IT-Sicherheit in (kleinen) Betrieben
Data Privacy von Ioannis Dimas
Was ist IT-Sicherheit?
IT-Sicherheit wird oft in einem Atemzug mit Informationssicherheit genannt. Konkret geht es in beiden Fällen darum, Informationen zu schützen und das Unternehmen vor Schäden zu bewahren. Dabei soll Vertraulichkeit, Verfügbarkeit und Integrität der Informationen sichergestellt werden. Egal, ob es eine Datei auf dem PC oder ein Bericht auf Papier in einem Ordner ist, ohne die Informationen ist der störungsfreie Ablauf in Betrieben nicht sichergestellt.
Bedrohungen für die IT gibt es viele. Angefangen bei Feuer, Blitzeinschlag oder Diebstahl bis hin zu Viren oder anderer Schadsoftware, die Teile oder ganze IT-Systeme unbenutzbar machen. Gegen diese vielfältigen Bedrohungen sind Schutzmaßnahmen zu ergreifen, die die IT-Sicherheit erhöhen.
Was muss ich tun?
Um alle IT-Systeme im Unternehmen zu schützen, sind eine Vielzahl an Maßnahmen erforderlich. Oft stellt sich die Frage, wo soll ich anfangen?
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat ein IT-Grundschutz-Kompendium erstellt. Darin werden alle Bereiche der Unternehmens-IT beleuchtet. Auch ohne tiefes Fachwissen kann man sich nach Themenbereichen geordnet, anhand von Bedrohungen und empfohlenen Maßnahmen lang hangeln, um so den Ist-Zustand und Lücken festzustellen.
Da das IT-Grundschutz-Kompendium alle erdenklichen IT-Bereiche abdeckt, macht es Sinn, erst einmal festzustellen, welche für das eigene Unternehmen relevant sind. Je kleiner das Unternehmen und somit auch die IT, desto mehr kann ignoriert werden. Dafür gibt es für verschiedene Branchen, wie z. B. im Handwerk, IT-Grundschutz-Profile, die bereits eine Vorauswahl treffen. Jeder Baustein enthält Anforderungen an die Sicherheit in drei Kategorien: Basis-Anforderungen, Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf. Im ersten Schritt empfiehlt das BSI die Basis-Anforderungen abzudecken und sich anschließend um die Standard-Anforderungen zu kümmern.
Nachdem man alle nicht relevanten Bereiche markiert hat, sollte man in den verbleibenden Bereichen Punkt für Punkt den aktuellen Status beschreiben. Man erreicht dadurch eine Soll/Ist Analyse und kann im nächsten Schritt priorisieren, in welcher Reihenfolge die aufgedeckten Schwachstellen geschlossen werden sollen.
Wie kann ich das alles effizient machen?
Das BSI bietet auf seiner Webseite alle IT-Grundschutz-Bausteine als PDF an. Auch gibt es verschiedene Hilfsmittel wie Listen, damit man sich einen Überblick verschaffen kann. Alternativ kann man mit unserer Lösung EDIRA das IT-Grundschutz-Kompendium strukturiert abarbeiten.
Es folgt ein Beispiel wie vorgegangen werden kann. Da es jedes Unternehmen betrifft, zeigen wir am IT-Grundschutz-Baustein „Allgemeiner Client“, welches die Basis-Anforderungen sind und wie dies in EDIRA abgearbeitet werden kann. Der Allgemeine Client kann sowohl ein PC oder ein Notebook unter Windows, Mac oder Linux sein. Es gibt für Windows 10 ebenso einen Baustein, wie für Mac-Geräte, die zusätzlich nach Bedarf zu betrachten sind.
Hier aufgelistet sind alle „Basis-Anforderungen“ zum Baustein Allgemeiner Client:
In EDIRA kann die Dokumentation der einzelnen Punkte wie folgt aussehen. Die erste Anforderung „Sichere Benutzerauthentisierung“ ist wie folgt dokumentiert und im Beispiel als „Umgesetzt“ markiert:
Der Punkt „Regelmäßige Datensicherung“ hat in der Überprüfung ergeben, dass kein Backup der Daten auf den PCs/Notebook stattfindet. Deshalb ist dieser Punkt als „in Arbeit“ gekennzeichnet.
Wenn man alle Punkte durchgearbeitet hat, findet man über die „Suchen und Filtern“ Funktion eine Liste aller noch umzusetzenden Punkte mit geplantem Umsetzungsdatum und der Zuständigkeit.
