Bernd Kronach, IT's 'Bout Management Services

Bernd Kronach, IT's 'Bout Management Services Erweiterte Informationen für meine Kunden und Interessenten über meine Dienstleistungen "Consultin

Aus alt mach neu: meine neue Webseite www.kronach.biz ist endlich online ! - Die alte hat nun nach knapp 6 Jahren ausged...
24/05/2019

Aus alt mach neu: meine neue Webseite www.kronach.biz ist endlich online ! -

Die alte hat nun nach knapp 6 Jahren ausgedient und macht Platz für eine moderne - endlich auch für Smartphones und Tablets geeignete - zweisprachige Plattform.

Natürlich funktioniert neben der neuen URL auch weiterhin noch der "alte Link"

Auf jeden Fall freue ich mich sehr über Kommentare (natürlich jederzeit auch zu Rechtschreibung und vielleicht verunglückten Formulierungen ☺️) und natürlich selbstredend auch über Geschäftskontakte.

Die (IT's) 'Bout Management Services ist eine im Rhein-/Main-Gebiet ansässige Unternehmensberatung mit den Beratungsschwerpunkten Quality Service Management, IT Security, Risk und Compliance.

02/12/2016

Firmen ignorieren weiterhin die latente Bedrohungslage in ihren Besprechungsräumen

Vertrauliche Informationen werden hinter verschlossenen Türen in Besprechungsräumen ausgetauscht, so verlassen unsere vertraulichen Informationen unsere Firma nicht!
Sind Sie sich da wirklich sicher?

2.12.2016 - Bernd Kronach

Vor der Marktrevolution der Smartphones war das erfolgreichste Mittel der Datenspionage illegal platzierte Wanzen in Meetingräumen. Heute, mit weltweit ca. 2,1 Milliarden Smartphones, 1,2 Milliarden Tablets und 150 Millionen Laptops (nicht eingerechnete 3,5 IoT-Geräten pro Kopf je Einwohner), bringt jeder Nutzer durch das Vorhandensein von Wireless-Funktionalitäten, Kamera und Audioaufnahmefunktion in ihren Geräten ein unübersehbares Risiko für Dataleakage (beabsichtigt oder unbeabsichtigt) zu jeder Besprechung "einfach mit".
Und auch die in den Räumen vermeintlich fest installierten Geräte bergen ihre Risiken: Smart-TVs, Video-Conferencing-Anlagen, Beamer, Blu-ray-Recorder oder auch Drucker mit Webportal "zur einfachen Administration", IP-Telefonanlagen, etc. können jederzeit missbraucht werden, um dem "Präsentierten remote zu lauschen".

Solche Techniken wurden bisher hauptsächlich von Regierungsagenturen eingesetzt, was nicht heißt, dass die vorhandene Technik nicht auch vom nächsten Mitbewerber genutzt werden können. Alles nur eine Frage des Geldes.
Auch das Abschalten des Gerätes hinterlässt auswertbare Spuren: der Ortungsdienst (GPS) speichert dieses, aber natürlich kann sowohl der Provider, als auch berechtigte Regierungsstellen über die Auswertung der Roaming-Protokolle den Standort eines jeden Nutzers nachvollziehen.

Sollte nun ein Meeting "Streng geheim" abgehalten werden müssen, also noch nicht einmal die Zusammenkunft der Teilnehmer darf bekannt werden, so deutet das lokal gleiche Abschalten der Dienste auf dieses Meeting hin und kann somit als Unsicherheitsfaktor angesehen, bzw. bewertet werden. In solch einem Fall bietet es sich an, dass die geladenen Teilnehmer ihre Geräte sicher am eigenen Arbeitsplatz lassen oder dass diese zentral (aber angeschaltet) außerhalb der Meetingräume gesammelt gelagert werden.

Bereits 2012 wurde in der RSA Konferenz in San Francisco mit Nachdruck darauf hingewiesen, dass zigtausende "Embedded Web Servers" in IT Geräten, wie Video-Conferencing-Systemen weitgehend ungeschützt betrieben werden und mit einem relativ geringen sowohl technischen als auch finanziellem Aufwand von außerhalb der jeweiligen Firma infiltriert werden kann. Während der Konferenz wurden live rund 1 Millionen Webserver online gefunden, von denen 9,000 ungeschützte Video-Konferenz-Systeme von Polycom und Tandberg, heutzutage Cisco, identifiziert wurden. Weiterhin wurden 3,000 Canon Systeme, 1,200 Xeros-Kopierer und weitere 20,000 andere Drucker/Kopierer identifiziert, welche ohne weitere Sicherheitsmaßnahmen live in Betrieb waren.

Dabei sind sich in den meisten Fällen auf Anfrage hin erst einmal einig: ein Meeting, in dem Geschäftsgeheimnisse, aber auch datenschutzrechtlich relevante Themen besprochen werden, ist als geheim einzustufen und die besprochenen Inhalte müssten geschützt sein.
Bekanntschaft mit den Auswirkungen von "heimlich geleakten Informationen aus einer Besprechung" machte Mitt Romney 2012. Das mit einem Smartphone heimlich mitgeschnittene Video seiner sprachlichen Entgleisungen wurde online gestellt und trug zu einem hohen Anteil dazu bei, dass für diesen Kandidaten die US-Präsidentschaft verloren ging.

Und die richtigen Sicherheitsvorkehrungen und die korrekte Einstellung zu Sicherheitsfragen beschränken sich natürlich nicht nur auf die eigentlichen Räume, bzw. Besprechungen, sondern müssen auf den gesamten Vorgang ausgedehnt werden. Was nützt ein sicherer, abgeschirmter Bereich, wenn die Daten bereits auf dem Weg zum Meeting eingesehen werden können? Als abschreckendes Paradebeispiel soll hierfür Senator Kris Kobach, AR, dienen, der mit seinen Unterlagen unter dem Arm auf dem Weg zu einem geheimen Strategiemeeting mit D. Trump fotografiert werden konnte. Zu sehen auf den Fotos: die geheimen Pläne zur zukünftigen Umgestaltung der Hometown Security in den US (Titel: “Kobach Strategic Plan for First 365 Days.”).

