunktionen (soweit vorhanden, z.B. in Outlook).

Änderungspflicht für Passwörter bei erfolgten Gefährdungen der Vertraulichkeit.

Keine Detail-Rückmeldungen an Benutzer bei fehlerhaftem Zugangsversuch.

Höchstgrenze für fehlgeschlagene Zugangsversuche, danach Aktivierung des jeweiligen Accounts nur noch durch den zuständigen Support oder Administrator.

Zwei-Faktor-Authentifizierung für den Netzzugang via Notebook-Rechner vom home office oder von mobil, z.B. durch Verwendung einer zusätzlichen Chipkarte (z.B. RSA SecurID), Weitergabeverbot an Dritte.

Sonderregelungen für biometrische Verfahren, sobald diese verfügbar sind.

Administratoren dürfen niemals Benutzer nach ihren Passwörtern fragen. Keine Beantwortung von elektronischen Passwortnachfragen außerhalb der Zugangsfunktion für die betroffene Software.

Eventuell andere als die geschäftlichen Passwörter für erlaubte private Nutzungen verwenden.

Besondere Regelung für Server-Passwörter (versiegelter Umschlag, Aufbewahrung usw.)

In den IT-Systemen darf keine Speicherung von Passwörtern im Klartext erfolgen.

Regelungen für  Single Sign-On, sobald verfügbar.

5. Virenschutz

Installierungspflicht der offiziellen aktuellen Virenschutzsoftware auf allen Rechnern des Unternehmens. Deaktivierungs- und Änderungsverbot für die Virenschutzsoftware.

Überprüfungspflicht für alle eventuell genutzten externen Speichermedien.

Automatische Virenüberprüfung aller aus dem Unternehmen an Externe versendeten Dateien.

Handlungsanleitungen für die Benutzer, was bei festgestelltem nicht von der Schutzsoftware repariertem  Virenbefall zu  geschehen hat (z.B. System runterfahren, Netzwerkverbindung lösen, lokalen UserService benachrichtigen)

Anforderungen an die Virenschutzsoftware:  vollständige Überprüfbarkeit aller physikalischen Laufwerke des jeweiligen Rechners, die bei jedem Hochfahren des Systems oder in regelmäßigen Abständen erfolgen muss. Automatisches Aktualisierungsverfahren. Regelungen für den Erhalt der jeweils aktuellen Version der Schutzsoftware (insb. für nur gelegentlich genutzte mobile Rechner). Eingesetzte Software muss Viren sowohl auf der Grundlage bereits bekannter Viren (Virendefinitionsdateien) als auch aufgrund von fehlerhaftem Softwareverhalten erkennen.

6. Datensicherung

Automatische Sicherung aller Firmendaten auf Serverlaufwerken, Verwendungspflicht bzw. Deaktivierungsverbot für die Sicherungssoftware.  Keine Speicherung privater Daten auf für die Sicherung der Geschäftsdaten vorgesehenen Serverlaufwerke. Zuständigkeit der MitarbeiterInnen selber für ihre privat gehaltenen Daten (eventuell Angebot eines besonderen Sicherungsverfahrens).

Angebot mobiler Datensicherungsmethoden für Notebook-Rechner. Diebstahlschutzeinrichtung für bewegliche Rechner mit besonders schutzwürdigen Daten.

Verfügbarkeitsregelungen für geschäftskritische Daten (Spiegelung u.ä.).

Physikalische Trennung der Server von den Arbeitsstationen, Anforderungen an die Räumlichkeiten beschreiben (physikalische Zugangskontrolle)

Besondere Verschwiegenheitsverpflichtung der mit Aufgaben der Datensicherung betrauten Personen, falls sie Einblick in vertrauliche, nicht für sie bestimmte Daten erhalten haben.

7. Arbeitsplatzgestaltung

Wegschließpflicht für Dokumente der Kategorien streng vertraulich und vertraulich. Besondere Regelungen für den Druck solcher Dokumente.

Bildschirmschoner mit Passwortschutz obligatorisch.

Umgang mit Unterlagen in Besprechungszimmern

8. IT-Systeme und Netzwerk

Festlegung der Zuständigkeit für jedes System. Jedes System muss eine gemäß Vertraulichkeit der verarbeiteten Daten gestaffelte logische Zugangskontrolle aufweisen.

Verbot der Verwendung nicht lizenzierter Software. Lizenznachweis (Zuständigkeit und Verfahren festlegen).

Personalisierungspflicht für alle Accounts, Unzulässigkeit von sog. anonymen Accounts (z.B. root für Unix, Administrator für Windows).

Passwortänderungspflicht nach festgestelltem Systemmissbrauch.

Netzwerkarchitektur: Getrennte Teilnetze für Systeme mit besonders schutzwürdigen Informationen sowie für vom Internet aus zugängliche Teile. Intrusion Detection (IDS) für Teilnetze mit Zugang vom Internet aus, Festlegung der hier anzuwendenden IDS-Methoden.

