Sicherheitsrichtlinie (Security-Richtlinie, Security Policy)
Eine Sicherheitsrichtlinie oder Security-Richtlinie ist ein Dokument, in dem schriftlich festgehalten wird, wie ein Unternehmen seine physischen und informationstechnischen (IT) Vermögenswerte schützen will. Sicherheitsrichtlinien sind lebendige Dokumente, die ständig aktualisiert werden und sich ändern, wenn sich Technologien, Schwachstellen und Sicherheitsanforderungen ändern.
Die Sicherheitsrichtlinien eines Unternehmens können eine Richtlinie zur akzeptablen Nutzung (Acceptable Use Policy, AUP) enthalten. Darin wird beschrieben, wie das Unternehmen seine Mitarbeiter über den Schutz der Unternehmensressourcen aufklären will. Sie enthalten auch eine Erklärung, wie Sicherheitsmaßnahmen durchgeführt und durchgesetzt werden sollen, sowie ein Verfahren zur Bewertung der Wirksamkeit der Richtlinie, um sicherzustellen, dass notwendige Korrekturen vorgenommen werden. Oftmals ist die Bestätigung einer Acceptable User Policy die Voraussetzung, dass Anwender einen Account oder Zugriff auf ein Netzwerk erhalten.
Die Bedeutung von Sicherheitsrichtlinien
Sicherheitsrichtlinien sind wichtig, weil sie die physischen und digitalen Vermögenswerte eines Unternehmens schützen. Sie identifizieren alle Vermögenswerte des Unternehmens und alle Bedrohungen für diese Ressourcen.
Maßnahmen zur physischen Sicherheit zielen auf den Schutz der physischen Vermögenswerte eines Unternehmens ab, wie zum Beispiel Gebäude und Ausrüstung, einschließlich Computer und andere IT-Anlagen. Datensicherheitsrichtlinien schützen geistiges Eigentum vor kostspieligen Ereignissen wie Datenverletzungen und Datenlecks.
Maßnahmen zur physischen Sicherheit
Physische Sicherheitsrichtlinien schützen alle physischen Vermögenswerte eines Unternehmens, einschließlich Gebäude, Fahrzeuge, Inventar und Maschinen. Zu diesen Vermögenswerten gehören auch IT-Geräte wie Server, Computer und Drucker oder Multifunktionsgeräte.
Der physische Schutz der IT-Anlagen ist besonders wichtig. Die Geräte enthalten wichtige Unternehmensdaten. Wenn jemand Zugriff auf die Geräte oder Komponenten bekommt, können diese Informationen, die dort gespeichert und verarbeitet werden, kompromittiert werden. Daher sind die Maßnahmen zur Informationssicherheit von den Maßnahmen zur physischen Sicherheit abhängig, um die Unternehmensdaten zu schützen.
Die Maßnahmen zur physischen Sicherheit umfassen die folgenden Informationen:
- sensible Gebäude, Räume und andere Bereiche einer Organisation;
- wer befugt ist, physische Güter zu betreten, zu verwalten und zu bewegen;
- Verfahren und andere Regeln für den Zugang zu diesen Vermögenswerten sowie deren Überwachung und Handhabung; und
- Verantwortung des Einzelnen für die physischen Güter, auf die er Zugriff hat und mit denen er umgeht.
Sicherheitspersonal, Eingangstore, Vereinzelungsanlagen, Schließanlagen sowie Tür- und Fensterschlösser werden zum Schutz von Sachwerten eingesetzt. Aber auch andere, technisch anspruchsvollere Methoden werden eingesetzt, um Sachwerte zu schützen. So kann beispielsweise ein biometrisches Verifikationssystem den Zugang zu einem Serverraum beschränken. Jeder, der den Raum betritt, muss sich mit einem Fingerabdruckscanner vergewissern, dass er zum Betreten berechtigt ist.