Vorliegenden Studien beziffern den aus Diebstahl von Unternehmensgeheimnissen resultierenden Schaden mit mehreren Milliarden Dollar. Dabei geht es in der Regel um Entwicklungsgeheimnisse, Daten aus R&D, Produktionsprozesse, Marketing oder Vertriebs-Strategien, Rechtsfragen, Gehaltsverhandlungen und weitere.
Die Frage bleibt also: wie können Firmen sicherstellen, dass Ihre Firmengeheimnisse in den eigenen 4-Wänden oder unter "4-Augen" weiterhin geheim sind?"

Nachfolgende Best Practices können auch ihrem Unternehmen helfen, die notwendigen Prozesse und Protokolle zu wählen, um ein adäquates Sicherheitsniveau zu definieren und in ihrer Unternehmenskultur zu verankern.

----------------------------------------------------------------------------
Am Anfang
----------------------------------------------------------------------------
Bevor Sie beginnen, starten Sie mit folgender Übung: Stellen Sie sich die Frage...
Wenn Sie Ihrer Firma schaden wollten - durch Spionage, Manipulation, Sabotage oder als Anschlag - was wären Ihre bevorzugten Ziele?
Welche Schwachpunkte würden Sie nutzen, um diese Ziele zu erreichen?

Eines sollte Ihnen auf jeden Fall immer klar sein: bei jeder Veranstaltung, in der sensitive Informationen Preis gegeben, bzw. erörtert werden, muss davon ausgegangen werden, dass Mitbewerber versuchen könnten, die vertraulichen Informationen auf die eine oder andere Weise zu erschleichen und abzuziehen.
Somit wird das Denken wie ein Betrüger Ihrer Firma helfen, die eigenen Sicherheitsmaßnahmen zu erhöhen. Wenn Sie in einigen Bereichen keine Expertise im Haus haben, oder sich unsicher fühlen, holen Sie sich Hilfe von Experten! Ein Gespräch oder eine Schulungsmaßnahme durch beispielsweise den Verfassungsschutz oder weiteren spezialisierten Beratern kann Ihnen helfen, die eigenen Einschätzungen zu verifizieren und weitere Gefahrenlagen zu erkennen.

----------------------------------------------------------------------------
Planen sie für wichtige und geheime Meetings immer genügend Vorlaufzeit ein!
----------------------------------------------------------------------------
Binden sie alle beteiligten Stakeholder, z.B. Personalmanagement, ihre Juristen, interne Sicherheits- und Risikoabteilungen, ihr Facility Management, evtl. sogar lokal ansässige Sicherheitsunternehmen und Behörden bereits 2 bis 3 Monate vor der eigentlichen Besprechung ein. Starten sie den Planungsprozess und stellen Sie das jeweilige Risikopotenzial fest: wie viele Teilnehmer werden geladen, wo soll die Besprechung physisch stattfinden (außerhalb des Werksgeländes oder in den "eigenen 4 Wänden"?), wie kommen Teilnehmer zur Besprechung, wo können diese parken, muss ein dedizierter Fahrdienst eingerichtet werden? Ist genügend Sicherheitspersonal einsetzbar und wie ist dieses ausgebildet? Wer, welche Parteien, Firmen, Staaten etc. könnten Interesse am Inhalt der Besprechung haben, bzw. Vorteile aus dem gewonnenen Wissen ziehen: also wie könnte dieses genutzt werden? Welches Schadenspotenzial könnte daraus erwachsen?

Die Daten- und Informationssicherheit während Meetings zu gewährleisten, ist immer eine gemeinschaftliche Leistung und somit sind interne Sicherheitsorganisationen immer gezwungen, mit anderen, mitunter externen Serviceprovidern wie Housekeeping, Bankettmitarbeiter, Sicherheitsfirmen, etc. zu kooperieren, so dass vor, während und nach eigentlichen Meeting, evtl. auch auf den Zimmern oder im Restaurant, in der Bar.

Auch wenn viele Firmen mittlerweile mannigfaltige, sicherheitsrelevante Controls implementiert haben, müssen für öffentlichkeitsrelevante, bzw. wirksame Besprechungen zusätzlich Maßnahmen eingeplant werden, die z.B. auch Sicherheit während Demonstrationen [friedliche bis militante je nach "Aufregungsgrad des Themas"] berücksichtigen und den Schutz der Teilnehmer gewährleisten. Aushäusig durchgeführte Besprechungen erhöhen den Aufwand deutlich, um die physikalische Abhörsicherheit auf ein annehmbares Niveau heben zu können. Rechnen Sie hier immer mit einem deutlich höheren Kostenniveau an Reisekosten und Manpower, da Risiken und Sicherheitsmaßnahmen eruiert und auch nachhaltig umgesetzt werden müssen.

Insbesondere bei der Planung von Besprechungen von in der Öffentlichkeit kontrovers diskutierten Themen (nehmen Sie z.B. im Atomsektor oder Fracking oder Gentechnik o.ä.) rät es sich im Vorfeld, Meldungen der Presse und den sozialen Medien wie Facebook, Twitter, Instagram o.ä. zu überwachen, um potenzielle Menschenaufläufe ('Flashmobs') o.ä. bereits im Vorfeld zu erkennen und geeignete Gegenmaßnahmen (defences) aufbauen zu können. Je aufgeheizter die Stimmung desto nachhaltiger müssen Sicherheitsmaßnahmen geplant und weitere oder striktere LoD’s umgesetzt werden.

In extremen Fällen muss selbst an die Sicherheit einzelner Teilnehmer im Sinne von Personenschutz gedacht werden bis hin zur Sicherheit und Abschirmung des Tagungsraumes vor gezielten Anschlägen. Dieser gesonderte Personenkreis – High Risk Personnel (HRP) – muss selbstverständlich im Vorfeld eruiert und allen Verantwortlichen bekannt sein! In der „normalen“ Businesswelt ist dies kein alltäglicher threat und kommt somit ein Glück nicht allzu häufig vor. Somit soll dies nur am Rande der Vollständigkeitshalber erwähnt sein.

Bei größeren Veranstaltungen steigt automatisch die Anzahl des beteiligten Sicherheitspersonals. Um eine durchgängige Koordination vor, während und im Anschluss des Meetings zu gewährleisten, müssen sie einen Control-Room (Security Operations Center (SOC) vorsehen, in dem alle Maßnahmen koordiniert werden. Ein geeignetes Kommunikationsmittel muss gewählt werden, um zentral und unmittelbar die Einheiten steuern zu können. Allen Beteiligten müssen die „Not-Schlagworte“ bekannt sein. Denken Sie an ein eineindeutiges Vokabular, um Teams, Ereignisse, etc. adressieren zu können: ein eineindeutiger Code je Counter Measure sollte ähnlich wie bei Polizeieinheiten festgelegt sein. Und: das SOC ist selbstverständlich auch als Risiko zu bewerten und Absicherungsmaßnahmen müssen ergriffen werden.

----------------------------------------------------------------------------
Legen Sie ein verbindliches Sicherheitsprotokoll fest!
----------------------------------------------------------------------------
Spätestens einen Monat vor dem eigentlichen Ereignis sollte in einer Diskussionsrunde mögliche Krisensituationen besprochen und mögliche Handlungsalternativen festgelegt werden.
Zutrittskontrollen sind kritisch. Planen Sie diese in mehreren »Line of Defenses» (LOD), wie z.B. außerhalb des Tagungsortes, Unterbringung der Gäste, Firmen-Außenperimeterschutz, Wachdienste, im Gebäude, Zugang zu den Tagungsräumen, etc.
Jeder Teilnehmer muss sich ausweisen - an jeder LoD! Außerdem sollte mindestens einmal die korrekte Identität verbindlich nachgewiesen werden; je höher der Sicherheitsbedarf, bzw. je geringer der Risikoappetit, desto eher sollten Sie zusätzlich spezialisierte Sicherheitsfirmen engagieren, die bis hin zu Metalldetektoren ihr Access-Management unterstützen. Auch die Kontrolle der Fahrzeuge der Teilnehmer und die explizite Bewachung der Parkplätze sollte als Sicherheitsmaßnahme zumindest bedacht werden und die Maßnahme über das Risikomanagement beurteilt werden.

Alle Teilnehmer sollten exklusiv und namentlich eingeladen werden. Außerdem sollten ihnen vor Reiseantritt ein Hinweiszettel, eine kurze Broschüre mit kurzen, prägnanten Sicherheitshinweisen für die Anreise und den Aufenthalt während des Meetings übermittelt werden.

----------------------------------------------------------------------------
Jeder geladene Teilnehmer muss über das jeweilige Sicherheitsprotokoll im Bilde sein!
----------------------------------------------------------------------------
Das könnte beispielsweise sein:
• durchführen von Hand- und Brieftaschenchecks
• Smartphones, Computer, Tablets, Fotoapparate, Video- und Audiorekorder etc. müssen vor dem Zutritt abgegeben werden und sicher (bewacht) außerhalb verwahrt werden.
• nur firmeneigene Computer zur Präsentation dürfen zum Einsatz kommen. Extern beigesteuerte Kabel, Beamer, Datensticks und-träger, etc. sind prinzipiell verboten!
• Alle Referenten müssen ihre finale Präsentation spätestens einen Tag vor dem Ereignis eingereicht haben. Alle Präsentationen müssen auf Malware untersucht werden und an einem zentralen Ort gespeichert werden. Der verschlüsselte Datenträger mit den Dateien sollte erst kurz vor dem eigentlichen Beginn des Meetings überhaupt in den Präsentationsraum gebracht und angeschlossen werden. Stellen Sie wirklich auch sicher, dass die Übertragung der Präsentationen ungefährdet erfolgt. Auch der Ziel-Speicherort muss den jeweiligen Sicherheitsanforderungen entsprechen! Beschränken Sie auf jeden Fall den Zugriff auf die Dateien nach dem Motto "Need-to-Know" und "VVI" (Verfügbarkeit, Vertraulichkeit und Integrität).

Bevor das eigentlichen Meeting beginnt: erinnern Sie alle Anwesenden an die jeweils geltenden Sicherheitsvorschriften und ggf. auch über persönliche Konsequenzen bei Verletzung dieser.
Bei Beginn jeder Präsentation inkludieren Sie direkt bei Beginn nochmals eine Folie über die erwartete Verschwiegenheit. Führen Sie in den Master der Präsentation einen NDA-Vermerk ein, so dass die Kritikalität immer zu sehen ist.

----------------------------------------------------------------------------
Während des Meetings
----------------------------------------------------------------------------
Ihr Sicherheitsprotokoll sollte weiterhin berücksichtigen: medizinische Notfälle, Evakuierung des Managements, Sicherheitsmaßnahmen bei Evakuierung des Gebäudes während des Meetings, Umgang mit Störenfrieden. Denn auch wenn Sie Fragen durch die Teilnehmer zulassen sollten, sollte bei der Belehrung klar festgestellt werden, dass dieses Recht / Privileg nicht das gezielte Stören der Veranstaltung beinhaltet und dass sich ihr Unternehmen den Ausschluss eines jeden Teilnehmers vorbehält. Die jeweiligen Fluchtrouten müssen bereits in der Planungsphase festgelegt und mehrfach getestet worden sein. Ist es aus welchem Grund auch immer nicht möglich, ihren CEO o.ä. aus dem Gebäude zu evakuieren, muss auch in der Planung ein »Safe Room« identifiziert worden sein und für den Fall der Fälle bereitstehen.

