Sie sind auf Seite 1von 8

Dr. Wolfgang Straub Deutsch Wyss & Partner Effingerstrasse 17/Postfach 5860 CH-3001 Bern

Informationssicherheit in der Anwaltskanzlei

Generelle Ziele des IT-Einsatzes

Verfügbarkeit von Daten und Infrastruktur

Effizienz und Ergonomie der Datenverarbeitung, Übersichtlichkeit von Daten

Vertraulichkeit/Integrität von Daten

Beweisbarkeit der Integrität von Daten/Nachvollziehbarkeit von Änderungen

Kosteneffizienz

Schützenswerte Daten

Klientenbezogene elektronische Dokumente (Word/Excel/PDF/eingescannte Korrespondenz)

E-Mails

Papierdossiers

Informationen in Leistungserfassungsprogramm

Mitarbeiterbezogene Daten

Typische Sicherheitsmassnahmen

Weder die hier diskutierten Themen noch die vorgeschlagenen Massnahmen erheben Anspruch auf Vollständigkeit. Welche Mass- nahmen konkret sinnvoll sind, hängt von der individuellen Gewichtung der Risiken, der Kanzleigrösse etc. ab.

Seite 2

Thema

Einmalige Massnahmen

Wiederkehrende Massnahmen

 

Analyse der individuellen Sicherheitsrisiken

Periodische Aktualisierung des Sicherheits- und Datenschutzkonzepts und der Benutzer- richtlinien

Periodische Kontrolle der Einhaltung von Si- cherheits-, Datenschutz- und Benutzerrichtli- nien

Verantwortlichkeiten und Rollen definieren

Erarbeitung eines schriftlichen Sicherheits- und Datenschutzkonzepts mit Festlegung der Verantwortlichkeiten

Einrichtung eines internen Kontrollmecha- nismus

Bezeichnung eines IT-Sicherheitsverant- wortlichen/Datenschutzbeauftragten und Definition der Aufgaben

Benutzerrichtlinien (z.B. für Umgang mit E-

Periodische Berichterstattung des IT-

Sicherheitsverantwortlichen/Datenschutzbeauf-

tragten (inkl. Massnahmenvorschläge bei kon- kretem Handlungsbedarf)

Periodische Kontrolle des IT-

Sicherheitsverantwortlichen/Datenschutzbeauf-

Mail, Internet, Softwareinstallation auf loka- len PCs und Mobilen Datenträgern)

Einrichtung von Benutzergruppen mit vor- definierten Zugriffsrechten (z.B. Anwälte, Sekretariat, IT-Administratoren)

tragten

Periodische Kommunikation, wer Ansprechs- partner für IT-Sicherheitsfragen ist

Definition und Kommunikation, aller An- sprechspartner für IT-Sicherheitsfragen

Überwachung von Zugriffen externer IT- Dienstleister im Rahmen von Fernwartungszu- gängen (Zugriffsmöglichkeiten nur punktuell und nach Voranmeldung freigeben, einzelne Zugriffe eventuell automatisch protokollieren)

Rollenbasierte Zugriffsrechte auf Systeme

Sicherheitskultur

Basisausbildung aller Mitarbeitenden

 

Sensibilisierung für Sicherheitsfragen und Kommunikation des Sicherheitskonzepts

Information, welche Informationskanäle überwacht werden

Periodische Sicherheits-Sensibilisierung (ins- besondere betreffend Berufsgeheimnis, beruf-

lich mitgenutzte Heimcomputer, mobiler Geräte und Umgang mit E-Mail)

Ermutigung aller Mitarbeiter zur Kontaktierung des IT-Sicherheitsverantwortlichen bei poten- ziell sicherheitsrelevanten Vorfällen

Seite 3

Dokumentation

Inventar aller Hard- und Software sowie Netzwerkplan

Liste der Zugriffsberechtigungen: Wer kann intern/via Internet auf welche Systeme, Ap- plikationen, Daten etc. zugreifen?

Periodische Aktualisierung des Inventars

Kontrolle und Dokumentation aller einge- spielter Updates (z.B. via WSUS Server)

Protokollierung und periodische Auswertung sicherheitsrelevanter Vorgänge in Logfiles

Umfassende Geheimhaltungserklärungen für Kanzleimitglieder, IT-Partner (mit kon- kretem Einbezug ihrer Mitarbeiter), Substi- tuten, Reinigungspersonal etc.

