Sichere Übertragung von Informationen nach ISO 27002
Man kann grundsätzlich zwischen der elektronischen, mündlichen und physischen Übertragung unterscheiden, wobei zum Teil auf die spezifischen Besonderheiten des Übertragungsmediums zu achten ist. In diesem Artikel werden organisatorische Lösungen vorgestellt, um diese Anforderungen effektiv umzusetzen.
Implementierung von Verschlüsselungstechnologien
Eine der allgemein grundlegenden organisatorischen Lösungen zur sicheren Übertragung von Informationen ist die Nutzung von Verschlüsselungstechnologien. Durch die Verschlüsselung der übertragenen Daten wird sichergestellt, dass diese nur für autorisierte Empfänger lesbar sind. Organisationen sollten entsprechende Verschlüsselungsmechanismen einsetzen, die dem aktuellen Stand der Technik entsprechen. Im Folgenden finden Sie einige Beispiele für entsprechende technische Lösungen:
- Secure Socket Layer (SSL) / Transport Layer Security (TLS): Diese Protokolle werden verwendet, um eine sichere Kommunikation über das Internet zu gewährleisten. Seriöse Anbieter von SSL/TLS-Zertifikaten sind beispielsweise Comodo, Symantec (jetzt Teil von DigiCert), GlobalSign und Let’s Encrypt.
- Pretty Good Privacy (PGP): PGP ist eine bewährte Methode zur Verschlüsselung von E-Mails und Dateien. Der PGP-Standard wird von verschiedenen Anbietern unterstützt, darunter Symantec (PGP Corporation), GnuPG (GNU Privacy Guard) und Echoworx.
- Secure/Multipurpose Internet Mail Extensions (S/MIME): S/MIME ist ein Standard zur sicheren Verschlüsselung und Signierung von E-Mails. Seriöse Anbieter von S/MIME-Zertifikaten sind beispielsweise Symantec, GlobalSign und Entrust.
- Virtual Private Network (VPN): VPNs verschlüsseln den Datenverkehr zwischen einem Benutzer und einem entfernten Server und schützen so die Kommunikation vor Überwachung und Abhörversuchen. Seriöse VPN-Anbieter sind beispielsweise NordVPN, ExpressVPN, CyberGhost und Private Internet Access (PIA).
- Secure File Transfer Protocol (SFTP): SFTP ist eine sichere Alternative zum herkömmlichen FTP, die Dateiübertragungen verschlüsselt. Seriöse SFTP-Anbieter sind beispielsweise OpenSSH, Globalscape und Bitvise.
Festlegung von Übertragungsrichtlinien
Es ist zudem wichtig, klare Richtlinien für die Übertragung von Informationen aller Art festzulegen und diese innerhalb der Organisation zu kommunizieren. Diese Richtlinien sollten Aspekte wie die Nutzung sicherer (elektronischer) Kommunikationskanäle, die Verwendung von VPNs (Virtual Private Networks) bei der Übertragung über unsichere Netzwerke und den Umgang mit sensiblen Daten während der Übertragung umfassen. Dabei ist nicht nur auf die Kommunikation innerhalb der Organisation einzugehen, sondern es sind auch Verfahren, Regeln und Vereinbarungen für die Informationsübertragung zu Externen zu implementieren.
Schulung und Sensibilisierung der Mitarbeiter
Organisationen sollten ihre Mitarbeiter regelmäßig über die Bedeutung der sicheren Übertragung von Informationen schulen. Dies umfasst die Sensibilisierung für Best Practices wie die Verwendung von sicheren Dateiübertragungsprotokollen, die Vermeidung unsicherer öffentlicher WLAN-Netzwerke und den sicheren Umgang mit E-Mail-Anhängen. Indem Mitarbeiter über die Risiken informiert werden und bewusst handeln, können potenzielle Schwachstellen minimiert werden.
Überwachung und Auditierung der Übertragungsvorgänge
Eine regelmäßige Überwachung und Auditierung der Übertragungsvorgänge ermöglicht es Organisationen, potenzielle Sicherheitsvorfälle zu identifizieren und angemessen darauf zu reagieren. Durch die Protokollierung von Übertragungsaktivitäten und die Analyse der Protokolldaten können verdächtige Aktivitäten erkannt und geeignete Maßnahmen ergriffen werden.
Besonderheiten der elektronischen Übertragung
Bei der Verwendung von elektronischen Ressourcen sind die dadurch entstehenden Risiken bei Maßnahmen der Informationssicherheit zu beachten. Dazu gehört es zum Beispiel, dass Lösungen implementiert werden, um Schadsoftware rechtzeitig zu erkennen. Auch ist durch geeignete Maßnahmen sicherzustellen, dass nur der ausgewählte Empfänger Zugriff auf die übertragenen Informationen hat.
Sichere Übertragung erfordert Expertenwissen
Die Umsetzung der in Kapitel 5.14 der ISO vorgeschlagenen Maßnahmen zur Übertragung von Informationen erfordert eine gründliche Analyse der individuellen Anforderungen und Risiken Ihrer Organisation. Es wird empfohlen, einen zertifizierten Informationssicherheitsbeauftragten (CISO) oder einen qualifizierten Fachexperten hinzuzuziehen, um sicherzustellen, dass die Umsetzung den besten Praktiken und Standards entspricht.