Gerade während des Meetings müssen die Sicherheitsteams in voller Stärke anwesend und an den jeweils festgelegten Positionen verfügbar sein. Sicherheitspersonal sollte rund um die festgelte Sicherheitszone patrouillieren, elektronische und physikalisches Scanning der Umgebung sollte durchgeführt werden, um nicht gewollte Signale aufzufangen. Auch der Einsatz von Cellular Jammern, welche GSM-, DCS-, PCS-, UMTS-, 4G-, WiFi-, GPS-, UKW- und UHF-Signale unterbinden, kann als Sicherheitsmaßnahme bedacht werden, wobei dringend auf die Rechtlichkeit geachtet werden darf (beispielsweise ist der Besitz und der Einsatz in Deutschland verboten(!). Alternativ können Besprechungsräume auch so baulich abgesichert werden, dass ein Connect mit externen Sendern und Providern stark erschwert wird. Denken Sie daran, sich vor Laser Monitoring Systemen (auch Interferometer) zu schützen. In heutigen Zeiten ist es sogar möglich, ähnliche Technologie in Drohnen zu verbauen und so Mobil in großer Höher einzusetzen. Sehen Sie bei der Planung also nicht nur mögliche angrenzende Gebäude als Bedrohung an - denken Sie auch daran, dass ein freies Flugfeld das Abhören des Meetings ermöglichen könnte.

Sind im Besprechungsraum Telefonanlage, Videosysteme, Webcams verbaut, legen Sie diese für die Zeit der Besprechung still; schalten sie diese Geräte stromlos, wenn möglich aber entfernen Sie diese für die Besprechung vollständig aus dem Raum.

----------------------------------------------------------------------------
Post-Meeting-Kontrollen
----------------------------------------------------------------------------
Nachdem die Besprechung stattgefunden hat, sichten sie die Unterlagen (falls Sie welche erlaubt haben) der Teilnehmer und stellen Sie so sicher, dass klassifizierte Informationen nicht in schriftlicher Form die Veranstaltung verlassen. Ermahnen Sie nochmals alle Anwesenden auf Verschwiegenheit. Viele Geheimnisse wurden bereits bei einem Gläschen Wein an der Bar, in Sportstudios oder bei Besuchen in anderen Etablissements preisgegeben, da sich die "Zielpersonen" nicht damit auseinandergesetzt hatten, dass der "nette Mann neben ihnen" nicht zufällig, sondern ganz bewusst neben ihnen saß. In totalitären Ländern wie beispielsweise Russland und China werden teilweise gezielt Prostituierte auf Geschäftsleute angesetzt; der Seitensprung wird heimlich dokumentiert und im Nachhinein als Druckmittel im Austausch für Informationen eingesetzt!

Effektive Meeting-Security befasst sich außerdem nicht nur mit den einschlägigen Sicherheitskriterien (Access Management, Monitoring, etc.), sondern auch mit dem Wohlergehen der Teilnehmer. So sollte auch der Fall der Fälle geplant werden, wie ein Teilnehmer im Notfall, z.B. bei einer Herzattacke, diskret abtransportiert werden könnte. Warum das wichtig ist? Stellen Sie sich vor, der CEO eines börsennotierten Unternehmens wird durch das Haupttor ihres Gebäudes durch die dort evtl. wartende Menge abtransportiert. Welche Wirkung könnte dies auf den Aktienkurs und somit den Wert des gesamten Unternehmens haben?

----------------------------------------------------------------------------
Vertraulichkeit für alle!
----------------------------------------------------------------------------
Jede Person, die mit dem Meeting zu tun hat (z.B. Veranstaltungsplaner, Sicherheitspersonal intern und extern, Bild- und Tontechniker, Caterer, administratives Personal, Fahrer, etc.) müssen einen gesonderten NDA unterschreiben; dazu gehören auch alle weiteren an der Planung involvierten Menschen. Bestehen Sie auch bei Subdienstleistern auf einwandfreie, aktuelle »Polizeiliche Führungszeugnisse«. Für besonders sensible Bereiche führen Sie - oder lassen Sie – professionelle Background-Checks durchführen!

Auch für das Sicherheitspersonal gilt das „Need to know-Prinzip“. Es besteht kein Grund, dass alle Beteiligten vom Inhalt oder schlicht vom Titel der Konferenz wissen! Ein Mitarbeiter, des »Outer Perimeter Security Supports«, der beispielsweise die Sicherheit der Autos checkt oder Parkplätze bewacht, muss keinerlei Kenntnis von den Innenschutzmaßnahmen (»Close-in Perimeter Support Einheiten«) haben. Auch der Zutritt zum Innenbereich muss denen vorbehalten sein, die explizit für diesen Job ausgewählt worden sind. Wenigen Mitarbeitern sollte das „Wandern“ zwischen Security Controls erlaubt sein. Dies erhöht zusätzlich die Sicherheit der gesamten Konferenz.
Außerdem: Pönalen bei Verstoß gegen das Sicherheitsprotokoll müssen unmissverständlich formuliert sein. Richten Sie sich hier nach dem Monopoly-Motto: »Gehe nicht über Los, ziehe keine 200 Euro ein, sondern gehe gleich in das Gefängnis«!

----------------------------------------------------------------------------
Lessons-Learned
----------------------------------------------------------------------------
Am Ende jeder Veranstaltung sollten sie einen Post-Veranstaltungs-Review durchführen, um Gutes beim nächsten Meeting noch besser machen zu können.

----------------------------------------------------------------------------
Meetingraum-Security im Alltag
----------------------------------------------------------------------------
Abseits des skizzierten Großevents unter Beteiligten von zig-Personen und teuren Maßnahmen: was heißt das nun für den Alltag?
1. Besprechungsräume und Besprechungen müssen einer Schutzbedarfsanalyse unterzogen werden
2. Unternehmen mit vielen Besprechungsräumen sollten Schutzbedarfsklassen einführen. Alle Räume gleichsam zu schützen ist deutlich zu teuer und oftmals auch nicht notwendig, wobei ein Mindestmaß an Sicherheit überall eingehalten werden sollte.
3. Alle Räume müssen aktiv verwaltet werden und müssen verschlossen gehalten werden. Eine Schlüsselkontrollfunktion muss verbindlich eingerichtet sein, eine zentrale Stelle muss hier verantwortlich sein und die Durchsetzung der Sicherheitsprotokolle und Maßnahmen inklusive Kontrollen Sorge tragen. Wie sieht die Governance-Struktur aus? Verlangen Sie für die Einhaltung der Sicherheitsvorschriften Evidenzen in Form von Berichten. Überlegen Sie sich sinnvolle Messgrößen (KPIs) und fordern Sie aussagekräftige Reports und vergessen Sie nicht wiederkehrende Kontrollen (Audits) als Check-und-Balance durchzuführen.
4. Techniker, Caterer, Reinigungsfirmen, etc. müssen zu jeder Zeit durch eigenes Personal überwacht werden.
5. Kabel müssen eineindeutig beschriftet sein, dazu zählen auch Verlängerungskabel und Verteilersteckdosen. Die Beschriftungsaufkleber müssen so gewählt sein, dass sie nicht entfernt werden können, ohne, dass das Siegel gebrochen wird ( Sicherheitsaufkleber). Änderungen an der Infrastruktur bedingen ein Änderungsticket! Agieren sie restriktiv – kein Ticket – kein Zutritt, bzw. Veränderung!
6. Lassen Sie Technikgeräte versiegeln (Fernseher, Beamer, Spindeln etc.), soweit dieses eben möglich ist! Ist ein PC oder ein Notebook im Raum fest verbaut, so muss dessen Festplatte(-n) verschlüsselt sein. Möglichst schützen Sie den Zugriff zusätzlich durch Bios-Passwörter und entsperren Sie diesen erst, bevor er gebraucht wird. Außerdem denken Sie an Peripherie: sperren Sie die USB-Ports für den Anschluss von unbekannten Speichermedien! Vergessen Sie nicht, diese ihre Infrastruktur in ihr Patch-Management einzubeziehen – dazu gehören auch Beamer, Fernseher etc.! Zur weiteren Absicherung vor Ausspähung, blocken Sie RDP-Dienste (o.ä.) (auch ein gezielter, verschleierter Remote-Zugriff eines internen Mitarbeiters kann ein Sicherheitsrisiko sein!!); sichern sie die gesamte Netzwerkinfrastruktur des Raumes durch eine dedizierte Firewall mit Monitoringfähigkeiten ab. Wenn Sie ganz sicher gehen wollen, dann sollte Ihr Presenter-Computer während den Meetings gar keine Netzwerkverbindung haben: vor Beginn trennen Sie physikalisch den LAN-Anschluss; gehen Sie sicher, dass keine WLAN, Bluetooth o.a. Protokolle aktiv sind. Abhören auf konventionellem Weg unterbinden Sie so nachhaltig.
7. Etablieren Sie für alle Räume eine Clean-Desk Policy. Lassen Sie nach jedem Meeting eine Endkontrolle durchführen. Vernichten Sie liegengebliebene Notizen inkl. Flipchart-Papier, Pinwand-Moderationskarten nachhaltig (nicht einfach in den Papierkorb! – wenden Sie die DIN 32757 – 4 an) und löschen Sie Notizen auf den Whiteboards. Kontrollieren Sie Tische und Stühle (auch auf der Unterseite), heben Sie (wenn möglich) Mülleimer oder freistehendes Mobiliar an, überprüfen Sie Bilder an der Wand, Fenster und Schränke. Sind alle Kabel im Raum noch im Original vorhanden? Schließen sie nach Abschluss die Räume und lassen sie Maßnahmen und Ergebnisse einschl. Schlüsselrückgabe dokumentieren.
8. Wenn Sie ein Meeting planen und sie dieses nach durchgeführter Schutzbedarfsanalyse als "Secret / Top Secret" einstufen, verbieten Sie das Mitbringen von Mobile Devices, also Handys, Smartphones, Notebooks, Tablets, etc. Auch wenn es sich nach "James Bond" anhört: das unbemerkte Infiltrieren dieser Devices durch Malware, die diese in "Wanzen" verwandeln ist keine Fiction, sondern Realität.
9. In »Top-Secret«-Meetings sollten, wenn möglich, nicht benötigte aber im Raum vorhandene Telekommunikationsanlagen, dazu zählen u.a. Freisprecheinrichtungen inkl. "Spinnen auf den Tischen", Fernseher, Web-Cams, nicht gebrauchte IT-Geräte und Beamer etc. entfernt werden. Ist dies nicht möglich, schalten Sie diese Geräte nicht einfach aus, sondern machen Sie diese "stromlos". Außerdem ist es sinnvoll, direkt vor Start des Meetings unter eventuell vorhandenen Tischen o.ä. nach heimlich angebrachten Smartphones, Handys zu fahnden. Vorsicht! Werden Sie fündig, weichen Sie möglichst auf einen anderen Besprechungsraum mit gleicher oder höherer Sicherheitsstufe aus!
10. Last but not least - führen sie als geheim eingestufte Meetings nicht neben unkritischen Meetings parallel durch!

----------------------------------------------------------------------------
Organisationseinführung
----------------------------------------------------------------------------
Wenn Sie bisher noch keine gesonderten Vorkehrungen in diesem Bereich getroffen haben, müssen Sie vor Einführung einige Dinge beachten, damit ihr Unternehmen nicht am Wiederstand der Mitarbeiter scheitert. Mein Tipp: gehen sie dieses Projekt mit Bedacht und geduldig an, dann werden Sie erfolgreich sein.

