Menu

Die besten BIW-Blogs, die Ihr Business ankurbeln und Lösungen schaffen

IT-Sicherheit in Unternehmen

IT-Sicherheit in Unternehmen

IT-Sicherheit für Unternehmen

 Autor Hendrik Siebenmorgen – Digital Consultant, Referent für Sicherheitspolitik (Bundeswehr), Offizier, Master Of Arts ( Staats- und Sozialwissenschaften)

 Autorin Nicole Biermann-Wehmeyer  – Juristin, Digitalisierungsberaterin, Compliance Officer, IT-Compliance Manager

IT-Sicherheit in Unternehmen

Wie sorgt man für IT-Sicherheit im Unternehmen? 
Was können Sie sofort in die Praxis umsetzen? Es ist wichtig in diesen Zeiten den Fortschritt der Digitalisierung zu nutzen. Um wettbewerbsfähig und zukunftsfähig zu sein, ist die Nutzung digitaler Informationstechnik unerlässlich. Gleichzeitig ist eine Absicherung erforderlich. Das ist bei der IT nicht leicht und man muss sich so manches Mal auf externe Experten verlassen. Einige Grundlagen sollte man als Inhaber/Geschäftsführer eines Unternehmens kennen und verstehen, um frühzeitig Vorsichtsmaßnahmen einleiten zu können.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Untersuchung zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) durchgeführt.
Die Ergebnisse zeigten, dass es deutliche Defizite aber auch einige sehr positive Punkte bei der Umsetzung von IT-Sicherheit in Unternehmen in Deutschland gibt.
Überdurchschnittlich viele Sicherheitsmaßnahmen werden beispielsweise in den Bereichen Datensicherung, Aktualität der Informationen zu Bedrohungslage, Schwachstellen und Sicherheitsupdates sowie zur Absicherung der Netzwerke umgesetzt. 

In anderen Teilbereichen gibt es jedoch erheblichen Nachholbedarf. Im Bereich der geschäftskritischen IT-Sicherheitsprozesse wie etwa dem Umgang mit Sicherheitsvorfällen, dem Notfallmanagement und der Bewertung der Gefahrenbereiche zeigen sich deutliche Schwächen. 

Welche Tipps können wir Ihnen geben, um eine grundsätzliche Sensibilisierung zu erreichen? Wir haben einige wichtige Punkte für Sie zusammengestellt!

IT-Sicherheit.2-scaled.jpeg
IT-Sicherheit in Unternehmen


1. Datensicherung

Was sollten Sie bei der Sicherung Ihrer Daten beachten?

Bei der Datensicherung geht es im Kern darum, den im schlimmsten Falle -ersatzlosen- Verlust von Daten, durch regelmäßiges Kopieren zu verhindern und damit das eigene Datenfundament gegen Angriffe zu sichern.

Dabei sind verschiedene Strategien möglich, man sollte sich jedoch die folgenden Fragen stellen: 

  • Wie soll die Sicherung erfolgen, als ständige Vollsicherung oder inkrementell? (Das inkrementelle Vorgehensmodell beschreibt in der Softwareentwicklung die kontinuierlichen Verbesserung, bei der man häufig in sehr kleinen Schritten vorgeht)
  • In welchem Umfang soll gespeichert werden?
  • Brauchen alle Dateien ständige Aktualität oder nur ein gewisser Umfang?
  • Wann soll die Sicherung erfolgen, während der Arbeitszeit oder etwa in der Nacht?
  • Wo soll die Sicherung gespeichert werden und ist sie dort die Sicherheit der Daten gewährleistet
  • Ist demnach eine Sicherung auf einem eigenen Server oder in der Cloud sinnvoll?
  • Wie lange sollen die Sicherungen zurück gehen und wie aktuell sollen sie sein?
  • Vor allem: Wer kümmert sich um das Management dieser Prozesse
  • Wer ist im Unternehmen für die IT verantwortlich?
In den typischen kleinen und mittelständischen Unternehmen ist eine kontinuierliche Datensicherung wichtig. Vor allem die Kundendaten müssen jederzeit und aktuell abrufbar sein. Dabei muss in jedem Fall auch der Datenschutz berücksichtigt werden. Man benötigt also auch ein sinnvolles Löschkonzept, da die Kunden nach der DSGVO ein Recht auf Löschung der Daten haben. Immer wichtiger sind auch die Websites der Unternehmen. Auch hier sollte man regelmäßig Updates und Backups durchführen. Alte Backups müssen dann gelöscht werden, um den Server nicht unnötig zu belasten.

2. Sicherheitsupdates

Welche Updates sollten in Unternehmen routinemäßig durchgeführt werden? Sicherheitsupdates sind von entscheidender Bedeutung, denn eine Datensicherung lebt nicht davon einmal manuell erstellt worden zu sein.

Sie sollte regelmäßig erfolgen und einem klaren Sicherungsplan folgen, um ständigen Schutz vor Datenverlust und damit eine zuverlässige Datensicherung gewährleisten zu können.
Dabei können die Sicherungen entweder Vollsicherungen sein (vollständiges Abbild), oder aber inkrementell. Bei der inkrementellen Datensicherung werden die Daten erkannt, welche im Vergleich zu der letzten Datensicherung verändert wurden oder neu erstellt worden sind und nur diese Dateien werden gesichert.
Der Umfang der Arbeitsschritte kann also wesentlich geringer ausfallen, solange Dateien gut und richtig erkannt werden.

Das regelmäßige Durchführen von Sicherungsupdates ist also von besonderer Bedeutung, da veraltete Datensicherungen mit einem großen Verlust an (aktuellen) Daten einhergehen und damit das Tagesgeschäft entscheidend zurückwerfen könnten.
Ein solcher Fall liegt beispielsweise vor, wenn durch einen Datenverlust die letzten aufgenommenen Kundenaufträge komplett fehlen. Erstellen Sie also einen konkreten Sicherungsplan!

3. Absicherung der Netzwerke

Wie sichere ich nun meine Netzwerke ab? Um einem solchen Datenverlust möglichst zuvor zu kommen und die erfolgte eigene Datensicherung möglichst nicht in Anspruch nehmen zu müssen, ist die Sicherung des eigenen Netzwerkes immens wichtig.
Die Absicherung der Netzwerke stellt beispielsweise  einen Schutz gegen Angriffe aus dem Internet dar.

Dass beinahe jedes IT-System mit genügend Zeit und Aufwand durchbrochen werden kann ist unter IT-Experten einhellige Meinung. Man kann es dem potenziellen Angreifer jedoch deutlich erschweren und damit Angriffe abwenden.

Nachfolgend geben wir Ihnen einige Tipps zur bestmöglichen Absicherung:

  • Vermeiden sie soweit möglich die Nutzung von Portfreigaben
  • Benutzen sie virtuelle LANs (VLANs) und beschränken sie das Gäste-WLAN
  • Nutzen sie konsequent VPNs für den Zugriff auf ihr Firmennetzwerk aus dem Internet.
  • Sichern Sie Ihre Schnittstellen ins Internet ab!
  • Halten sie ihre Software up to date und nutzen sie keine Standardeinstellungen, etwa bei Usernamen für Router oder Netzwerke und ändern sie die URL ihrer typische Login-Adresse
  • Bei WordPress etwa „wp-login.php“
  • Darüber hinaus sollten sie ihre Log-Dateien überwachen um sich vor Brute-Force-Attacken zu schützen (Bei einem BruteForce-Angriff handelt es sich um eine Methode, bei der versucht wird, Passwörter durch automatisiertes und wahlloses Ausprobieren in Erfahrung zu bringen.)
  • Regelmäßige Überprüfung ihrer IT-Sicherheit (Monitoring)

Wenn sie alle oben stehenden Maßnahmen berücksichtigt haben sollten, ist es wichtig den Status Quo beizubehalten. 
Dies stellt für die meisten Unternehmen die größte Herausforderung dar, ist aber für die Effizienz und Nachhaltigkeit ihrer Maßnahmen unerlässlich.
Genau wie bei der Datensicherung ist die Regelmäßigkeit der Schlüssel zum Erfolg.
Sind zum Beispiel alle erteilten Zugänge und Befugnisse aktuell und wurden alte Zugangsdaten gelöscht?

4. Benennung eine IT-Verantwortlichen

Wofür benötigt man einen IT-Verantwortlichen?
Die Benennung eines IT-Verantwortlichen ist extrem wichtig. Es gibt bei kleineren Unternehmen verschiedene Bezeichnungen für den IT Verantwortlichen. Man spricht häufig über den “EDV-Leiter”. (Elektronische Datenverarbeitung) oder über den IT-Leiter oder IT-Manager. Bei den größeren Unternehmen lautet die Bezeichnung CIO (Chief Information Officer) oder IT Vorstand.
Es gibt vier wichtige IT-Aufgabenbereiche. Die Planung der IT, die Auswahl der Technik, die Überwachung des täglichen Betriebs und die Erstellung einer IT Compliance mit einem Notfallplan.

 

5. IT Compliance

Was ist eine IT-Compliance? Welche Inhalte sollten berücksichtigt werden?
IT-Compliance ist Teil eines Ordnungsrahmens (Governance) eines Unternehmens. Sie regelt die Leitung und Überwachung von Unternehmen und betrifft überwiegend rechtliche Anforderungen an die IT und die damit verbundenen Geschäftsprozesse.

Eine IT Compliance benennt alle relevanten Richtlinien, Gesetze und Verordnungen sowie deren Umsetzung und Organisation im Unternehmen. Es werden zudem die speziellen und branchenspezifischen Anforderungen an das individuelle Unternehmen berücksichtigt. 

Es werden Systemdokumentationen, Richtlinien, Auswertungen, Notfallpläne und Kontrollergebnisse integriert. Weiterhin werden die in der Informationstechnologie geltenden Gesetze und Normen berücksichtigt. Ziel ist die Einhaltung der Regeln, die durch spezielle Bestimmungen für das Unternehmen, beispielsweise dem Notfallplan, ergänzt werden.
Wichtige Punkte sind beispielsweise der Datenschutz, die Informationssicherheit und die Informationsverfügbarkeit. 

Weitere Themen:

  • Definition von IT-Prozessen
  • Dokumentation der relevanten IT Vorgänge
  • Analyse der Schwachstellen
  • Monitoring der Ablauforganisation und Sicherheitsmaßnahmen
  • Datenschutz, Verfahrensverzeichnis, Auftragsverarbeitungsverträge und Löschkonzepte
  • Compliance Verantwortlichkeiten im Unternehmen
  • Checklisten
  • Spezielle Auflagen für IT-Projekte, Erfassung diverser Organisationseinheiten, Mitarbeiter, