platinus Informationssicherheits-Erklärung
IT-Security Policy = Schutz von Informations-Assets
Informationen sind für uns ein schützenswertes Asset. Aus diesem Grund betreiben wir ein internes Informationssicherheits-Managementsystem (ISMS) in Anlehnung an die ISO27.000 und an IEC62443.
Dokumenteninformation
Zweck
platinus CONSULTING nimmt den Schutz von "Digital Content" - also von Daten und Informationen - sehr ernst. Die nachfolgende Erklärung gibt Ihnen einen Überblick darüber, welche technischen und organisatorischen Maßnahmen (TOM) wir zum Informationsschutz anwenden.
Geltungsbereich
Diese Informationssicherheitserklärung gilt, für Informationen im Hohheitsgebiet von platinus Consulting.
Dokumentenverantwortung
Kontaktdaten des Datenschutzverantwortlichen
Diese Informationssicherheitserklärung beschreibt technischen und organisatorischen Maßnahmen (TOM) zum Informationsschutz von platinus CONSULTING (PROVIDER). Sie erreichen unseren betrieblichen Informationssicherheitsbeauftragten unter platinus Consulting GmbH&CoKG, Dr. Christian Tipotsch, Kaulbachstrasse 12/4, 1120 Wien , E-Mail: datenschutz(at)platinus.at.
Zuständigkeiten
- Erstellung: Der Informationssicherheitsbeauftragten ist für die Erstellung und Aktualisierung dieses Informationen respektive des Dokumentes verantwortlich.
- Prüfung Das Dokument wird jährlich beziehungsweise bei relevanten Änderungen durch die Geschäftsführung überprüft und bei Bedarf angepasst. Die Wiedervorlage des Dokumentes wird über unser internes ISMS- und QM-System angestoßen.
- Freigabe: Die Freigabe des Dokumentes erfolgt durch die Geschäftsführung.
- Verteilung: Die Verteilung der Informationen erfolgt über den internen IT-HUB.
- Kenntnisnahme und Verpflichtung zur Umsetzung: Der Empfänger bestätigt die Kenntnisnahme und verpflichtet sich somit zur Umsetzung der im Dokument obligatorischen Vorgaben.
Dokumentenhistorie
Diese Informationssicherheitserklärung wurde im Zuge der Neugestaltung dieser Website überarbeitet.
Diese Informationssicherheitserklärung wurde aktualisiert:
- 2021-12 erstellt
- 2023-08 update
Erkennung und Meldung von Sicherheitsvorfällen
IT-Systeme zur Erkennung und Abwehr von Sicherheitsvorfällen, oft als "Intrusion Detection and Prevention Systems" (IDPS) bezeichnet, haben den Zweck, die Informationssicherheit von Computersystemen, Netzwerken und Daten zu gewährleisten, indem sie potenzielle Angriffe oder Sicherheitsverletzungen identifizieren, melden und darauf reagieren. Der Hauptzweck solcher Systeme besteht darin, Bedrohungen zu erkennen und zu verhindern, bevor sie Schaden anrichten können. Hier sind einige der Hauptziele von IT-Systemen zur Erkennung und Abwehr von Sicherheitsvorfällen:
- Früherkennung von Angriffen: Diese Systeme überwachen kontinuierlich den Datenverkehr, die Aktivitäten und die Ereignisse in einem IT-System oder Netzwerk. Sie suchen nach ungewöhnlichen oder verdächtigen Mustern, die auf mögliche Angriffe oder Sicherheitsverletzungen hinweisen könnten.
- Sicherheitslücken identifizieren: IT-Systeme zur Erkennung von Sicherheitsvorfällen können Schwachstellen und Sicherheitslücken in Systemen und Netzwerken aufdecken, die von Angreifern ausgenutzt werden könnten.
- Echtzeit-Reaktion: Ein wesentlicher Aspekt dieser Systeme ist die Fähigkeit, in Echtzeit auf erkannte Bedrohungen zu reagieren. Dies kann bedeuten, den Angriff zu blockieren, den betroffenen Bereich zu isolieren oder Benachrichtigungen an Sicherheitsadministratoren zu senden.