1. Veröffentlichen Sie eine verbindliche Policy nebst Procedures.
2. Schulen Sie Ihre Mitarbeiter und sensibilisieren sie, so dass sie das Erfahrenspotenzial erkennen
3. Identifizieren Sie sicherheitsaffine Mitarbeiter und machen Sie diese Verantwortlich für die Sicherheit in einem, mehreren, allen Meeting Räumen
4. Teilen Sie Ihren Mitarbeitern mit, dass die Nutzung von Mobiltelefonen und anderen Geräten wie Pads oder Notebook in Workshops, Meetings nicht erwünscht ist.
5. Nehmen Sie Ihr Führungspersonal in die Pflicht.
6. Spielen Sie zu Beginn einer jeden Sitzung das »Stapelspiel«: alle Anwesenden müssen ihr Mobilgerät stumm schalten (nicht brummen!!) und gemeinsam einen Mobilturm in der Mitte des Tisches bauen. Machen Sie Allen klar, dass dies auch (und insbesondere) für die privaten Mobilgeräte gilt!
7. Erst jetzt starten Sie mit eventuell notwendigen Umbaumaßnahmen der Räume.
8. Je größer Ihr Unternehmen, je mehr Meetings abgehalten werden, desto wichtiger ist die Implementierung einer verantwortlichen Stabsstelle.
9. Führen Sie die Verantwortlichen in andere Sicherheitsgremien ein; schreiben Sie durch gezielte Kommunikation allen anderen Bereichen im Unternehmen vor, dass eine Zusammenarbeit verbindlich einzuhalten ist und die neue Stelle die Bewertungs- und Vorgaben- und Durchführungshoheit in den Tagungsräumen hat.
10. Nach Umsetzung der Schritte 1 bis 9 führen Sie Sicherheitsaudits durch. Lassen Sie sich KPIs wöchentlich oder ad-hoc (für wichtige Veranstaltungen) berichten. Lernen Sie aus den ersten Schritten und treiben Sie weitere Qualitätsveränderungen voran. Über einen kontinuierlichen Verbesserungsprozess sollte es ihrem Unternehmen gelingen, die Sicherheit Ihrer Informationen besser zu schützen. Und sei es nur, weil allen Beteiligten transparenter ist, warum ein besserer Schutz überhaupt vonnöten ist.

In Deutschland entstehen jährlich Milliardenverluste durch Spionage und unkontrollierten Knowhow-Abfluss. Dies beeinträchtigt und gefährdet jedes Unternehmen im Allgemeinen, die Finanzkraft, ihr Ansehen und die Arbeitsplätze im Besonderen. Besonders gefährdet sind Branchenführer bzw. Unternehmen mit herausragendem Knowhow, wobei die Größe des Betriebs tatsächlich keine entscheidende Rolle spielt. Aus diesem Grund müssen auch innovative Klein- und mittelständische Betriebe jederzeit damit rechnen, ein begehrtes Ausspähziel abzugeben.

Aus all diesen Gründen muss der Schutz aller sensibler Informationen sowohl eine technische, als auch eine rechtliche und organisatorische Kernaufgabe im Unternehmen sein. Erst nachdem man genau weiß, »was, wann, wie, vor wem« zu schützen ist, wer überhaupt Zugriff auf diese Informationen braucht, wenn Ziele und Aufgaben präzise formuliert wurden, kann ein Unternehmen beruhigter arbeiten.

Die Verhinderung des rechtswidrigen Zugangs zu vertraulichen Informationen und die Ermittlung von potenziellen Angreifern und Personen, die Industriespionage oder Sabotage betreiben möchten, genauso wie die Fahrlässigkeit des eigenen Personals in der Behandlung von vertraulichen Informationen muss wie dargelegt eine der obersten organisatorisch-sicherheitsgetriebenen Ziele in einem jeden Unternehmen sein, da der Verlust der Vertraulichkeit zwangsläufig zu monetären Schäden bis hin zu Schadensersatzforderungen und Haftungsschäden führt. Die Schutzmaßnahmen dürfen sich nicht nur auf den Arbeitsalltag in den Offices der Mitarbeiter beschränken, sondern müssen unbedingt auf Meetings und Informationsveranstaltungen ausgedehnt werden, um eine End-to-end-Kontrolle und -Schutz zu gewährleisten!

Beginnen Sie JETZT mit Ihrer Planung, um die skizzierten Risiken zu vermeiden!

Wenn Ihnen mein Blog gefällt, freue ich mich über Ihren Kommentar. Empfehlen Sie mich Ihren Bekannten und Geschäftspartnern weiter.

27/10/2016

Sie sind davon überzeugt, dass ihr Unternehmen nach ISO 27,001 ausgerichtet sein müsste, haben aber keine klare Vorstellung davon, wie sie ihr Senior Management davon überzeugen können?

Finden Sie nachfolgend 5 alltagstaugliche Praxistips, um ihr Ziel in die Tat umsetzen zu können.

Tagtägliches Arbeiten im IT Umfeld, ob im Support oder in Operations, lässt viele IT-ler zu der Überzeugung gelangen, dass es sehr sinnvoll wäre, die IT Organisation auf "gesicherte Beine" zu stellen und ein durchdachtes Framework, wie die DIN/ISO 27,001, in der Organisation einzuführen und nachhaltig zu implementieren.
Und auch wenn die Vorteile für eine Organisation enorm sind, ist das Vorhaben an sich nicht einfach; denn es handelt sich ja nicht um eine Software [..eruiert, bestellt, geliefert, implementiert, angepasst, released, basta..], sondern um die Transformation der gesamten Organisation. Ergo ist es per sé nicht sonderlich einfach, ein veritables "Management Buy-in" und ein nachhaltiges Commitment zu erlangen, um "anfangen zu können".

Nachfolgend habe ich 5 Praxistipps zusammengestellt, die Sie auf dem Weg zu Ihrem Management unterstützen sollen:

1. Konzentrieren Sie sich auf die Vorteile, nicht auf die Leistungsmerkmale

Sehr viele durch die IT vorgeschlagenen Projektvorhaben werden abgelehnt, weil sie inhaltlich den Fokus auf Technik und Leistungsmerkmale legen und nicht auf die Geschäftsvorteile. Denken Sie immer daran: jedes Invest in die IT ist letztlich immer ein Invest in den Support von Business Prozessen oder die Absicherung der Compliancefähigkeit des Unternehmens! Argumentieren Sie auf dieser Basis und finden Sie die wichtigen Business-Prozesse, die hier positiv beeinflusst werden (können).