Richtlinien für die Informationssicherheit
Folgende Vorteile bringen Richtlinien, die sich mit der Informationssicherheit befassen, mit sich:
Der Schutz sensibler Daten. Diese Richtlinien tragen dazu bei, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. Sie werden häufig zum Schutz sensibler Kundendaten und personenbezogener Daten eingesetzt.
Schutz des guten Rufs. Datenschutzverletzungen und andere Vorfälle im Bereich der Informationssicherheit können sich negativ auf den Ruf eines Unternehmens auswirken.
Sicherstellung der Einhaltung gesetzlicher und behördlicher Vorschriften. Viele gesetzliche Bestimmungen und Vorschriften zielen auf die Sicherheit sensibler Informationen ab. So schreibt beispielsweise der Payment Card Industry Data Security Standard (PCI DSS) vor, wie Unternehmen mit Zahlungskartendaten von Verbrauchern umgehen. Die Datenschutz-Grundverordnung (DSGVO) regelt beispielsweise den Umgang mit personenbezogenen Daten. Ein Verstoß gegen diese Vorschriften kann kostspielig sein und Unternehmen nachhaltig beeinträchtigen.
Die Rolle der Mitarbeiter festlegen. Jeder Mitarbeiter generiert und verarbeitet Informationen, die ein Sicherheitsrisiko darstellen können. Sicherheitsrichtlinien geben Hinweise auf das erforderliche Verhalten zum Schutz von Daten und geistigem Eigentum. Einige Schwachstellen ergeben sich aus der Interaktion mit anderen Organisationen, die möglicherweise andere Sicherheitsstandards haben. Sicherheitsrichtlinien helfen, diese potenziellen Sicherheitslücken zu erkennen.
Arten von Sicherheitsrichtlinien
Security Policies lassen sich je nach Umfang und Zweck der Richtlinie in drei Typen unterteilen:
Organisatorisch. Diese Richtlinien sind eine Grundlage für das gesamte Sicherheitsprogramm des Unternehmens.
Systemspezifisch. Eine systemspezifische Richtlinie umfasst Sicherheitsverfahren für ein Informationssystem oder ein Netzwerk.
Themenspezifisch. Diese Richtlinien zielen auf bestimmte Aspekte der allgemeinen Organisationspolitik ab. Beispiele für themenbezogene Sicherheitsrichtlinien sind die folgenden:
- In den Richtlinien zur akzeptablen Nutzung werden die Regeln und Vorschriften für die Nutzung von Unternehmensressourcen durch Mitarbeiter festgelegt.
- Zugriffskontrollrichtlinien legen fest, welche Mitarbeiter auf welche Ressourcen zugreifen können.
- Die Richtlinien für das Änderungsmanagement (Change Management) sehen Verfahren für die Änderung von IT-Ressourcen vor, so dass nachteilige Auswirkungen minimiert werden.
- Disaster-Recovery-Richtlinien gewährleisten die Geschäftskontinuität nach einer Dienstunterbrechung. Diese Richtlinien werden in der Regel erlassen, nachdem der Schaden durch einen Vorfall eingetreten ist.
- In den Richtlinien für die Reaktion auf Vorfälle (Vorfallreaktionsplan, Incident Response Plan) werden Verfahren für die Reaktion auf eine Sicherheitsverletzung oder einen Vorfall festgelegt, während diese stattfinden.