- Protokollierung und Berichterstattung: IDPS-Systeme zeichnen Ereignisse und Aktivitäten auf, um sie später zu analysieren, zu überprüfen und zu berichten. Diese Protokolle können bei der Untersuchung von Vorfällen und der Einhaltung von Sicherheitsrichtlinien hilfreich sein.
- Verhinderung von Datenlecks: Einige IDPS-Systeme sind in der Lage, den Datenverkehr auf sensible oder vertrauliche Informationen zu überwachen, um den unerlaubten Abfluss von sensiblen Daten zu verhindern.
- Sicherheitsbewusstsein stärken: Durch die kontinuierliche Überwachung und Erkennung von Angriffen können Organisationen ein höheres Sicherheitsbewusstsein entwickeln und aufrechterhalten.
- Reduzierung von Schäden: Durch schnelle Erkennung und Abwehr von Angriffen können potenzielle Schäden minimiert oder sogar vermieden werden.
- Anpassungsfähigkeit: Moderne IDPS-Systeme lernen aus vergangenen Vorfällen und Angriffsmustern. Sie passen sich an neue Bedrohungen und Angriffstaktiken an und verbessern so im Laufe der Zeit ihre Fähigkeiten zur Erkennung und Abwehr.
Zusammenfassend dient das Hauptziel von IT-Systemen zur Erkennung und Abwehr von Sicherheitsvorfällen darin, die Informationssicherheit zu erhöhen, sensible Daten zu schützen und die Integrität, Verfügbarkeit und Vertraulichkeit von IT-Systemen und Netzwerken sicherzustellen.
"TOMs" steht für "Technische und Organisatorische Maßnahmen". Im Kontext der Erkennung und Abwehr von IT-Sicherheitsvorfällen sind TOMs spezifische technische und organisatorische Schritte oder Kontrollen, die Unternehmen implementieren, um ihre IT-Systeme und Netzwerke vor Angriffen und Sicherheitsverletzungen zu schützen. Hier sind einige TOMs, die in diesem Zusammenhang relevant sein könnten:
Technische Maßnahmen:
- Firewalls: Firewalls sind Sicherheitsgeräte, die den Datenverkehr zwischen einem internen Netzwerk und externen Netzwerken kontrollieren. Sie können unerlaubte Zugriffe blockieren und schädliche Inhalte abwehren. Es wird der
- Intrusion Detection and Prevention Systems (IDPS): Diese Systeme überwachen den Netzwerkverkehr auf verdächtige Aktivitäten oder Anomalien und können automatisch auf mögliche Angriffe reagieren.
- Antivirus-Software: Antivirus-Programme scannen Dateien und Anwendungen auf schädliche Software, Viren und Malware und blockieren oder entfernen diese.
- Patch-Management: Regelmäßige Aktualisierung und Installation von Sicherheitspatches und Updates für Betriebssysteme, Anwendungen und Software, um bekannte Schwachstellen zu beheben.
- Verschlüsselung: Verschlüsselungstechnologien schützen Daten vor unbefugtem Zugriff, indem sie die Daten in unleserliche Form umwandeln, es sei denn, der autorisierte Empfänger entschlüsselt sie.
- Multi-Faktor-Authentifizierung (MFA): MFA erfordert mehr als nur ein Passwort zur Anmeldung, z. B. zusätzliche PINs, Fingerabdruck oder Tokens, um die Sicherheit von Benutzerkonten zu erhöhen.
- "Zero Trust"-Konzept in der IT-Sicherheit ist ein Ansatz, bei dem grundlegendes Misstrauen gegenüber jeglichen Aktivitäten und Benutzern im Netzwerk oder in IT-Systemen herrscht. Anders ausgedrückt bedeutet es, dass keine Annahmen darüber getroffen werden, dass irgendein Teil des Netzwerks oder irgendeine Ressource sicher ist. Stattdessen wird davon ausgegangen, dass potenziell jede Aktivität, jeder Zugriff oder jeder Nutzer eine Bedrohung darstellen könnte. Das Ziel des "Zero Trust"-Konzepts ist es, die Angriffsfläche zu minimieren, die Reaktion auf Sicherheitsvorfälle zu beschleunigen und die IT-Sicherheit insgesamt zu stärken. Dieser Ansatz berücksichtigt die Realität moderner Bedrohungen, bei denen herkömmliche Verteidigungsperimeter oft überwunden werden können. Statt auf Vertrauen zu setzen, wird in jedem Schritt und für jede Interaktion im Netzwerk auf Sicherheit geachtet. Das "Zero Trust"-Konzept beinhaltet mehrere Schlüsselprinzipien:
- Perimeterlose Sicherheit: Anstatt sich auf traditionelle Sicherheitsperimeter zu verlassen, die das interne Netzwerk vom externen trennen, werden Sicherheitsmaßnahmen direkt auf Anwendungen, Daten und Nutzer angewendet.
- Identitäts- und Zugriffsverwaltung (IAM): Starke Authentifizierung, Autorisierung und Zugriffskontrolle sind grundlegende Elemente des "Zero Trust"-Ansatzes. Nur authentifizierte und autorisierte Nutzer haben Zugriff auf bestimmte Ressourcen.
- Mikrosegmentierung: Netzwerke und Ressourcen werden in kleine, isolierte Bereiche unterteilt (VLANs), die separat geschützt und überwacht werden können. Dies begrenzt die Auswirkungen von Sicherheitsverletzungen.
- Least-Privilege-Prinzip: Nutzer und Prozesse erhalten nur die minimalen Berechtigungen, die sie für ihre Arbeit benötigen. Dadurch wird das Risiko von Missbrauch oder unbeabsichtigten Fehlern reduziert.
- Permanentes Monitoring und Analyse: Der Netzwerkverkehr, Benutzeraktivitäten und Datenbewegungen werden kontinuierlich überwacht, um verdächtige Aktivitäten oder Anomalien zu erkennen.
- Kontinuierliche Authentifizierung: Die Authentifizierung erfolgt nicht nur einmal beim Anmelden, sondern wird während der gesamten Sitzung oder Transaktion überwacht. Es werden auf der Netzwerkseite Radius-Server eingesetzt.
- Verschlüsselung: Daten werden teilweises im Ruhezustand aber immer während der Übertragung verschlüsselt, um sie vor unbefugtem Zugriff zu schützen.
Organisatorische Maßnahmen:
- Sicherheitsrichtlinien und Standards: Festlegung klarer Sicherheitsrichtlinien und -standards, die von allen Mitarbeitenden und Nutzern eingehalten werden müssen.
- Regelmäßige Schulungen: Schulungen und Sensibilisierungsmaßnahmen für Mitarbeitende, um sie über Sicherheitsbest practices, Phishing-Prävention und sichere Nutzung von IT-Ressourcen zu informieren.
- Notfallpläne: Ausarbeitung von Plänen für den Umgang mit Sicherheitsvorfällen, um im Falle eines Angriffs effektiv reagieren zu können.
- Zugriffskontrolle: Verwaltung von Berechtigungen und Zugriff auf Ressourcen und Systeme, um sicherzustellen, dass nur autorisierte Personen darauf zugreifen können.
- Überwachung und Auditing: Regelmäßige Überwachung der Systeme, Aktivitäten und Benutzeraktivitäten sowie Aufzeichnung von Protokollen für spätere Analysen.
- Incident Response-Planung: Ausarbeitung von detaillierten Plänen, wie auf Sicherheitsvorfälle reagiert werden soll, um die Auswirkungen zu minimieren und die Wiederherstellung zu beschleunigen.
Diese TOMs sind in der Regel Teil eines umfassenden Sicherheitsansatzes und sollten je nach den spezifischen Anforderungen und Risiken einer Organisation angepasst werden.
Verweise
- https://www.sicherheitshandbuch.gv.at/
- https://fachglossar.platinus.at/docs/Glossar/I-Glossar/Informationssicherheit/
- https://it-servicekatalog.platinus.at zu IT-Richtlinien
- https://it-servicekatalog.platinus.at zu IT-Services
- IT-HUB