Deaktivieren nicht gebrauchter Netzwerkdienste, dto. Dienstprogramme und Softwaretools. Sperren nicht benötigter Ports im entspr. Teilnetz.

Dokumentation des aktuellen Sicherheits-Patch-Standes bei den benutzten Betriebssystemen.

Protokollierung sicherheitsrelevanter Ereignisse, Festlegen, welche Ereignisse hierunter fallen. Eventuell gesonderte Regelung mit dem zuständigen Betriebsrat (Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG) erforderlich, falls nicht in einer IV-Rahmenvereinbarung geregelt.

Eventuell Herausgabe und laufende Aktualisierung einer Liste von unter Sicherheitsaspekten kritischen Equipments und kritischer Software, die nicht oder nur nach gesondertem Genehmigungsverfahren in abgegrenzten Umgebungen eingesetzt werden darf (z.B. Wireless Cards, WLAN Access points, die nicht vom Unternehmen geprüft und zugelassen sind. Bluetooth devices ohne Verschlüsselung, Peer-to-peer Filesharing, Messaging Software, Remote Access Tools, inoffizielle Firewalls, Software zur Umgehung von Firewalls, Sniffer-Programme, Protokollierungssoftware z.B. von Tastendrücken).

Die Verwendung von Endgeräten (Notebooks u.ä.) zu privaten Zwecken ist erlaubt, jedoch nur unter Beachtung der folgenden Einschränkungen:

9. Schutz besonderer Räumlichkeiten

Besondere Regelungen für die Aufstellung von Servern, Backup-Systemen und Notfalleinrichtungen.

Gewährleistung der erforderlichen Regelungen für  Brandschutz und Stromversorgung.

Zugangskontrollsystem, eventuell Videoüberwachung (betriebsverfassungsrechtliche Regelung erforderlich).

Klärung der Frage, inwieweit der Inhalt der Regelungen öffentlich bekannt gegeben wird.

10. Internet-Zugang, Mail und Kommunikation

Internet-Zugang als Arbeitsmittel. Unzulässige Nutzungen (Verweis auf eine geltende Betriebsvereinbarung): jede Nutzung, die geeignet ist, den Interessen des Unternehmens oder dessen Ansehen in der Öffentlichkeit zu schaden, oder die gegen geltende Rechtsvorschriften oder gegen Richtlinien und Organisationsanweisungen des Unternehmens verstößt; wie vor allem

Verbot des Aufbaus von Internet- oder anderen Netzwerkverbindungen, die Externen einen Zugang zu unternehmensinternen Systemen verschaffen.

Der Zugang zum Internet darf nur im Rahmen der freigegebenen Verfahren, Zugriffswege und Zugangssoftware erfolgen. Protokollierung der Zugriffe (Verweis auf die geltende Betriebsvereinbarung). Nutzungsdaten, die zu Datensicherheitszwecken erhoben wurden, werden nicht zu anderen Zwecken verwendet (Gewährleistung durch entsprechende Vergabe der Berechtigungen und Unterschrift entsprechender Verpflichtungserklärungen).

Vorbehalt für die eventuelle Filterung des Internet-Zugangs, wobei aber nur der Zugang zu solchen Seiten gesperrt wird, deren Nutzung gemäß den Regelungen der Unternehmens-policy nicht erlaubt ist. In einem solchen Fall automatische Nachricht an den Benutzer, Möglichkeit, auf Antrag die Freigabe zu gesperrten Seiten zu erhalten.

Beachtung, dass bei Kommunikationen mit der Firmen-Mailadresse die Empfänger möglicherweise davon ausgehen, dass man als Vertreter des Unternehmens auftritt. Deshalb insbesondere keine Verbreitung politischer oder religiöser Meinungen per Firmen-Mail-Adresse. Gilt auch für Chat-Rooms, Newsgroups und Internet-Foren.

Vertretungsregelung für die E-Mail mit Einschränkbarkeit der weitergegebenen Rechte.

Zulässigkeit der nicht geschäftlichen Nutzung von E-Mail und des Internetzugangs unter Beachtung folgender Einschränkungen

Regelungen zum Spam-Schutz: z.B. Filterung der Mail und Ablage der herausgefilterten Mails in einem gesonderten Speicherbereich für eine begrenzte Zeit (z.B. drei Wochen) mit der Möglichkeit für den Empfänger, dort die Betreffzeile der an ihn gerichteten Mails einsehen zu können und ausgewählte Mails sich zustellen zu lassen).

Gleiches Verfahren für Mails, bei denen ein Virenbefall entdeckt wurde. Klären, wie mit den befallenen Dateien umgegangen werden soll (z.B. automatische Vernichtung oder nur Vernichtung der nicht reparierbaren Dateien oder Speicherung in einem „Quarantäne-Bereich“ mit besonderem Zustellverfahren).

Bestehen auf eindeutiger Authentifizierung bei telefonisch abgewickelten Prozessen. PIN-Pflicht für Voiceboxen, Veränderungspflicht bei Verletzung der Vertraulichkeit.

