auf Anfrage:
IT-Security
Erster Tag: Die Technik
Security im Fokus der Unternehmens-IT
Hacker-Aktivitäten und sich ausbreitende Computer-Kriminalität kennzeichnen ein zunehmendes Gefahrenpotenzial und haben Security-Fragen zum Modethema der IT-Policy in den Unternehmen gemacht. Ein Gestrüpp neuer Richtlinien und rechtlicher Vorgaben verstärkt den Druck. Viele Unternehmen beantworten die neue Gefährdung durch verschärfte Kontrollen. Dabei werden – wie das Telekom-Beispiel zeigt – oft Grenzen überschritten. Den überhasteten Reaktionen der Unternehmen stellen wir ein Konzept struktureller Sicherheit entgegen.
Die Techniken der IT-Security
In diesem Abschnitt werden elementare sowie fortgeschrittene Techniken dargestellt, die zur Verbesserung der IT-Security eingesetzt werden. Neben einer Erläuterung der technischen Funktionsweise erfolgt eine Bewertung des Leistungsumfangs und der verbleibenden Risiken sowie der Gefahren unter dem Gesichtspunkt der Mitarbeiterüberwachung. Ebenso werden Schwerpunkte betrieblicher Regelungsmöglichkeiten skizziert. Im einzelnen werden folgende Techniken bzw. Konzepte behandelt:
- Firewalls und Virenscanner
- Webfilter/Spamfilter
- Protokollierung des Mailverkehrs und des Internet-Zugangs
- Berechtigungssysysteme
- Überwachung des Zugriffs auf andere Ressourcen (Anwendungsprogramme, Datenbanken, RFID-unterstützte Systeme) und Audits
- Überwachung von Remote Access-Verfahren (Zugriff auf das Firmennetz von außerhalb)
- Intrusion Detection-Systeme
- Inventarisierungs- und Lizenzmanagement
- Spezielle Schutzsoftware zur Einschränkung der Zugriffsrechte (z.B. Intrust)
- Forensische Systeme (elektronische Beweismittelsicherung)
Sicherheitsrisiko Outsourcing
Viele Unternehmen begegnen dem Security-Problem mit technischen Konzepten und übersehen die organisatorischen Gefährdungspotenziale. Das Hauptrisiko Outsourcing der IT-Infrastruktur soll eingehend betrachtet werden, ebenso die Gefahren durch den Einsatz betriebsfremden Personals, das oft mit viel zu weit gehenden Berechtigungen ausgestattet ist.
Zweiter Tag: Verfahrensvorschläge
Erfordernis eines ganzheitlichen Konzepts
Der unauflösbare Zielkonflikt zwischen Sicherheit und Freizügigkeit zwingt zu Kompromissen, die den Verhältnismäßigkeitsgrundsatz beachten müssen. Sicherheit ist nur so gut wie das schwächste Glied in der Schutzkette – ein oft übersehener Aspekt. Das Versagen rein technischer Konzepte und das Erfordernis, das Verhalten der Menschen einzubeziehen. Die Verpflichtung der Unternehmen, durch strukturelle Maßnahmen ein Optimum an Sicherheit zu gewährleisten. Grenzen für den Eingriff in die Persönlichkeitsrechte.
Der rechtliche Hintergrund
Die zu beachtenden rechtlichen Normen (insbesondere Datenschutzgesetze und Betriebsverfassungsrecht). Die bisherige Rechtsprechung der Arbeitsgerichte. Umgang mit einschlägigen Richtlinien (z.B. EuroSOX, Compliance-Regelungen, Code of Conduct).
Private Nutzung und Fernmeldegeheimnis
Viele Unternehmen befürchten, dass sie als Telekommunikations-Provider zu behandeln sind, wenn sie ihren Mitarbeitern eine persönliche Nutzung des Mail-Systems oder des Internet-Zugangs erlauben. Hier soll aufgeklärt werden, was wirklich gilt. Weiterhin erfolgt eine Darstellung der Möglichkeiten und best practise-Lösungen, wie und in welchem Umfang eine private Nutzung der IT-Ressourcen erfolgen kann.
Missbrauchsverfahren
Missbräuchliche Nutzungen des Mail-Verkehrs, des Internet-Zugangs und anderer IT-Ressourcen werden sich nie ausschließen lassen. Bewährte Regelungen, wie im Falle eines Missbrauchsverdachts verfahren werden kann, sollen erörtert werden.
Regelungsmöglichkeiten
Zum Abschluss der Tagung erfolgt eine Zusammenfassung der bei den einzelnen Themen angesprochenen Regelungsmöglichkeiten in Form eines Vorschlags für eine Checkliste zur Vorbereitung einer Betriebsvereinbarung zum Thema IT-Sicherheit.