Periodischer externer Security Audit

Dokumentation, wann externe Dienstleister Systemzugriff erhielten und worin ihre Aufgabe bestand

Unterzeichnung der Benutzerrichtlinien durch alle Mitarbeiter

Besucher nicht unbeaufsichtigt in Räumen mit Zugriffsmöglichkeiten auf Systeme lassen

Physische Sicherheit

Abgeschlossener, eventuell klimatisierter Serverraum

Keine unbeaufsichtigten Zutrittsmöglichkeiten zu Räumlichkeiten mit Akten, Computern, Dru- ckern etc. zulassen

Besucher nicht unbeaufsichtigt in Räumen mit Zugriffsmöglichkeiten auf Daten und Systeme lassen

Akten und Daten bei Büroabwesenheit unter Verschluss halten

Brandschutz im Serverraum (Brandmelder, keine brennbaren Materialien dort lagern,

CO2-Feuerlöscher)

Keine offene LAN-Verkabelung, Switches, Router etc. ausserhalb der Büroräumlich- keiten (z.B. in Treppenhäusern etc.)

Abschliessbare Aktenablage

 

Abgeschlossenes Archiv

Schutz extern gelagerter Datensicherung (z.B. in Banktresor)

Seite 4

Schutz vertraulicher Informatio- nen

Konzept zum Schutz vertraulicher Daten von Mitarbeitern (z.B. Umgang mit privaten E-Mails)

Vertragsentwürfe in Microsoft Office- oder PDF-Form vor Weiterleitung an Gegenpartei von verborgenen Informationen säubern (ins-

Passwortschutz

Verschlüsselung von Festplattenpartitionen mit vertraulichen Daten

Einrichten eines Virtual Private Networks für kanzleiexterne Zugriffe

Technische Verhinderung unerwünschter Systemzugriffe via Wireless LAN oder von Sitzungszimmern aus (z.B. Zugriff via Vir- tual Private Network vorsehen)

besondere Überarbeitungsmarkierung und Do- kumenteigenschaften)

Schriftlich mit Klienten klären, in welcher Form vertrauliche Informationen kommuniziert wer- den sollen

Verschlüsselung von sensiblen E-Mail- Attachments

Keine automatische Weiterleitung von E-Mails an private Adressen

Eventuell Einrichtung spezieller, sicherer Server für den Dokumentenaustausch in sensiblen Transaktionen

Memorysticks, auf denen einmal vertrauliche Daten gespeichert waren, unter Verschluss halten oder mit Spezialsoftware löschen

Fachgerechte Entsorgung von Geräten mit Da- tenspeichern (Drucker, Digitalkopierer, Handys etc.)

Schutz von Datenspeichern bei der Reparatur solcher Geräte

Vertrauliche Behandlung von Telefonrechnun- gen mit Verbindungsdaten

Seite 5

Schutz vor Malware (Viren, Spyware etc.)

Installation Virenschutzsoftware und An- tispyware auf Servern (insbesondere Mail- server), Clients und mobilen Geräten

Fortlaufende Aktualisierung der Virenschutz- software und Antispyware (Signaturen und Programme selbst

Installation und fachgerechte Konfiguration von Firewalls vor allen Internetzugängen

Überwachung der Aktualisierung aller Soft- wareupdates

Periodischer vollständiger Virusscan aller Festplatten

Periodische Überprüfung der Konfiguration von Firewalls

Sensibilisierung aller Teammitglieder im Hin- blick auf Phishing, Viren etc.

Verhinderung der ‚wilden‘ Installation von Software/Systemzugriffsmöglichkeiten durch Mitarbeiter

Schutz vor Hackern

Installation und fachgerechte Konfiguration von Systemen, Berechtigungen, Netzkom- ponenten etc.

Periodische Kontrolle und Aktualisierung der Konfiguration von Systemen, Berechtigungen, Netzkomponenten etc.

Eventuell Intrusion Detection & Prevention System

Dokumentation und Sicherung der Konfigura- tion (auch VPN-Firewalls)

Passwortschutz für System- und Daten- zugriffe

Periodische Kontrolle und Deaktivierung nicht benötigter Dienste, Protokolle und Netzwerk- freigaben

Rasches Einspielen von Sicherheitspat- ches/Softwareaktualisierungen

Einbezug von Voice-over-IP- Telefonanlagen ins Sicherheitskonzept

Periodische Penetration Tests (Ethical Hacking durch spezialisierte Firmen)

Seite 6

Datensicherung

Erarbeitung eines Datensicherungsplans

Tägliche, wöchentliche, monatliche und jährli- che Sicherungskopien für Daten und Konfigu- rationen

