Decker Consulting GmbH

Management and Information Technology Solutions

ausbilden, prüfen, bewerten, optimieren -
Informationssicherheit und IT nach Mass

Decker Consulting GmbH aktuell - September 2008

Decker Consulting GmbH
 
 
 

Inhalt

 
 
 

Informationssicherheit unterwegs: Impressionen einer Geschäftsreise

Cisalpino Lugano - Zug: Unmittelbar nach Abfahrt in Lugano holen die beiden Reisenden im Abteil auf der anderen Seite des Ganges einige Geschäftsunterlagen und ihre Laptops heraus. Sofort beginnt eine eher lautstarke Unterhaltung über Geschäftsinhalte. Ein paar Minuten später stösst noch ein Geschäftspartner zu ihnen, der zufällig im gleichen Zug sitzt. Die Unterhaltung wird noch einmal lebhafter. Nach ca. 15 Minuten begibt man sich gemeinsam in den Speisewagen. Die Geschäftsunterlagen und die Laptops bleiben zurück, offen auf dem Tisch und ohne Bildschirmschoner. Die geöffneten Taschen werden auch nicht mitgenommen. Kurz vor Arth-Goldau kehren die beiden Abteilnachbarn zurück. Per Mobiltelefon werden einige Details der geplanten Besprechungen in Zürich lautstark vorabgeklärt. Dann erreichen wir Zug und ich steige aus.

S-Bahn Zug - Rotkreuz: Mein Sitznachbar diskutiert am Telefon die Strategie und die Bestände der Lagerhaltung seines Unternehmens und weist den Gesprächspartner explizit auf die absolute Vertraulichkeit der Information hin. Ich kann dem Gespräch mühelos folgen.

S-Bahn Rotkreuz - Zug: Auf der Rückfahrt werde ich Zeuge, wie ein Mitreisender im Abteil vor mir einen seiner Mitarbeiter am Mobiltelefon rüde abkanzelt. Am Ende des Gesprächs gibt es kumpelhaftes Happy End.

SBB Zug - Zürich-Flughafen: Jetzt erfahre ich, wie der Reisende im Abteil hinter mir für ein grosses Datawarehouse Projekt seine Bieterstrategie entwickelt und Details der Konkurrenzsituation bespricht. Der Reisende im Abteil über den Gang schräg vor mir bereitet auf seinem Laptop eine Kostenkalkulation vor. Dank der gewählten grossen Schrift kann ich alles gut erkennen.

Zürich-Flughafen, im Shoppingbereich: Ich beobachte, wie ein Reisender sein neues Mobiltelefon auspackt, aus dem alten die SIM-Karte entfernt und in das neue einbaut. Danach wirft er das alte Telefon in einen Abfallkübel.

Zürich-Flughafen, Raucherlounge: Mein Banknachbar hat neben sich einen zugeklappten Laptop stehen. Kurze Zeit später steht er auf und will die die Lounge verlassen. Ich mache ihn auf seinen Laptop aufmerksam, er bedeutet mir aber, dass sei nicht seiner und verlässt den Raum. Einige Minuten später eilt ein Mann herein, greift sich den Laptop und verschwindet. Ob das tatsächlich der Besitzer des Laptops ist, weiss ich nicht. Vielleicht hat er den Vorfall auch nur durch die grosszügig bemessenen Glasscheiben der Raucherlounge beobachtet.

Auch während des weiteren Verlaufs der Reise wurde ich reichhaltig mit Information versorgt. War das nun ein ganz aussergewöhnliche Aneinanderreihung von Zufällen, waren meine Beobachtungen die Ausnahme an und für sich? Leider nein. So kommen z.B. auf europäischen Flughäfen gemäss einer Studie (Juni 2008) des Ponemon Instituts im Auftrag von Dell wöchentlich über 3,300 Laptops abhanden. Diese Verlustrate bezieht jedoch lediglich die acht größten Airports des Kontinents ein. Und auch sonst ist man im allgemeinen im Umgang mit mobilen Endgeräten grosszügig. Im November 2006 hat Pointsec weltweit rund 2,000 Taxifahrer befragt. Die Ergebnisse sind alarmierend: Jeden Tag verlieren Fahrgäste tausende von PDAs, Handys, Laptops und USB-Sticks. Die darauf enthaltenen Daten sind in der Regel schlecht geschützt. Berge mobiler Endgeräte werden täglich von Fahrgästen im Alltagsstress in Taxis vergessen. Allein in den sechs Monaten vor November 2006 haben Fahrgäste in Londoner Taxis etwa 55,000 Mobiltelefone, 5,000 Handhelds, 3,000 Laptops und 900 USB-Sticks liegen lassen.

