Dr.

Wolfgang Straub Deutsch Wyss & Partner Effingerstrasse 17/Postfach 5860 CH-3001 Bern

Informationssicherheit in der Anwaltskanzlei

Generelle Ziele des IT-Einsatzes Verfgbarkeit von Daten und Infrastruktur Effizienz und Ergonomie der Datenverarbeitung, bersichtlichkeit von Daten Vertraulichkeit/Integritt von Daten Beweisbarkeit der Integritt von Daten/Nachvollziehbarkeit von nderungen Kosteneffizienz

Schtzenswerte Daten Klientenbezogene elektronische Dokumente (Word/Excel/PDF/eingescannte Korrespondenz) E-Mails Papierdossiers Informationen in Leistungserfassungsprogramm Mitarbeiterbezogene Daten

Typische Sicherheitsmassnahmen Weder die hier diskutierten Themen noch die vorgeschlagenen Massnahmen erheben Anspruch auf Vollstndigkeit. Welche Massnahmen konkret sinnvoll sind, hngt von der individuellen Gewichtung der Risiken, der Kanzleigrsse etc. ab.

Seite 2

Thema Verantwortlichkeiten und Rollen definieren

Einmalige Massnahmen Analyse der individuellen Sicherheitsrisiken Erarbeitung eines schriftlichen Sicherheitsund Datenschutzkonzepts mit Festlegung der Verantwortlichkeiten Einrichtung eines internen Kontrollmechanismus Bezeichnung eines IT-Sicherheitsverantwortlichen/Datenschutzbeauftragten und Definition der Aufgaben Benutzerrichtlinien (z.B. fr Umgang mit EMail, Internet, Softwareinstallation auf lokalen PCs und Mobilen Datentrgern) Einrichtung von Benutzergruppen mit vordefinierten Zugriffsrechten (z.B. Anwlte, Sekretariat, IT-Administratoren) Definition und Kommunikation, aller Ansprechspartner fr IT-Sicherheitsfragen Rollenbasierte Zugriffsrechte auf Systeme

Wiederkehrende Massnahmen Periodische Aktualisierung des Sicherheitsund Datenschutzkonzepts und der Benutzerrichtlinien Periodische Kontrolle der Einhaltung von Sicherheits-, Datenschutz- und Benutzerrichtlinien Periodische Berichterstattung des ITSicherheitsverantwortlichen/Datenschutzbeauftragten (inkl. Massnahmenvorschlge bei konkretem Handlungsbedarf) Periodische Kontrolle des ITSicherheitsverantwortlichen/Datenschutzbeauftragten Periodische Kommunikation, wer Ansprechspartner fr IT-Sicherheitsfragen ist berwachung von Zugriffen externer ITDienstleister im Rahmen von Fernwartungszugngen (Zugriffsmglichkeiten nur punktuell und nach Voranmeldung freigeben, einzelne Zugriffe eventuell automatisch protokollieren) Periodische Sicherheits-Sensibilisierung (insbesondere betreffend Berufsgeheimnis, beruflich mitgenutzte Heimcomputer, mobiler Gerte und Umgang mit E-Mail) Ermutigung aller Mitarbeiter zur Kontaktierung des IT-Sicherheitsverantwortlichen bei potenziell sicherheitsrelevanten Vorfllen

Sicherheitskultur

Basisausbildung aller Mitarbeitenden Sensibilisierung fr Sicherheitsfragen und Kommunikation des Sicherheitskonzepts Information, welche Informationskanle berwacht werden

Seite 3

Dokumentation

Physische Sicherheit

Inventar aller Hard- und Software sowie Netzwerkplan Liste der Zugriffsberechtigungen: Wer kann intern/via Internet auf welche Systeme, Applikationen, Daten etc. zugreifen? Umfassende Geheimhaltungserklrungen fr Kanzleimitglieder, IT-Partner (mit konkretem Einbezug ihrer Mitarbeiter), Substituten, Reinigungspersonal etc. Unterzeichnung der Benutzerrichtlinien durch alle Mitarbeiter Abgeschlossener, eventuell klimatisierter Serverraum Brandschutz im Serverraum (Brandmelder, keine brennbaren Materialien dort lagern, CO2-Feuerlscher) Keine offene LAN-Verkabelung, Switches, Router etc. ausserhalb der Brorumlichkeiten (z.B. in Treppenhusern etc.) Abschliessbare Aktenablage Abgeschlossenes Archiv Schutz extern gelagerter Datensicherung (z.B. in Banktresor)

