Wissenswertes

Im zweiten Teil der dreiteiligen Reihe gibt die Entgelt und Rente AG ihren Kunden in weitere Einblicke in die Maßnahmen und Verfahren zur Informationssicherheit. Mit den folgenden weiteren Maßnahmen gewährleistet die Entgelt und Rente AG ihre Informationssicherheit:

ISMS Rollen Konzept

Im ISMS Rollen-Konzept wurden mögliche Interessenskonflikte betrachtet und vermieden, dass beispielsweise der IT-Betrieb und das IT-Sicherheitsmanagement von der gleichen Person verantwortet oder operativ ausgeführt wird.

Ebenso wird darauf geachtet, dass die Rollen Datenschutzbeauftragter sowie Qualitätsmanagementbeauftragter nicht von der gleichen Person ausgeführt werden.

Die Aufgaben und Kompetenzen an diese und weitere Rollen wurden definiert sowie deren Einhaltung kontrolliert.

Awareness-Schulung

Alle Mitarbeitenden werden jährlich im Rahmen des Awareness Programms hinsichtlich der Risiken im Rahmen der Informationssicherheit und des Datenschutzes sensibilisiert. Außerdem werden weitere im ISMS definierte Rollen in einem solchen Umfang geschult, so dass sichergestellt ist, dass sie die Kompetenzen, die für die jeweilige Rolle definiert werden, erfüllen. Die folgenden Themen werden durch den Schulungsplan abgedeckt:

• Informationssicherheit nach ISO/ IEC: 27001 sowie 27002
• Business Continuity Management
• Awareness im Rahmen der Informationssicherheit und des Datenschutzes
• Datenschutz nach DSGVO

Auditplan

Im jährlichen Auditplan werden verschiedene Arten der Überprüfung vorgesehen.

In Form von technischen Systemaudits und Penetrationstests werden Netzwerke, IT-Systeme sowie Anwendungen hinsichtlich Belastbarkeit und eventueller Schwachstellen untersucht.

In weiteren Audits wird die Wirksamkeit einzelner Managementsysteme (z.B. ISMS, DSMS und IKS) überprüft und es werden Empfehlungen und Abweichungen identifiziert.

Systemaudits und Penetrationstests hinsichtlich Applikationen und Systemumgebungen werden regelmäßig durch die TÜV TRUST IT GmbH durchgeführt und dokumentiert.

Es findet mindestens jährlich die Durchführung eines solchen Audits statt.

Erprobung von Notfallszenarien und -Prozessen

Wiederherstellungsprozesse werden laufend mit dem IT-Dienstleister der E&R AG erprobt und die Wirksamkeit des Notfallmanagementplans wird dokumentieren.

Es findet mindestens jährlich die Erprobung von Notfallszenarien und-Prozessen statt.

Steuerung von Dienstleistern

Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, werden konkrete Sicherheitsanforderungen in den Service Level Agreements vorgegeben. Das Recht auf Kontrolle wird festgelegt.

 
Security Patches

Durch ein regelmäßiges Einspielen von Security Patches wird sichergestellt, dass alle Betriebssysteme stets das aktuellste Sicherheitsupdate enthalten und keine Sicherheitslücken aufweisen.

Das Patchmanagement löst automatisch ein Monitoring Ereignis aus, wenn es nicht erfolgreich durchgeführt wurde.

Nicht erfolgreich durchgeführte Patching Prozesse werden umgehend wiederholt. Sofern weiterhin kein erfolgreich durchgelaufener Patchprozess erreicht werden kann, wird der Microsoft Business Critical Support hinzugezogen.

Alle Patches werden vor dem Einspielen in Produktionsumgebungen freigegeben und getestet.

Kennwort-Sicherheit

Die Kennwörter aller Anwender, die über VPN auf das interne E&R Netzwerk zugreifen können, müssen jährlich geändert werden. Dies wird durch E&R jährlich kontrolliert. Evtl. notwendige Kennwort-Änderungen werden angestoßen bzw. notfalls technisch erzwungen.

Bei der Änderung von Kennwörtern wird sowohl im internen E&R Netzwerk als auch bei den IT Services (z.B. Webanwendung HR-direkt) auf die vorgegebene Passwortrichtlinie geachtet.

Monitoring

Durch Monitoring wird sichergestellt, dass Angriffe frühzeitig erkannt werden. Für alle durch E&R betriebenen Systeme werden Schwellenwerte bzgl. der Auslastung der Parameter

• Arbeitsspeicher
• Festplattenspeicher
• Prozentuale Erreichbarkeit

definiert und laufend durch die IT kontrolliert. Wird ein Schwellenwert erreicht bzw. überschritten, so werden die Ursachen dafür analysiert. Im Regelfall findet eine Erweiterung der jeweiligen Ressource statt, um das Monitoring Ereignis zu lösen.

Ein Monitoring Ereignis kann allerdings auch Indikator für einen potenziellen Angriff bzw. absichtliche Überlastung des Systems sein. In diesem Fall greift der bei E&R definierte Prozess zum Incidentmanagement.

Dabei eine detaillierte Analyse statt. Es werden entsprechende Maßnahmen wie die Sperrung bestimmter User oder Aktivierung einer Whitelist vorgeschlagen und umgesetzt.

Im nächsten Newsletter erfahren Sie mehr zu den Email-Sicherheit, Netzwerksicherheit, Multifaktorauthentifizierung und Verschlüsselung.