ich war hier: DatenSicherheitLeitfaden2024

Version [101630]

Dies ist eine alte Version von DatenSicherheitLeitfaden2024 erstellt von WojciechLisiewicz am 2024-09-26 11:13:18.

 

Datensicherheitsleitfaden für Thüringer Verwaltungen und Unternehmen

Volltext

A. Überblick über den Leitfaden und seine Erläuterung
Sicherheit jeglicher, computergestützter Datenverarbeitungssystemen wird in Fachkreisen stets auf mehreren Ebenen betrachtet. Einen ausführlichen Überblick finden Sie bei uns in diesem Artikel. An dieser Stelle sollten wir aber deutlich machen, was das konkret heißt. Und in der Praxis bedeutet dies, dass Sie für Sicherheit Ihrer EDV sowie Ihrer Daten nur dann sorgen können, wenn Sie:
  • den Betrieb Ihrer Systeme und digitale Datenverarbeitung hinreichend rechtlich abgesichert haben (!),
  • die Aufgaben im Kontext der EDV und Datenverarbeitung klar geregelt und transparent verteilt - also für eine geordnete und sinnvolle Organisation gesorgt haben,
  • über qualifiziertes Personal verfügen und dessen Qualifikation auch fördern,
  • Ihre übrige Infrastruktur (Gebäude, Grundstücke, Infrastruktur - z. B. Stromversorgung) in die Betrachtung der IT-Sicherheit einbezogen haben,
  • und letztlich über hinreichende Sicherheit in technischer Hinsicht - also mit Ihrer Hardware und Software - verfügen.

Sollte der vorliegende Leitfaden viele konkrete technische Hinweise enthalten, dann liegt das daran, dass im Bereich von Hardware aber insbesondere Software die größten von uns beobachteten Defizite im Hinblick auf die Sicherheit bestehen und diese Defizite auf Unwissen und fehlende Kenntnis der Softwarelandschaft zurückzuführen sind. Die Herausforderungen aus den rechtlichen, organisatorischen oder personellen Bereichen sollten allerdings niemals auf die leichte Schulter genommen und vernachlässigt werden. Deshalb weisen wir darauf an dieser Stelle ausdrücklich hin: lassen Sie die von uns empfohlenen technischen Maßnahmen durch die übrigen - ebenso notwendigen - flankieren, dann erhalten Sie ein perfektes Datensicherheitssystem. Damit senken Sie Risiken der IT erheblich und nutzen die Vorteile der Digitalisierung stressfrei.

B. Technik

1. Viel Software = viel Risiko!
Für das Jahr 2023 stellt das BSI fest, dass täglich 68 neue Schwachstellen in Softwareprodukten entdeckt werden [1]. Was ist die logische Konsequenz aus diesem Umstand?
    • ein verantwortungsvoller Entscheider in Unternehmen und Verwaltungen setzt nur so viel Software, wie zwingend nötig und so wenig wie möglich ein! überlegen Sie also, ob Sie das Produkt des Anbieters XYZ auch noch brauchen oder ob die gleiche Aufgabe vielleicht ähnlich durch bereits vorhandene Software erledigt werden kann!
    • fragen Sie sich, ob die eingesetzte Software schlank ist - dient sie nur zur Erledigung ihrer Aufgaben oder bringt sie "kostenlos" einen Balast mit, den Sie nicht benötigen - der aber Lücken mitbringen könnte? Dei Softwareindustrie neigt stark dazu, Ihnen große Pakete zu verkaufen, um den Eindruck zu erwecken, dass Sie viel für wenig Geld erhalten - sicherheitstechnisch handelt es sich aber um keinen finanziellen Vorteil, sondern um einen gewaltigen Nachteil!
    • suchen Sie explizit nach Anbietern schlanker Software - das alte UNIX-Prinzip (one task - one program) ist dabei erstaunlich sinnvoll - schauen Sie also, ob Sie insbesondere für kritische Anwendungen nicht etwas auf Basis von UNIX nutzen könnten! dies ist keine Werbung für ein konkretes Produkt (UNIX-artige Software ist eine riesige Familie unterschiedlicher Anbieter) sondern ein Hinweis auf einen notwendigen Paradigmenwechsel bei Softwareeinsatz - weniger ist eindeutig mehr (Sicherheit);

2. Monokulturen

3. Sicherheitswerkzeuge

C. Geschäftliche und finanzielle Entscheidungen
Outsourcing?


[1] BSI, Bericht zur Lage der IT-Sicherheit in Deutschland 2023, Seite 11.
Diese Seite wurde noch nicht kommentiert.
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki