Sicherheits Management
Statements
No Risk No Fun.
- Absolute Sicherheit gibt es nicht.
Geht schon, kein Netzwerk, keine Tastatur, kein Strom, das ganze im Betonblock 10 000m tief im Meer versenkt.
- Je sicherer umso weniger kann gearbeitet werden.
- Lange geht es gut, plötzlich ist alles verloren.
- Das schwächste Glied der Sicherheitskette bestimmt die Haltbarkeit.
Tipps & Tricks
- Passwörter regelmässig ändern.
- Passwörter ausreichend sicher wählen (beliebter Fehler, hier den Namen de/r/s Freunde(in) zu nehmen, die Zigarettenmarke usw. usf.)
Für wichtige Sachen Crypto-Loop devices einrichten.
- Backups machen.
- Sicherheitsupdates zeitnah einspielen.
Ganz wichtige Rechner eventuell mit Tripwire ausstatten und diverse Teile des Filesystems ReadOnly mounten.
- Logs regelmässig kontrollieren.
Alles Richtig aber kein Management oder?
Stimmt obige Tipps gehören Wohl nach LinuxSecurity!
Management
- Zum Management gehören diverse organisatorische Dinge, die eigentlich schriftlich niedergelegt werden müssen (aber im Privatbereich macht das wenig Sinn)...
Welche Güter sind (im IT-Bereich) zu schützen?
Daten
Funktionsfähigkeit der EDV-Anlagen
Nicht direkt der EDV zugeordnete Güter
Ein Sicherheitskonzept sollte sich damit beschäftigen obige Güter zu sichern, zu 'verteidigen' und gegebenenfalls wieder herzustellen.
Daten: Daten können verloren gehen, kopiert und verändert werden. Ein Sicherheitskonzept muss definieren, wie wertvoll die Daten sind (damit sich der Investionsaufwand rechtfertigen läßt - ein tägliches Backup ist teurer als ein wöchentliches), bzw. wie gross der Schaden ist, wenn er denn eintreten sollte. Desweiteren müssen Prozeduren festgelegt werden, die einen Schaden bemerken (z.B. das Verwenden von IntrusionDetectionSystems, aber auch das Bereitstellen von Telefon-Nummern, die man anrufen kann, falls der Server nicht mehr läuft...) und auch beheben können (das Rückspielen von Backups usw).
Funtionsfähigkeit der EDV-Anlagen: Ein Sicherheitskonzept muss behandeln, wie die Funktionsfähigkeit der EDV in einem Schadensfall aufrecht erhalten werden kann. (Beispiel die Debian-Entwicklung war nach einem Einbruch 2003 stark eingeschränkt, es gab wohl kein Konzept, wie in einem Schadensfall zu verfahren ist. Andererseits hat das Projekt das im Rahmen seiner finanziellen Mittel mögliche getan.)
nicht-EDV Güter: Die EDV greift auch in andere Geschäftsprozesse ein. Ein Sicherheitskonzept muss Prozeduren festlegen, die ggf. Anweisungen der EDV kontrollieren (es sind schon ganze Warenbestände von fehlerhafter EDV weggeworfen worden oder auch Menschen verstrahlt worden, beides hätte durch menschliches Eingreifen verhindert werden können, wenn es denn vorgesehen gewesen wäre).