Streng vertrauliche und vertrauliche Dokumente nur verschlüsselt per E-Mail und nur an dedizierte Einzelpersonen.

Klären, wie mit Wireless-Geräten umgegangen werden soll.

Verfahren für Umgang mit Fax-Geräten bei vertraulichen Informationen (Deckblatt, Kontakt mit Empfänger, Empfangsbestätigung, Aufstellung von Druckern oder elektronische Verteilung).

Die Inhalte der Mitarbeiterkommunikation (Mail, Fax, Telefon) sowie deren nähere Umstände werden nicht ohne ausdrückliche Zustimmung der betroffenen Person eingesehen oder kontrolliert.

11. Besonderer Schutz personenbezogener Daten

Einstufung personenbezogener Daten als „vertraulich“.

Kurzdarstellung der datenschutzrechtlichen Anforderungen:

Keine Auskünfte über personenbezogene Daten an Stellen außerhalb des Unternehmens, wenn dafür keine besonderen Anweisungen bestehen.

12. Mobile Geräte

Definition, was darunter verstanden wird: Notebook-Rechner, PDAs, Mobiltelefone, externe Speichermedien, Speichersticks. Hinweis, dass der Wert der dort gespeicherten Daten in der Regel um ein Vielfaches höher ist als der Wert des Gerätes.

Keine Verwendung von mobilem Equipment für Daten mit hoher Vertraulichkeit oder hohen Verfügbarkeitsanforderungen.

Passwort- oder  PIN-Pflicht für den Zugang, zusätzliche Zugangskontrolle für vertrauliche Daten, automatische Sperrung nach einer bestimmten Nichtnutzungszeit (z.B. 10 min) bei PDAs u.ä. Pflicht zur verschlüsselten Speicherung vertraulicher Daten.

Vermeidung der Benutzung privaten Equipments für Geschäftsdaten.

Empfehlungen zur Erschwerung von Diebstahl: Geräte bei sich behalten, nicht unbeaufsichtigt lassen, sofortige Meldepflicht bei Verlust oder Diebstahl.

Kontakt zum Firmennetz (Notebooks) nur mit doppelter Sicherung (Passwort und Chipkarte).

Genehmigungspflicht für alle sonstigen kabellosen Verbindungen, so lange hierfür kein Sicherheitsstandard festgelegt ist.

Sparsamer Umgang mit Geschäftsdaten auf Speicherkarten.

Verpflichtung zur Löschung sämtlicher Geschäftsdaten vor Entsorgung der Geräte.

13. Externe Zugriffe und Fremdsysteme

Strenges „Need-to-Know“-Prinzip für externe Nutzer von Unternehmenssystemen, besonderes Genehmigungsverfahren und Geheimhaltungsverpflichtung für die externen Nutzer. Zusätzliche Berechtigungen werden nur im Rahmen von zur vergebenen Grundberechtigung hinzuzufügenden Privilegien vergeben,  für diese besteht eine Dokumentierungspflicht.

Nur personalisierte Accounts, ausdrückliches Verbot der Weitergabe von Berechtigungen an andere Personen.

Standardmäßige zeitliche Befristung eines Accounts für Externe (z.B. auf drei Monate). Maximale Verlängerbarkeit (z.B. bis 12 Monate). Automatisches Löschen der Berechtigungen nach Ablauf der genehmigten Frist.

Automatische Überprüfung der Berechtigungen für Externe und automatische Löschung von Accounts, die drei Monate nicht mehr benutzt wurden.

Anbindung von Fremdsystemen an das Unternehmensnetz nur innerhalb eines Genehmigungsverfahrens und nur bei Erfordernis eines besonderen Geschäftsinteresses nach Überprüfung. Beschreibung der Sicherheitsanforderungen. Zentrale Dokumentationspflicht für alle Fremdsysteme.

Fremdsysteme im Unternehmensnetz dürfen nicht gleichzeitig an andere externe Netze angebunden sein.

14. Mitarbeiterschulungen und Öffentlichkeitsarbeit

Für die unterschiedlichen Adressatengruppen, z.B.

sollte die security policy in Auszügen mit einer allgemeinverständlichen Darstellung der sie betreffenden Inhalte veröffentlicht werden. Diese Texte sollten auch im Intranet des Unternehmens verfügbar sein.  Man könnte für die Benutzer auch Checklisten in Form elektronischer Fragebögen entwickeln (z.B. mit monatlich oder quartalsweise wechselnden Fragestellungen), die online beantwortet und ausgewertet werden könnten (Auswertungsergebnis nur für die betroffenen Personen; wenn Speicherung erwünscht, dann weiteres Verfahren in einer Betriebsvereinbarung regeln).

Statt besonderer Schulungen zum Thema IT security ist die Integration eines entsprechenden Kapitels in die jeweils erfolgenden Anwenderschulungen zu erwägen.