01.09.2017 | Fachberichte/Softwareinfo/Praxistipps Allgemeine News | Andreas Hermann, Leitung Technik
Nachdem im Sommer 2016 die ISO 27001 Zertifizierung erfolgreich bestanden worden war, stand nun die erste Rezertifizierung an. Im Zuge der Security Zertifizierung muss jährlich ein Audit im Umfang von 2 Tagen abgelegt werden. Alle 3 Jahre findet dann ein großes Audit statt, welches sich über 4 Tage erstreckt.
Dies ist deshalb notwendig, weil sich gerade im Bereich der Sicherheit immer neue Bedrohungen, aber auch Abwehrmechanismen ergeben.
Nach dem Audit ist also vor dem Audit. Gerade im Security-Bereich gibt es immer vieles zu tun und man kann sich immer weiter verbessern. Ein großer Fokus liegt dabei natürlich auf den Mitarbeitern und deren entsprechender Schulung. Die besten technischen Maßnahmen versagen, wenn die Mitarbeiter diese nicht richtig anwenden oder bedienen können.
Gerade jetzt gab es ja einen großen Evolutionssprung bei der sogenannten „Ransomware“. Bisher hat die Verschlüsselungssoftware nur den eigenen Rechner betroffen und alle darauf befindlichen Daten verschlüsselt. Somit war ein Befall zwar meist sehr ärgerlich – allerdings auch schnell eingedämmt bzw. lokalisiert.
In der neuen Ausbaustufe solcher Schadsoftware wurde diese um Komponenten erweitert, die auch Sicherheitslücken ausnutzen, um sich selbstständig im Netzwerk zu verbreiten. Das bedeutet, wenn sich ein Rechner diese Schadsoftware einfängt, versucht diese sich sofort im Netzwerk zu verbreiten. Dabei wird nach Rechnern gesucht, die Schwachstellen aufweisen (durch fehlende Updates/Patches). Und plötzlich gibt es eine Vielzahl von Rechnern, die beginnen, alle Daten zu verschlüsseln. Die Schadsoftware „WannaCry“ hat einen ersten Ausblick darauf gegeben, was in so einem Fall passieren kann. Dies führte sogar soweit, dass Krankenhäuser Ihre gesamte EDV außer Betrieb nehmen mussten.
Zur Prävention werden bei BMD jährlich Security-Schulungen durchgeführt. Diese sind für jeden Mitarbeiter Pflicht. Dabei werden aktuelle Beispiele aus der Praxis demonstriert (welche Phishing-Mails gibt es zurzeit, wie kann ich diese erkennen, welche anderen Bedrohungen gibt es, worauf muss geachtet werden usw.).
Nachdem wir nun auf den „Geschmack“ gekommen sind, haben wir auch beschlossen, eine zusätzliche Cloud-Zertifizierung zu erreichen. Dabei handelt es sich um die ISO 27018, welche als Zusatzzertifizierung zu einer bestehenden ISO27001 abgeschlossen werden kann. Dabei wird der Cloudbereich noch einmal ganz genau betrachtet und einige zusätzliche Maßnahmen speziell für Cloud-Betreiber müssen erfüllt werden.
BMD ist es sehr wichtig, Ihnen als unseren Kunden zu zeigen, dass wir möglichst alles versuchen, um die Daten sicher zu verarbeiten und zu speichern!
Ein großes Thema für die nächsten Monate ist natürlich die neue EU Datenschutz Grundverordnung. Durch die ISO 27001 haben wir bereits einen sehr guten Einstieg in das Thema Datenschutz gefunden. Hier liegt aber noch viel Arbeit vor uns (wie für die meisten Unternehmen), um den Anforderungen des neuen Gesetzes nachzukommen.
Allerdings steht jetzt schon fest, dass, egal ob mit Zertifikaten oder ohne, BMD von den Maßnahmen profitiert und der sichere Weg auch für die Zukunft weiter beibehalten wird.
Hier geht's zu unseren Zertifikaten
Datum:
01.09.2017
Bereich:
Fachberichte/Softwareinfo/Praxistipps Allgemeine News
Autor:
Andreas Hermann, Leitung Technik