Security

Durch die wachsende Abhängigkeit der Wirtschaft und Verwaltung von dem einwandfreien Funktionieren und der uneingeschränkten Verfügbarkeit informationstechnischer Systeme nimmt die Vertraulichkeit, Verfügbarkeit und Integrität der Daten (IT-Sicherheit) einen immer höheren Stellenwert ein. Um einen sicheren Umgang mit Daten und informationsverarbeitenden Systemen zu gewährleisten, ist es erforderlich, der jeweiligen Gefährdungslage entsprechende Sicherheitsstandards zu entwickeln und einzuhalten. Als einheitlicher Maßstab zur Beurteilung der Sicherheit informationstechnischer Systeme dienen Kriterien für die Prüfung und Bewertung der IT-Sicherheit. Der Begriff Sicherheitsarchitektur ist hier von Bedeutung und wird vorwiegend im Zusammenhang mit der Informationsverarbeitung gebraucht.
Unter der Sicherheitsarchitektur eines Unternehmens oder einer Organisation ist die Gesamtheit aller, in den verschiedenen Organisationsbereichen realisierten Sicherheitskonzepte und die daraus abgeleiteten IT- technischen Sicherheitsmaßnahmen zu verstehen.

Auf diesem Feld bietet Ihnen die asfm GmbH mit Ihren Partnern langjährige Erfahrung bei der Beratung Planung und Realisierung von Projekten.

asfm Security BOX Sicherheiträume

Die asfm Security BOX ist für alle Größen modular als Raum- in- Raum -System, vom DV-Technikraum bis hin zum umfangreichen Rechenzentrum erstellbar. Sie erfüllt höchste Sicherheitsanforderungen für die unterschiedlichsten Anforderungen und Bedürfnisse. Aufgrund ihrer spezifischen Eigenschaften, welche durch aufwendige Tests und Prüfungen nachgewiesen sind, besitzt sie gewissermaßen Alleinstellungsmerkmale.
Fragen zur physikalischen Sicherheit!!
Wie sieht das Schutzbedürfniss Ihrer Organisation aus?
Welche Gefahren birgt Ihr Standort und das Gebäude generell?
Welche Gefährdung existiert für die Betriebssicherheit und Verfügbarkeit Ihrer IT und IT-Infrastruktur?
Welche maximale Ausfallzeit Ihrer Informations- und Kommunikationssysteme können Sie im Notfall tolerieren?
Welche Bereiche Ihres Unternehmens wären durch einen Systemausfall beeinträchtigt?
Wie sind Ihre Informationssysteme gegen physikalische Einflüsse wie Brand, Rauchgas, Wasser, etc. geschützt?
Entsprechen die Infrastrukturanlagen für Ihre IT dem Stand der Technik und aktuellen Sicherheitsstandards?
Sind die Anlagen sowohl in der Infrastruktur als auch in der IT selbst redundant oder teilredundant ausgelegt.
Werden die Anlagen regelmäßig gewartet und auf Funktion geprüft?
Sind den IT-Verantwortlichen und Geschäftsführern in Ihrem Unternehmen die Haftungsrisiken in Bezug auf System- und Datenschutz bekannt?
Welche Backup- und Notfallmaßnahmen gibt es?
Wird das Sicherheitsbewußtsein Ihrer Mitarbeiter regelmäßig durch Übungen und Schulungen geschärft?
Besitzt Ihr Unternehmen eine funktionierende Notfallorganisation?

Physikalischer Datenschutz

Physikalischer Datenschutz ist eine Frage des unternehmerischen Weitblickes...
Monitor 5/2003
...Die elektronische Vernetzung aller Unternehmensbereiche und das stetig steigende Tempo von Wirtschaftsprozessen macht die allzeit gesicherte Verfügbarkeit von firmeninternen- und externen Daten zur unerlässlichen Leistungsgrundlage. Firewalls und Virenabwehr gehören deshalb schon zur selbstverständlichen "Katastrophenvorsorge" jedes Unternehmens. Zuwenig wird aber darüber nachgedacht, dass auch katastrophale Elementarereignisse wie Feuer, Brandgase oder Wasser/Wasserdampf die IT-Systeme bedrohen können. Folge sind oft verheerende Schäden an den Systemen, hohe wirtschaftliche Einbußen und im schlimmsten Fall der wirtschaftliche Existenzverlust der betroffenen Firmen. Gerade deshalb sollte auch der physikalische System- und Datenschutz ein unverzichtbarer Bestandteil in dem Sicherheitsüberlegungen jedes Unternehmens sein.
Quelle: Monitor 5/2003