Auf den Punkt gebracht ist ein »Leistungsmerkmal« beispielsweise ein Attribut oder eine Charakteristik eines Produktes oder einer Dienstleistung; also Etwas "hat etwas oder tut etwas".

Im Gegensatz dazu wird der Wert eines spezifischen Merkmals oder einer Eigenschaft für den Empfänger durch den Nutzen, den Zusatznutzen oder den Vorteil umschrieben; zum Beispiel so:

»Der Kauf der Software beinhaltet neben den Lizenzen die inkludierte Implementierung (Funktionalität) und den lebenslangen Support, so dass weitere Kosten während des Betriebes nicht mehr anfallen. (Nutzen)«

2. Vermeiden Sie unnötiges "Technik-Gelaber"

Ihnen und ihren Mitarbeitern kommen über "Ihr IT-Umfeld" viele Begriffe wie von selbst über die Lippen; denken Sie aber daran, dass so ein "Tech-Gebrabbel" nicht oder nur sehr partiell von den Entscheidern verstanden wird: "https, Tacacs+, Dockers, OS's, Zettabyte, Virtualisierung, Honeypots oder RAID10" gehören zu Ihrem Tech-Kauderwelsch und bringen Ihnen in der Sache nichts; eher im Gegenteil: genau so wirken Sie auf das Management nicht überzeugend, sondern eher wie ein "Geek", der "keine Ahnung von den wichtigen Dingen im Unternehmen" hat. Wenn Sie das Board, Ihre Entscheider überzeugen wollen, müssen Sie "deren" Sprache sprechen. Fokussieren Sie sich möglichst ausschließlich auf Themen und Probleme, die das Management bewegen. Überlegen Sie sich genau, welche "Kittel-Brennfaktoren" (KBFs) Ihr Management derzeit bewegen und nutzen Sie diese für Ihr Vorhaben.

Ein paar Beispiele:
• Umsatzwachstum und Umsatzwachstumsziele
• Bruttogewinnmarge
• Endergebnisse
• "Return on invest" und "Total Cost of Ownership"
• Produkt und Servicequalität
• Risikomanagement und Governance-Strukturen
• Wettbewerbsvorteile
• Gesetzeskonformität oder gesellschaftsrechtliche Vorschriften und Compliance im Vertragswesen
• Bewertungssysteme und "Key Performance Indikatoren"
• Ressourcen
• …

3. Nutzen Sie die Rechtschreibprüfung

Hört sich nicht an, als wäre Tipp 3 sehr originell, oder? Trotzdem. In der Regel legt die Geschäftsleitung durchaus Wert auf grammatikalisch, syntaktisch und semantisch korrekte Ausdrucksweisen, Kommunikation und dass die jeweiligen Anliegen, die vorgebrachten Gedankengänge, Vorschläge und Ziele klar erkennbar sind. Ist also ein Vorschlag gut formuliert und zu Papier gebracht, erscheint dieser glaubwürdig(-er) und sie als ein Mitarbeiter, der einen sinnvollen Beitrag zum Unternehmenserfolg beisteuert (beisteuern könnte). Im Umkehrschluss: wimmelt Ihr Vorschlag von Rechtschreibfehlern, ist die Präsentationsweise nicht wie vom Vorstand erwartet, sind keine Formatierungen, Strukturierungen und Strukturen erkennbar, ist es höchstwahrscheinlich, dass Ihr Anliegen direkt im Papierkorb landet, ohne, dass weiter der inhaltliche Nutzen in Erwägung gezogen worden ist. Ob, bzw. wie schnell Sie eine weitere Chance bekommen, Ihren Projektvorschlag zu präsentieren bleibt somit erst einmal unklar.

4. Suchen Sie sich Verbündete

Haben Sie sich bisher mit den Entscheidungsfindungsprozessen in Ihrem Unternehmen ernsthaft auseinandergesetzt? Wer beeinflusst und wer fällt denn tatsächlich wichtige Entscheidungen? Wenn Sie sich unsicher sind, dann sprechen Sie sich mit Ihren Kollegen und deren Erfahrungen in Entscheidungsprozessen ab. Finden Sie heraus, welches Projekt angenommen wurde, welches abgelehnt und warum. Was waren die Einflussfaktoren und wer hatte wirklich "das letzte Wort"?

Wenn Sie dieses wissen, dann suchen Sie sich ein Geschäftleitungsmitglied, welches vermeidlich ähnliche Auffassungen in Bezug auf Risiken, Compliance und (oder) Sicherheit vertritt. Versuchen Sie hier den ersten Kontakt herzustellen und eventuell sogar Ihren Vorschlag in einem persönlichen Gespräch vorab zu eruieren. Können Sie hier Punkten, kann Ihnen Ihr neuer »Verbündeter« wichtige vorab Informationen über den Entscheidungsprozess an sich, aber auch über den richtigen Zeitpunkt für Ihren Antrages geben. Am wichtigsten ist aber natürlich, dass Sie so einen Befürworter gewinnen, der höchstwahrscheinlich Ihren Plan im Gremium selbst unterstützt.

