Mehr IT-Sicherheit in Ihrem Unternehmen
Data Privacy von Katharina Weidlich
Auch wenn in vielen Unternehmen noch immer die IT als reiner Kostenblock gesehen wird, der einfach funktionieren soll, hat sich die Digitalisierung der meisten Prozesse durchgesetzt und ohne IT funktionieren viele Prozesse nicht mehr.
IT ist zum unabdingbaren Hilfsmittel im täglichen Geschäft geworden - über alle Branchen hinweg.
Gleichzeitig gibt es Personengruppen, die versuchen auf illegalem Weg an Informationen von Unternehmen zu kommen oder diese bewusst zu sabotieren. Alleine aus diesem Grund sollte die Sicherheit der IT eines der Hauptprioritäten in jedem Unternehmen sein.
Wer sagt, „Ich habe nichts zu verbergen“, der muss sich bildlich fragen, ob er seine Haus- oder Wohnungstür auch offen stehen lässt?
Die Einstellung „Mein Unternehmen ist zu klein, Angriffe gibt es nur bei den großen Unternehmen.“, kann auch dazu führen, dass man durch einen Verschlüsselungstrojaner, Malware im Allgemeinen oder dem Abfluss von Informationen an Wettbewerber kalt erwischt wird und damit seiner Existenz bedroht sieht.
Strukturierte IT-Sicherheit
Mit dem Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) haben wir in Deutschland ein Amt, welches sich ausnahmslos um das Thema IT-Sicherheit kümmert.
Seit vielen Jahren erarbeitet und aktualisiert das BSI das IT-Grundschutz-Kompendium. Hier werden alle Seiten der IT in Unternehmen anhand von Bausteinen themenbezogen mit Anforderungen beleuchtet, um die Sicherheit zu gewährleisten.
Die Anforderungen werden in drei Kategorien unterteilt:
- Basis-Anforderungen
- Standard-Anforderungen
- Anforderungen bei erhöhtem Schutzbedarf
Darin werden die notwendigen Anforderungenjeweils detailliert beschrieben.
In den Basis-Anforderungen werden Themen wie beispielsweise:
- Sichere Benutzerauthentisierung
- Aktivieren von Autoupdate-Mechanismen
- Einsatz von Schutzprogrammen gegen Schadsoftware
behandelt.
Die Standard-Anforderungen sprechen z.B. folgende Themen an:
- Festlegung einer Sicherheitsrichtlinie für Clients
- Beschaffung von Clients
- Updates und Patches für Firmware, Betriebssystem und Anwendungen
Unter den Anforderungen bei erhöhtem Schutzbedarf sind u.a. folgende Punkte enthalten:
- Verschlüsselung der Clients
- Systemüberwachung und Monitoring der Clients
Das Kompendium hat einen sehr großen Umfang und nicht alle Punkte sind für jedes Unternehmen interessant. Vor dem Durcharbeiten macht es Sinn, für sein Unternehmen zu definieren welche Anforderungen relevant sind und welche nicht. Viele Themen und die daraus entstehenden Fragen sind in einigen Unternehmen sicherlich auch bereits umgesetzt und können daher ohne Weiteres direkt beantwortet werden. Das BSI bietet als weitere Unterstützung Checklisten und Umsetzungshinweise an. Mit den BSI-Standards stehen vier weitere Hilfsmittel bereit. Diese behandeln die Themen „Allgemeine Anforderungen an ein Managementsystem für Informationssicherheit“ (200-1), ergänzend dann „BSI-Methodik zum Aufbau eines soliden ISMS“ (200-2), für ein anschließendes „Risikomanagement“ (200-3) und als letztes und neustes Dokument den Standard 200-4 – „Business Continuity Management“, in dem sich alles um kontinuierliche Verbesserung und Notfallpläne usw. dreht.
In den ersten Jahres des Kompendiums hat das BSI ein eigenes Softwaretool entwickelt, um das ganze strukturiert abarbeiten und im Überblick behalten zu können. Dies wurde jedoch eingestellt. In der Zwischenzeit gibt es einige Tools, unter anderem unsere eigene Softwarelösung EDIRA, die die Dokumentation und das Abarbeiten der Anforderungen um einiges erleichtert und visuell abbildet.
IT-Sicherheit – das wichtigste zum sofort umsetzen
Wie beschrieben ist IT-Sicherheit ein weites Feld. Viele Dinge kann man aber „schnell“ umsetzen und somit die Sicherheit im Betrieb massiv erhöhen. Hier eine unvollständige Liste von unserem Experten, an was mindestens gedacht werden sollte:
- Mitarbeiter sensibilisieren
- Virenschutz auf Desktop PCs, Spam- und Virenschutz am E-Maileingang
- Einsatz einer Firewall für den Internetzugang und ggf. VPN für Zugriff von extern (Homeoffice)
- Backupstrategie und Recovery-Tests
- kontinuierliches Patchmanagement von Servern und Clients
- Notfallpläne
- Verschlüsselung von Notebooks und Richtlinien für BYOD*
Was kann die ETES GmbH für Sie tun?
Wir stehen Ihnen rund um die Themen IT-Sicherheit zur Verfügung. Unser Tool EDIRA kann Ihnen wie oben beschrieben, die Umsetzung des IT-Grundschutzes erleichtern. Verschiedene Dienstleistungen und Softwarelösungen rund um die Themen Firewall, Virenschutz und Backup sind bei uns tägliche Projektthemen. Hier können Sie auf unsere Erfahrung setzen. Um einen Überblick über die Situation von Software und Sicherheitslücken zu erhalten, empfehlen wir Ihnen unseren Security-Check. Hier erhalten Sie einen umfangreichen Check Ihres Netzwerkes und eine Liste, wo Sicherheitslücken in Ihrer Struktur zu finden sind. Um das ganze Thema ganzheitlich zu betrachten, macht für Sie evtl. ein Workshop Sinn, in dem wir alle wichtigen Punkte gemeinsam mit Ihnen beleuchten und anschließend Empfehlungen geben können.
Fordern Sie uns – für Ihre Sicherheit.
*BYOD= Bring Your Own Device ist die Bezeichnung für das Einbinden von privaten Geräten der Mitarbeiter, wie Laptops oder Smartphones, in die Netzwerke des Unternehmens.