Sichere Aufbewahrung von Sicherungskopien ausser Haus

Sicherstellen, dass Daten auch nach einem Wechsel der Backuphardware noch gele- sen werden können

Periodische Überprüfung der Lesbarkeit von Sicherungskopien (eventuell zusätzlich von ei- nem Ersatzgerät aus)

Passwortschutz

Passwortkonzept

Periodischer Passwortwechsel (durch System erzwingen)

Kein Login ohne Passwort

Erneute Eingabe nach längerer Systemin- aktivität (z.B. Mittagspause) verlagen

Sensibilisierung der Teammitglieder (z.B. dass Passwörter nicht auf Zetteln am Arbeitsplatz notiert oder an Kollegen weitergegeben wer- den)

Qualität der Passwörter nach Passwortwechsel mit Passwortchecker überprüfen

Erhöhter Passwortschutz für Systemadmi- nistrationsaufgaben

Eventuell Einsatz von Smart Cards

Eventuell Einsatz eines Authentifizierungs- systems, welches alle Datenzugriffe proto- kolliert

Ausschluss der Verwendung früherer Passwör- ter

Änderung allfälliger werkseitig voreinge- stellter Passwörter bei neuer Hard- und Software

Liste aller Passwörter und Benutzernamen für den Fall des Vergessens in Tesor sichern

Besondere Schutzvorkehrungen bei Zugriff via öffentliche Computer in Internetcafés etc. (z.B. besteht die Gefahr, dass Passwörter mit Key- logger-Skripts aufgezeichnet werden)

Seite 7

Mobile Geräte (Notebooks, PDAs, Mobiltelefone)

Passwortschutz vor Benutzung und nach längerer Inaktivitätsdauer vorsehen

Mobile Geräte nie unbeaufsichtigt lassen

Regelmässige Sicherheitsupdates

 

Deaktivierung oder fachgerechte Konfigu- ration von WLAN und Bluetooth in mobilen Geräten

Verschlüsselung der Festplatten von Note- books

Fachgerechte Installation einer Softwarefi- rewall vor Internetzugriffen

Möglichkeit der Löschung von Daten und Systemzugriffsmöglichkeiten im Fall des Verlusts (Deaktivierungsbefehl)

Möglichkeit zur sofortigen Sperre von Sys- temzugriffsmöglichkeiten im Fall fristloser Entlassungen (Deaktivierungsbefehl)

Seite 8

Systemverfügbarkeit

Identifikation der neuralgischen Punkte (Single Points of Failure)

Disaster Recovery periodisch proben (z.B. De- finition von Einzelelementen, welche zeitlich verteilt getestet werden)

Sicherung von Konfigurationen (z.B. Server- und Firewalleinstellungen)

Erarbeitung eines Disaster Recovery Kon- zepts (Notfallplanung) für Infrastruktur und Daten

Redundanz aller Komponenten, welche zum Systemausfall führen können (Single Points of Failure)

Ersatzbeschaffungsmöglichkeit identischer Komponenten in Verträgen mit IT-Lieferanten sicherstellen

Notstromversorgung mindestens für Herun- terfahren von Servern sicherstellen

Service/Maintenance Pack für Server

Eventuell Backup-Mailserver

Redundanter Internetzugang

Standardisierung der Clients und Erstellung von Images zur Wiederherstellung

Eventuell Virtualisierung von Servern

Archivierung

Erarbeitung eines Archivierungskonzepts für Papier- und elektronische Unterlagen

Periodische Aktualisierung des Archivierungs- konzepts (z.B. Anpassung an neue rechtliche Vorgaben)

Einscannen wichtiger Papierdokumente

Installation einer beweissicheren E-Mailarchivierungssoftware

Sicherstellung der Archivierung von Faxen (z.B. via E-Mailarchiverungssoftware)

Überprüfung der Vollständigkeit der Daten

Sichere Vernichtung nicht mehr benötigter Da- ten

 

Aktualisierung von Archivierungssoftware

Für wertvolle Anregungen und Hinweise danke ich Prof. Dr. Urs Gattier (CyTrap Labs, www.cytrap.eu), Herrn Martin Grossniklaus (Infolutions, www.infolutions.ch), Prof. Dr. Fridolin Walther (Gubler Walther Leuch, www.gublerwaltherleuch.ch) und Dr. Urs Zurfluh (Ad Vantis Innovation, www.advantis.ch)