Wie kann es zu einem derartigen Verhalten kommen? Häufig wird der Schutz von geschäftskritischer Information durch den einzelnen Mitarbeiter noch nicht einmal als wichtiges Thema wahrgenommen. Doch selbst wenn das der Fall sein sollte, ist es noch ein mehrstufiger Prozess, bis sicherheitsverantwortliches Verhalten unternehmensweit zu einer positiv besetzten inneren Haltung wird, die das Verhalten aller Mitarbeiter dauerhaft prägt. Denn frei nach dem bedeutenden Verhaltensforscher Konrad Lorenz heisst gehört nicht immer richtig verstanden, verstanden nicht immer einverstanden, einverstanden nicht immer angewendet und angewendet nicht immer auf Dauer beibehalten. Damit ist auch klar, dass es nicht ausreicht, eine Richtlinie zu erlassen oder einen disziplinarischen Prozess einzurichten. Wie sollen die Mitarbeiter denn wissen, wie sie sich korrekt zu verhalten haben, wenn sie das Thema noch nicht einmal bewusst wahrgenommen haben? Ebenso wenig ist eine einmalige Informationsveranstaltung ausreichend. Möchte man nachhaltige Wirkung erzielen, muss ein Sensibilisierungs-, Ausbildungs- und Schulungspaket geschnürt werden, das auf die Unternehmenskultur zugeschnitten ist.

Und auf welcher Entwicklungsstufe befinden sich Ihre Mitarbeiter?

Dr. habil. Karsten M. Decker

 
 
 

News

  • ISO/IEC 27001:2005 Zertifikate im September 2008. Per September 2008 nennt das freiwillige Register International Register of ISMS Certificates weltweit 4,803 Zertifikate, gegenüber 4,500 Zertifikaten Im Mai 2008. Dabei sind im September Zertifikate des Vorgängerstandards BS 7799-2 der British Standards Institution, die nicht in ISO/IEC 27001:2005 Zertifikate gewandelt wurden, nicht mehr enthalten. Im Durchschnitt wächst die Anzahl der Zertifikate um etwa 1,000 pro Jahr. Nach Ländern geordnet lauten die fünf Spitzenreiter weltweit Japan (2,770, + 216), Indien (426, + 5), das Vereinigte Königreich (368, + 3), Taiwan (183, +2 ) und China (161, + 57). Die fünf Spitzenreiter in Europa sind das Vereinigte Königreich (368, + 3), Deutschland (108, + 7), Ungarn (74, + 13), Tschechien (66) und Italien (54). Für die Schweiz werden insgesamt 4 Zertifizierungen (- 8) genannt. Die Veränderungen beziehen sich jeweils auf Mai 2008. Wo diese nicht angegeben werden, fehlen die Vergleichszahlen. Der Wegfall der nur BS 7799-2 zertifizierten Unternehmen mag die geringen Zuwachsraten in Indien, UK, Taiwan und Deutschland und die Reduktion in der Schweiz erklären. Die Steigerung der registrierten Zertifikate in China um 55 Prozent und in Ungarn um 21 Prozent ist beachtlich.
 