5. Wichtigstes Zugpferd können Compliance-Vorschriften sein

Identifizieren Sie für Ihr Unternehmen relevante Gesetzgebungen (national als auch international!) oder weitere regulatorische Anforderungen (z.B. Datenschutzgesetzt, GDPR, Basel III, SOX, HIPAA, TKG, AktG, GmbHG, AO etc.). Nutzen Sie diese und stellen Sie die "Gaps" zwischen IST und SOLL da, aber fokussieren Sie sich in Ihrer Begründung auf die derzeitigen Non-Compliance-Themengebiete und nennen Sie auch mögliche straf- oder bußgeldrechtliche oder marktspezifischen Konsequenzen. Versuchen Sie trotz alledem auf jeden Fall den Eindruck zu vermeiden, dass Sie "Angst und Schrecken" verbreiten wollen! Bleiben Sie möglichst objektiv und wirken Sie besonders bei dieser Argumentation "leidenschaftslos"; Sie wollen ja schließlich nicht den Vorstand einsperren lassen, sondern deren Wohlwollen für das ISMS-Unterfangen gewinnen. Angst ist hier ihr falscher Verbündeter. Ihr Augenmerk muss die Präsentation der Lösung dieser "Problemstrukturen" sein; denn, wenn Sie als Problemlöser erkannt werden, ist die Wahrscheinlich groß, dass Sie den Zuschlag erhalten werden.

Last but not Least

Nehmen wir an, Sie haben die 5 Hürden mit Bravur gemeistert. Spätestens jetzt kommt die für Sie und Ihr Projekt alles entscheidende Frage: "Und was soll dieses ISMS denn nun kosten?"

Machen Sie eine Aufstellung. Anders als bei Hardware-Angeboten sollten Sie hier die bereits identifizierten, monetär bewerteten Risiken für die Organisation listen und einen Vorschlag dabeihaben, dass Risikolevel durch die Umsetzung des ISMS auf ein Akzeptanzniveau zu bringen, welches dem Risikoappetit Ihrer Organisation entspricht. Schätzen Sie die Kosten (was muss angeschafft werden, was kann finanziert werden, was kann angepasst werden), wobei die Gesamtkostenstruktur Ihres Projektes unter der Summe der "möglich fälligen" Strafzahlungen, Reputationsverlusten, den bewerteten Folgen von Entzug von eventuellen Marktfreigaben oder - zugängen liegen sollten.

Um all dieses zu einem akzeptablen Preis zu erreichen, ist es empfehlenswert, wenn Sie sich "nicht auf den Weg machen und das Rad neu erfinden möchten". Bedienen Sie sich am Markt und erstehen Sie ISMS Vorlagen Toolkits.

Versuchen Sie nicht Alles auf einmal zu erreichen. Besonders bei der Einführung eines ISMS ist eine gute und verlässliche Dokumentationsbasis der vorhandenen Strukturen unbedingt notwendig. Andernfalls können Sie keine sinnvollen Governance-Strukturen aufbauen. Ohne definierte Prüfpunkte sind Sie aber nicht in der Lage, den Umsetzungsgrad beurteilen zu können. Wenn Sie das nicht können, dann auch nicht Ihr Wirtschaftsprüfer oder das interne Audit.

Denken Sie immer dran:

Jegliche Aktivität ohne Ziel ist blinder Aktionismus!

Gerade wenn es um Lizenzen, Assets (CIs) und auch um Access-Management (kursiv und rekursive Auflösungen!) geht, können Ihnen in relativ kurzer Zeit (2 bis maximal 4 Wochen) automatisierte Lösungen helfen, nicht nur Asset-Listen auf Knopfdruck, sondern standardisierte auf Sie angepasste, jederzeit aktuelle Dokumentationen liefern: als Printout in Berichtsform oder via Schnittstelle direkt an Ihre CMDB. Dies kommt gleichermaßen Ihren Service- und Operation-Teams auch unabhängig von der Einführung eines ISMS sofort zu Gute! Bei Interesse sprechen Sie mich an. Ich stelle gerne einen Kontakt her.

Leider gibt es für den Abgleich der Listung entsprechenden Rechtslagen und Anforderungen kein Standardwerk, auf welches Sie zurückgreifen könnten. Wenn es Ihnen möglich ist, dann reden Sie mit ihrem Unternehmensjustiziar; auch Ihr internes Audit, das Risk- und Compliance-Board, ihr CISO und BISO oder auch in Teilen Ihr Datenschutzbeauftragter müssten Ihnen weiterführende Hilfestellungen geben können. Ein Blick in die letzten Wirtschaftsprüferberichte und deren Findings offenbart oftmals offene (bereits nach Kritikalität bewertete(!)) Punkte, die Sie nutzen können, um diese mit dem Framework abzugleichen. Außerdem: machen Sie sich über Ihre in der Firma veröffentlichten Policies und Procedures schlau. Ihr Unternehmen sollte hier die wesentlichsten Ableitungen aus den Anforderungen bereits dokumentiert veröffentlicht haben.

Wenn Ihr Unternehmen Teile der IT an einen Dienstleister oder in die Cloud ausgelagert hat, lesen Sie den Kontrakt und die korrespondierenden Service Level Agreements und die vorhandenen KPIs. Auch hier können findig werden.

Für den Soll-/Ist-Abgleich ihrer Infrastruktur sind Sie über einen extern durchgeführtes Quick-Security-Check am schnellsten in der Lage, Key-Findings in Relation zur ISO, aber auch zu weiteren Frameworks und Best Practices und diese sowohl für das Tagesgeschäft als auch für die Vorbereitung Ihrer Managementpräsentation für die Geschäftsleitung zu erhalten. In der Regel sollte so ein Quick-Check für ein mittelständisches Unternehmen nicht mehr als 2 Wochen benötigen.

Adresse

Am Wolfsloch 50
Friedrichsdorf
61381

Öffnungszeiten

Montag 09:00 - 18:00
Dienstag 09:00 - 18:00
Mittwoch 09:00 - 18:00
Donnerstag 09:00 - 18:00
Freitag 09:00 - 18:00

Telefon

+4961756519140

Benachrichtigungen

Lassen Sie sich von uns eine E-Mail senden und seien Sie der erste der Neuigkeiten und Aktionen von Bernd Kronach, IT's 'Bout Management Services erfährt. Ihre E-Mail-Adresse wird nicht für andere Zwecke verwendet und Sie können sich jederzeit abmelden.

Teilen