Thema der Woche

12. August 2002

OECD will Sicherheitskultur

Die OECD möchte mit ihren jüngst überarbeiteten ITK-Sicherheitsrichtlinien (Guidelines for the Security of Information Systems and Networks) eine neue Sicherheitskultur fördern, die sich durch die gesamte Gesellschaft ziehen soll. Sicherheitsgedanken sollen von Anfang an bei der Entwicklung von Informations- und Netzwerksystemen einfließen und sich bis hin zum (auch privaten) Endanwender fortsetzen: "Jeder Teilnehmer ist ein wichtiger Akteur, um Sicherheit durchzusetzen."

Zur Umsetzung dieser Sicherheitskultur hat die OECD neun Prinzipien formuliert: "In einem Umfeld der weltweiten Abhängigkeit von Informationssystemen und Netzwerken demonstrieren die Leitlinien die Verpflichtungen der OECD-Regierungen zu einer stabilen und produktiven Entwicklung der Online-Kommunikation. Sie fordern alle Anwender der Informationstechnologie, einschließlich Regierungen, Wirtschaft und Individuen dazu auf, die neun Basisgrundsätze, die sich auf Gebiete wie Sicherheitsbewusstsein und Verantwortlichkeit sowie Respekt vor ethischen und demokratischen Werten beziehen, zu befolgen und umzusetzen", so eine OECD-Pressemitteilung.

Die Sicherheitsrichtlinien sind auf der  OECD-Website auf englisch, französich und spanisch erhältlich ( direkter Download-Link der englischen Fassung). Frei übersetzt fordern sie:

1. Sicherheitsbewusstsein (Awareness): Netzteilnehmer sollten sich
   • der Notwendigkeit von Sicherheit für Informationssysteme und Netzwerke sowie
   • ihrer Möglichkeiten zur Verbesserung der Sicherheit
   bewusst sein.
2. Verantwortliches Handeln (Responsibility): Alle Teilnehmer sind für die Sicherheit von Informationssystemen und Netzwerken verantwortlich.
3. Verantwortliche Reaktionen (Response): Teilnehmer sollten zeitnah und kooperativ handeln, um Sicherheitsvorfällen vorzubeugen, sie zu erfassen und darauf zu antworten.
4. Verhaltenskodex (Ethics): Teilnehmer sollten die rechtmäßigen Interessen anderer respektieren.
5. Demokratiegrundsatz (Democracy): Die Sicherheit von Informationssystemen und Netzwerken sollte mit den grundlegenden Werten einer demokratischen Gesellschaft im Einklang stehen.
6. Risikobewertung (Risk Assessment): Teilnehmer sollten Risiken bewerten.
7. Sicherheits-Design und -Implementierung: Teilnehmer sollten Sicherheit als ein lebensnotwendiges Element von Informationssystemen und Netzwerken ansehen.
8. Sicherheits-Management: Teilnehmer sollten ein umfassendes Sicherheits-Management einführen.
9. Neubewertung von Risiken (Reassessment): Teilnehmer sollten die Risiken von Informationssystemen und Netzwerken regelmäßig überprüfen und neu bewerten; Security Policies, Verhaltensweisen, Maßnahmen und Abläufe sollten angemessen angepasst werden.

zum nächsten Thema der Woche

zum vorigen Thema der Woche