Schlüsselelemente einer Sicherheitsrichtlinie
Einige der wichtigsten Elemente einer organisatorischen Richtlinie zur Informationssicherheit sind die folgenden:
- Erklärung des Ziels;
- Erklärung, die festlegt, für wen die Richtlinie gilt;
- Zielsetzung, die in der Regel den CIA-Dreiklang (Confidentiality, Integrity und Availability - Vertraulichkeit, Integrität und Verfügbarkeit) umfasst;
- Berechtigungs- und Zugriffskontrollrichtlinien, die festlegen, wer Zugriff auf welche Ressourcen hat;
- Klassifizierung der Daten, die die Daten in verschiedene Sensibilitätskategorien einteilt - die erfassten Daten können von öffentlichen Informationen bis hin zu Informationen reichen, deren Offenlegung dem Unternehmen oder einer Person Schaden zufügen könnte;
- Datenverwendungserklärung, in der festgelegt wird, wie Daten auf jeder Ebene zu behandeln sind - dazu gehören die Angabe der Datenschutzbestimmungen, der Anforderungen an die Datensicherung und der Netzsicherheitsstandards für die Datenübermittlung, zum Beispiel durch Verschlüsselung;
- Angabe der Zuständigkeiten und Pflichten der Mitarbeiter und wer für die Überwachung und Durchsetzung der Richtlinie verantwortlich sein wird;
- Schulung des Sicherheitsbewusstseins, in der die Mitarbeiter über bewährte Sicherheitspraktiken unterrichtet werden - dazu gehört auch die Aufklärung über potenzielle Sicherheitsbedrohungen wie Phishing und bewährte Methoden der Computersicherheit bei der Verwendung von Firmengeräten; und
- Wirksamkeitsmessungen, anhand derer beurteilt werden kann, wie gut die Sicherheitsmaßnahmen funktionieren und wie Verbesserungen vorgenommen werden können.
Was ist bei der Erstellung einer Sicherheitsrichtlinie zu beachten?
IT-Teams müssen bei der Ausarbeitung einer Sicherheitsrichtlinie eine Reihe von Aspekten berücksichtigen. Dazu gehören die folgenden:
Cloud und Mobile. Für Unternehmen ist es wichtig, bei der Entwicklung von Sicherheitsrichtlinien zu berücksichtigen, wie sie die Cloud und mobile Anwendungen nutzen. Daten werden zunehmend über das Netzwerk einer Organisation und ein Spektrum von Geräten verteilt. Es ist wichtig, die erhöhte Anzahl von Schwachstellen zu berücksichtigen, die ein verteiltes Netzwerk von Geräten mit sich bringt.
Datenklassifizierung. Eine unsachgemäße Kategorisierung von Daten kann dazu führen, dass wertvolle Ressourcen für den Schutz von Daten, die nicht geschützt werden müssen, verwendet werden.
Kontinuierliche Aktualisierungen. Die IT-Umgebung eines Unternehmens und die Schwachstellen, denen es ausgesetzt ist, ändern sich mit dem Wachstum des Unternehmens, dem Wandel der Branchen und der Entwicklung von Cyberbedrohungen. Die Sicherheitsrichtlinien müssen an diese Veränderungen angepasst werden.
Rahmenwerke für Richtlinien. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) liefert in seinen Ausführungen zum IT-Grundschutz umfassende Informationen zu Sicherheitsrichtlinien, an denen sich IT-Abteilungen orientieren können.
Die Wirkung einer Sicherheitsrichtlinie
Daten sind einer der wichtigsten Vermögenswerte eines Unternehmens. Sie werden ständig generiert und über das Netzwerk einer Organisation übertragen und können auf unzählige Arten angreifbar sein. Eine Sicherheitsrichtlinie bestimmt die Strategie eines Unternehmens zum Schutz von Daten und anderen Werten.
Es ist die Aufgabe von Sicherheitsverantwortlichen - wie Chief Information Security Officers (CISO) - sicherzustellen, dass die Mitarbeiter die Sicherheitsrichtlinien befolgen, um die Vermögenswerte des Unternehmens zu schützen. Wird dies versäumt, kann dies folgende Folgen haben:
- Kundendaten in Gefahr sind;
- Bußgelder und andere finanzielle Auswirkungen; und
- Schädigung des Rufs eines Unternehmens.
Gute Cybersicherheitsstrategien beginnen mit guten Richtlinien. Die besten Richtlinien befassen sich präventiv mit Sicherheitsbedrohungen, bevor sie eine Chance haben, zu entstehen.