Komplexe Hard- und Softwarekomponenten brauchen konstante klimatische Bedingungen von 22 - 26 Grad Celsius und Luftfeuchtigkeit von 50%, um einwandfrei zu funktionieren.
Die asfm-Box kann diese Rahmenbedingungen durch ihre feuerfeste Stahlkonstruktion, ihre enorme Isolierung und ihr hochsensibles, redundantes Klima- und Abschottungssystem überzeugend gewährleisten.
Sogar im Katastrophenfall - auch noch nach 90 Minuten dauernder Beflammung - werden die Kriterien für eine nach den geltenden Normen zulässige Temperaturerhöhung am Wand- und Deckensystem sowie am Türblatt eingehalten. Auch die gemäß den gütltigen Normen erforderlichen Kriterien für die Dichtigkeit der raumabschließenden Bauteile bezüglich des Durchtrittes von Flammen, Rauch und Temperatur würden mit 90 Minuten erfüllt.
Durch diese Bauqualität wird erreicht, dass die Erhöhung der Raumtemperatur so langsam als möglich erfolgt und damit die Zerstörung der Systeme und Anlagen in der BOX durch zu hohe Wärmewerte hinausgezögert und im besten Fall verhindert wird.
Somit wird auch über eine lange Branddauer und über einen langen Zeitraum von bis zu 90 Minuten, eine Raumtemperatur nicht überschritten, bei der selbst optische und magnetische Datenträger unversehrt bleiben und die, je nach Ausgangstemperaturwert im Raum, unter der Belastungsgrenze der Systeme liegt.

Komplexe Hard- und Softwarekomponenten brauchen konstante klimatische Bedingungen von 22 - 26 Grad Celsius und Luftfeuchtigkeit von 50%, um einwandfrei zu funktionieren.
Die asfm-BOX kann diese Rahmenbedingungen durch ihre feuerfeste Stahlkonstruktion und ihr hochsensibles, redundantes Klima- und Abschottungssystem überzeugend gewährleisten.
Sogar im Katastrophenfall - auch noch nach 120 Minuten dauernder Beflammung - wird eine Raumtemperatur von 49 Grad Celsius nicht überschritten, ein Wert bei dem selbst optische und magnetische Datenträger unversehrt bleiben und der deutlich unter der Belastungsgrenze der Systeme liegt.

IT-Haftung IT-Sicherheit ist Chefsache!!

Neues Haftungsrecht - Anforderungen an die IT - Sicherheit Sarbanes Oxley - Basel II - KonTrag - AktG - HGB - StGB
Für die IT-Sicherheit ist grundsätzlich die Unternehmensleitung verantwortlich. Eine Haftung im Schadensfall kann bis zur persönlichen Haftung mit dem Privatvermögen gehen.
Diese Verantwortung und die damit verbundenen Entscheidungs-befugnisse kann und wird meistens an Mitarbeiter des Unter-nehmens, in der Regel oft leitende Angestellte, delegiert - z.B. IT-Manager.
Von dieser Ebene erfolgt dann innerhalb der jeweiligen Verantwortungsbereiche die Aufgabenverteilung und damit auch Verantwortungsweitergabe an die Fachmitarbeiter.
Somit ist die Verantwortungslinie sehr weitreichend und sollte daher auch im Interesse aller IT-Beteiligter liegen. Jedes Ereignis, das aufgrund mangelnder oder unzureichender IT-Sicherheits-maßnahmen eintritt, hat begleitend zu den Haftungsfolgen immer auch signifikante finanzielle Auswirkungen zur Folge.
Diese Kosten übersteigen oft die Kosten der Implementierung eines für Ihr Unternehmen optimierten Sicherheitskonzeptes.
Ein aktives und striktes Risikomanagement hat direkten Einfluss auf das Firmen-Image, denn Sie bleiben auch in kritischen Situationen handlungsfähig.
Ein IT-Sicherheitskonzept und dessen Implementierung ist unabdingbar.