 
 

Fakten und Zahlen

  • Drucker und Kopierer sind grosses Sicherheitsrisiko. Die EU-Agentur für ``European Network and Information Security'' (ENISA) warnt, dass Drucker und Kopiergeräte, die mit dem Web verbunden sind, eine potenzielle Schwachstelle für das Unternehmensnetzwerk darstellen können. Das Risikobewusstsein von Unternehmen ist mangelhaft. Der Output über Drucker, Kopierer sowie andere Geräte wird oft nicht über das Sicherheitsmanagement geregelt. Dadurch wird die Vervielfältigung von sensiblen Informationen leicht gemacht. Auch Drucker und Multifunktionsgeräte verfügen über eine Festplatte, die über ein Netzwerk erreichbar ist und auf der sich Daten aus verschiedenen Abteilungen und von Mitarbeitern befinden, die leicht gespeichert und beliebig weiterversendet werden können.
    (Quelle: pressetext.austria, pte080605002, 5. Juni 2008)
  • Smartphones für Unternehmen ein höheres Sicherheitsrisiko als Laptops. Gemäss einer Umfrage von CREDANT Technologies geben mehr als die Hälfte der 300 befragten Sicherheitsfachleuten an, nicht jedes Mal ein Kennwort zu benutzen, wenn sie sich an ihrem eigenen Handy beziehungsweise Smartphone anmelden. Der Grossteil der Smartphones ist, anders als Unternehmens-Laptops, persönliches Eigentum der Mitarbeiter und ermöglicht dennoch Zugang zum Unternehmensnetzwerk. 91 Prozent der Befragten geben an, dass Smartphones in ihrem Unternehmen mit keiner zusätzlichen Sicherheit ausgerüstet sind oder Einschränkungen unterliegen (81 Prozent). Wenn eine Person mit IT-Kenntnissen ein solches Device durch Diebstahl oder Verlust in die Hände bekommt, kann diese mithilfe der Informationen auf dem Gerät die ID des Besitzers annehmen und auf das Unternehmensnetzwerk zugreifen. Bei 71 Prozent der Befragten sind Handys oder Smartphones nicht in die Sicherheits-Policy eingeschlossen, 68 Prozent ignorieren USB-Sticks, MP3-Player und weitere Speichergeräte.
    (Quelle: Securitymanager.de, 5. Juni 2008)
  • Massive Notebook-Verluste an Flughäfen. Auf europäischen Flughäfen kommen gemäss einer Studie (Juni 2008) des Ponemon Instituts im Auftrag von Dell wöchentlich über 3,300 Laptops abhanden. Diese Verlustrate bezieht jedoch lediglich die acht grössten Airports des Kontinents ein. An der Spitze liegt der Flughafen London Heathrow mit angeblich 900 Geräte pro Woche. Platz zwei belegt der Amsterdamer Airport Schiphol, gefolgt von Paris Charles de Gaulle. Hier sind immerhin noch Verluste von jeweils etwa 700 Stück wöchentlich zu beklagen.
    (Quelle: Securitymanager.de, 7. August 2008)
 
 
 

Informationssicherheit und Outsourcing leicht gemacht

Für Sie gratis bereitgestellt: Schnelltests und vollständige Selbstbewertungsformulare zu den folgenden Themen:

Überzeugen Sie sich selbst vom praktischen Wert unserer Formulare.

 
 
 

White Papers

Alle White Papers sind kostenlos.

 
 
 

Jobs

Suchen Sie eine neue Herausforderung? Können Sie auf eine langjährige erfolgreiche Berufstätigkeit als Linienverantwortlicher zurückblicken? Möchten Sie nicht nur beraten, sondern die von Ihnen erarbeiteten Konzepte auch verantwortlich umsetzen?

Zur Erweiterung unseres Teams freier Mitarbeiter suchen wir erfahrene Fachspezialisten mit Flair für das Geschäft und grosser Sozialkompetenz in den folgenden Bereichen:

  • Informationssicherheit
  • IT Service Management
  • Internationales Projektmanagement
  • Projektassistenz
  • Public Relations und Event-Management

Bitte senden Sie Ihre Bewerbung an Dr. habil. Karsten M. Decker. Für Fragen steht Ihnen Karsten Decker auch unter der Telefon-Nr. +41 (41) 790-9080 zur Verfügung.

 
 
 

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.