Generell kann man sich über die Exportfunktion ein PDF erstellen lassen, welches alle dokumentierten Punkte des IT-Grundschutzes enthält.
Warum sollte man das tun?
Wie am Anfang dieses Artikels festgestellt, dient IT-Sicherheit und auch Informationssicherheit dazu, dass man im Betrieb störungsfrei arbeiten kann.
Die Störungen, welche durch mangelnde Sicherheitskonzepte entstehen, kosten in aller Regel viel Geld. Beispielsweise schützt man sich durch eine Datensicherung vor Datenverlust. Das Backup schützt also vor vielen Bedrohungen. Ein Verschlüsselungstrojaner sorgt zwar erst einmal dafür, dass Sie nicht mehr auf die Daten zugreifen können. Das Backup stellt alles wieder her, ohne Lösegeld zahlen zu müssen. Je nachdem, welche Daten generell verarbeitet werden, kann ein „Leck“ dazu führen, dass man nicht nur den Sicherheitsvorfall melden muss, auch ist es nicht mehr weit zu Reputationsverlust und Schadensersatzforderungen.
Bringt mir IT-Sicherheit etwas? Mehr Umsatz zum Beispiel?
Um die Frage direkt zu beantworten, Umsatz im ersten Schritt eher nicht. Was es aber bringt, ist die Sicherheit, finanzielle Schäden vom Unternehmen fern zu halten. Auch, wie im vorigen Punkt beschrieben, schützt es vor Wirtschaftsspionage, Reputationsverlust uvm..
Eine offensiv geführte Sicherheitsstrategie kann je nach Branche, dennoch zu mehr Umsatz führen.
Ob man einen Auftrag erhält oder nicht, hat auch viel mit Vertrauen zu tun. Wenn man dem Interessenten vermitteln kann, dass er nicht nur fachlich gut aufgehoben ist, sondern sein Anliegen oder Auftrag in einem sicheren Umfeld abgewickelt wird, hat man sicherlich einen Pluspunkt. Dies kann man auch, falls sinnvoll, mit einem ISO-27001 Zertifikat dokumentieren. Das Siegel „geprüfte IT-Sicherheit“ ist je nach Anwendungsfall, sicher mehr wert, als das oft übliche Qualitätsmerkmal „ISO 9001“.
Teilweise werden solche Nachweise auch von Ihren Kunden gefordert, um Sie als verlässlichen Partner anzusehen. Daher kann man die eingehende Frage ob das Beschäftigen mit dem Thema IT-Sicherheit auch Umsatz bringt auch mit „Ja“ beantworten. Ohne eine Auseinandersetzung mit dem Thema, einer ggf. zu erfolgenden ISO-Zertifizierung ist man nicht in Lieferantenlisten geführt und führt dann auch nicht zu Umsätzen. Sie merken also, es kommt darauf an.
Wie ist das mit meinen Mitarbeitern, muss ich da etwas tun?
IT-Sicherheit ist wie so oft nur so gut, wie das „schwächste Glied in der Kette“. Es ist also zwingend erforderlich, alle Mitarbeiter mitzunehmen und das notwendige Wissen zu vermitteln. Jeder Mitarbeiter sollte über ausreichend Digitalkompetenz verfügen, um die Bedrohungen die z. B. durch E-Mails, das Internet, aber eventuell auch durch Kollegen bestehen, erkennen zu können und entsprechend zu reagieren.
Kann ich als Unternehmen alles selbst tun und wo gibt es Unterstützung?
Man kann als Unternehmer alles ohne weitere Hilfe selbst abarbeiten.
Das BSI bietet umfangreiche Hilfestellungen. Hier ein paar wichtige Links:
- IT-Grundschutz-Kompendium: Link
- Checklisten rund um das Kompendium: Link
- Umsetzungshinweise für die einzelnen Bausteine: Link
- Basistipps für IT-Sicherheit (Anwendertipps): Link
Gerne unterstützen wir Sie aber auch dabei, Ihre IT-Sicherheit zu erhöhen. Wir bieten von der Begleitung, der gemeinsamen Durchführung und auch der passenden Softwareunterstützung, als auch im Bereich der unabhängigen IT-Sytemanalyse alle notwendigen Komponenten an, um Sie erfolgreich durch diesen Prozess zu begleiten.
Sprechen Sie uns gerne an, wenn Sie Unterstützung benötigen und informieren Sie sich über die im Artikel angesprochene Lösung EDIRA.