Periodische Aktualisierung des Inventars Kontrolle und Dokumentation aller eingespielter Updates (z.B. via WSUS Server) Protokollierung und periodische Auswertung sicherheitsrelevanter Vorgnge in Logfiles Periodischer externer Security Audit Dokumentation, wann externe Dienstleister Systemzugriff erhielten und worin ihre Aufgabe bestand Besucher nicht unbeaufsichtigt in Rumen mit Zugriffsmglichkeiten auf Systeme lassen Keine unbeaufsichtigten Zutrittsmglichkeiten zu Rumlichkeiten mit Akten, Computern, Druckern etc. zulassen Besucher nicht unbeaufsichtigt in Rumen mit Zugriffsmglichkeiten auf Daten und Systeme lassen Akten und Daten bei Broabwesenheit unter Verschluss halten

Seite 4

Schutz vertraulicher Informationen

Konzept zum Schutz vertraulicher Daten von Mitarbeitern (z.B. Umgang mit privaten E-Mails) Passwortschutz Verschlsselung von Festplattenpartitionen mit vertraulichen Daten Einrichten eines Virtual Private Networks fr kanzleiexterne Zugriffe Technische Verhinderung unerwnschter Systemzugriffe via Wireless LAN oder von Sitzungszimmern aus (z.B. Zugriff via Virtual Private Network vorsehen) Eventuell Einrichtung spezieller, sicherer Server fr den Dokumentenaustausch in sensiblen Transaktionen

Vertragsentwrfe in Microsoft Office- oder PDF-Form vor Weiterleitung an Gegenpartei von verborgenen Informationen subern (insbesondere berarbeitungsmarkierung und Dokumenteigenschaften) Schriftlich mit Klienten klren, in welcher Form vertrauliche Informationen kommuniziert werden sollen Verschlsselung von sensiblen E-MailAttachments Keine automatische Weiterleitung von E-Mails an private Adressen Memorysticks, auf denen einmal vertrauliche Daten gespeichert waren, unter Verschluss halten oder mit Spezialsoftware lschen Fachgerechte Entsorgung von Gerten mit Datenspeichern (Drucker, Digitalkopierer, Handys etc.) Schutz von Datenspeichern bei der Reparatur solcher Gerte Vertrauliche Behandlung von Telefonrechnungen mit Verbindungsdaten

Seite 5

Schutz vor Malware (Viren, Spyware etc.)

Installation Virenschutzsoftware und Antispyware auf Servern (insbesondere Mailserver), Clients und mobilen Gerten Installation und fachgerechte Konfiguration von Firewalls vor allen Internetzugngen

Fortlaufende Aktualisierung der Virenschutzsoftware und Antispyware (Signaturen und Programme selbst berwachung der Aktualisierung aller Softwareupdates Periodischer vollstndiger Virusscan aller Festplatten Periodische berprfung der Konfiguration von Firewalls Sensibilisierung aller Teammitglieder im Hinblick auf Phishing, Viren etc. Verhinderung der wilden Installation von Software/Systemzugriffsmglichkeiten durch Mitarbeiter Periodische Kontrolle und Aktualisierung der Konfiguration von Systemen, Berechtigungen, Netzkomponenten etc. Dokumentation und Sicherung der Konfiguration (auch VPN-Firewalls) Periodische Kontrolle und Deaktivierung nicht bentigter Dienste, Protokolle und Netzwerkfreigaben Rasches Einspielen von Sicherheitspatches/Softwareaktualisierungen Periodische Penetration Tests (Ethical Hacking durch spezialisierte Firmen)

Schutz vor Hackern

Installation und fachgerechte Konfiguration von Systemen, Berechtigungen, Netzkomponenten etc. Eventuell Intrusion Detection & Prevention System Passwortschutz fr System- und Datenzugriffe Einbezug von Voice-over-IPTelefonanlagen ins Sicherheitskonzept

Seite 6

Datensicherung

Erarbeitung eines Datensicherungsplans Sicherstellen, dass Daten auch nach einem Wechsel der Backuphardware noch gelesen werden knnen

Tgliche, wchentliche, monatliche und jhrliche Sicherungskopien fr Daten und Konfigurationen Sichere Aufbewahrung von Sicherungskopien ausser Haus Periodische berprfung der Lesbarkeit von Sicherungskopien (eventuell zustzlich von einem Ersatzgert aus) Periodischer Passwortwechsel (durch System erzwingen) Sensibilisierung der Teammitglieder (z.B. dass Passwrter nicht auf Zetteln am Arbeitsplatz notiert oder an Kollegen weitergegeben werden) Qualitt der Passwrter nach Passwortwechsel mit Passwortchecker berprfen Ausschluss der Verwendung frherer Passwrter Liste aller Passwrter und Benutzernamen fr den Fall des Vergessens in Tesor sichern Besondere Schutzvorkehrungen bei Zugriff via ffentliche Computer in Internetcafs etc. (z.B. besteht die Gefahr, dass Passwrter mit Keylogger-Skripts aufgezeichnet werden)

Passwortschutz

Passwortkonzept Kein Login ohne Passwort Erneute Eingabe nach lngerer Systeminaktivitt (z.B. Mittagspause) verlagen Erhhter Passwortschutz fr Systemadministrationsaufgaben Eventuell Einsatz von Smart Cards Eventuell Einsatz eines Authentifizierungssystems, welches alle Datenzugriffe protokolliert nderung allflliger werkseitig voreingestellter Passwrter bei neuer Hard- und Software

Seite 7

Mobile Gerte (Notebooks, PDAs, Mobiltelefone)

Passwortschutz vor Benutzung und nach lngerer Inaktivittsdauer vorsehen Deaktivierung oder fachgerechte Konfiguration von WLAN und Bluetooth in mobilen Gerten Verschlsselung der Festplatten von Notebooks Fachgerechte Installation einer Softwarefirewall vor Internetzugriffen Mglichkeit der Lschung von Daten und Systemzugriffsmglichkeiten im Fall des Verlusts (Deaktivierungsbefehl) Mglichkeit zur sofortigen Sperre von Systemzugriffsmglichkeiten im Fall fristloser Entlassungen (Deaktivierungsbefehl)

Mobile Gerte nie unbeaufsichtigt lassen Regelmssige Sicherheitsupdates

Seite 8

Systemverfgbarkeit

Archivierung

Identifikation der neuralgischen Punkte (Single Points of Failure) Erarbeitung eines Disaster Recovery Konzepts (Notfallplanung) fr Infrastruktur und Daten Redundanz aller Komponenten, welche zum Systemausfall fhren knnen (Single Points of Failure) Notstromversorgung mindestens fr Herunterfahren von Servern sicherstellen Service/Maintenance Pack fr Server Eventuell Backup-Mailserver Redundanter Internetzugang Standardisierung der Clients und Erstellung von Images zur Wiederherstellung Eventuell Virtualisierung von Servern Erarbeitung eines Archivierungskonzepts fr Papier- und elektronische Unterlagen Installation einer beweissicheren E-Mailarchivierungssoftware Sicherstellung der Archivierung von Faxen (z.B. via E-Mailarchiverungssoftware)

Disaster Recovery periodisch proben (z.B. Definition von Einzelelementen, welche zeitlich verteilt getestet werden) Sicherung von Konfigurationen (z.B. Serverund Firewalleinstellungen) Ersatzbeschaffungsmglichkeit identischer Komponenten in Vertrgen mit IT-Lieferanten sicherstellen

Periodische Aktualisierung des Archivierungskonzepts (z.B. Anpassung an neue rechtliche Vorgaben) Einscannen wichtiger Papierdokumente berprfung der Vollstndigkeit der Daten Sichere Vernichtung nicht mehr bentigter Daten Aktualisierung von Archivierungssoftware

Fr wertvolle Anregungen und Hinweise danke ich Prof. Dr. Urs Gattier (CyTrap Labs, www.cytrap.eu), Herrn Martin Grossniklaus (Infolutions, www.infolutions.ch), Prof. Dr. Fridolin Walther (Gubler Walther Leuch, www.gublerwaltherleuch.ch) und Dr. Urs Zurfluh (Ad Vantis Innovation, www.advantis.ch)

Version 0.4 vom 04.03.2008