Die klassischen Risiken in der gesamten IT betreffen immer drei Bereiche:

  • Organisation
  • Infrastruktur
  • Anwendungen

Europäische und nationale Vorschriften und Gesezte - Auszug:

  • im Rahmen einer Verfügbarkeitskontrolle ist zu gewährleisten, dass ... Daten gegen Zerstörung oder Verlust geschützt sind...
  • der Betreiber muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner IT-Dienste zu gewährleisten!
  • Ungenügende Benchmarkergebnisse für Betriebssicherheit gemäß Artikel 4 der Europäischen Richtlinie zum Datenschutz haben direkte Auswirkung auf eine Einschränkung der Leitsungen der Betriebshaftpflicht!!

Das neue Gesetz zur Kontrolle und Transparenz im Unternehmens-bereich - KonTraG - welches sich auf das Aktiengesetz (AktG) und das Handelsgesetzt (HGB) stützt - Auszug:

  • § 91 Absatz 1 AktG "Der Vorstand hat geeignete Maßnahmen zu treffen, ..., damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden."
  • § 76 Absatz 1 AktG In Verbindung mit diesem Paragraphen ergibt sich aus der Leistungspflicht für die Vorstandsmitglieder auch eine Organisationspflicht zur Sicherung des Unternehmensfortbestandes;
  • hieraus wiederum ergibt sich die Verpflichtung, sowohl die erforderlichen finanziellen Mittel bereitzustellen, als auch die verantwortlichen Mitarbeiter mit den erforderlichen Arbeitsmitteln und dem erforderliche Know-how auszustatten;
  • ebenso ergibt sich die Verpflichtung, ein angemessenes IT-Sicherheitskonzept zu veranlassen und dessen wirkungsvolle Umsetzung zu kontrollieren.

Mögliche strafrechtliche Auswirkungen und Haftungstatbestände - Auszug / Beispiele:

  • § 202a StGB Ausspähen von Daten
  • § 266 StGB Abwendung von Schäden vom Unternehmen
  • § 303b StGB Computersabotage

Eine strafrechtliche Haftung und damit eine Voraussetzung des Verschuldens, in der Regel begründet durch Vorsatz, Fahrlässigkeit, Dulden, Unterlassen, kann sich bereits durch Vernachlässigung der Kontroll- und Überwachungspflicht ergeben. 

Eine generelle Schadenersatzpflicht der Verantwortlichen kann sich auch aus Verstößen gegen die Gesetze mit Schutzwirkung gemäß den Regelungen § 823 Absatz 2 BGB ergeben.

Eine Steigerung der Haftung, des Schadenersatzes und auch der eventuell
strafrechtlichen Folgen ergibt sich insbesondere für IT-Diensteanbieter:

  • diese haften für Schäden, die ihren Kunden durch Ausfall der eingesetzten IT entstehen immer dann, wenn sich die Kunden generell auf eine ständige Betriebsbereitschaft verlassen dürfen (Zitat aus einem Urteil des OLG Nürnberg)
  • dies galt hier insbesondere für den Ausfall des Rechenzentrums

Eine entsprechende Haftung kann nur durch vorbeugende, ausreichend ausfallverhindernde Maßnahmen eingeschränkt oder im besten Fall vermieden werden. 

Der wirtschaftliche Erfolg von Unternehmen ist entscheidend mit der korrekten und ausfallsicheren Funktionalität der gesamten Informations- und Kommunikationstechnologie verbunden.
Die mangelnde IT-Sicherheit ist ein erhebliches und ständig wachsendes Risiko für viele Unternehmen.
Die Tendenz zur internationalen Gesetzesverschärfung und zur persönlichen Haftung des Managements sind durch Vorgaben wie "Sarbanes-Oxley" wie auch die Verantwortung des Managements im Bereich der Kreditwürdigkeit "Basel 2" offenkundig, welche eine lückenlose Verfahrens-Dokumentation der Prozesse in Finance und der hierfür eingesetzten IT-Infrastruktur jetzt schon fordern.
Amerikanische Unternehmen und deren europäische Töchter sind hier seit 2002 schon in der Pflicht, diese Anforderungen zu erfüllen. Die Geschäftsfähigkeit eines Unternehmens bei Schadensfällen jedweder Art und Ausprägung ist eine grundsätzliche Anforderung, Datenmanipulationen sind generell auszuschliessen.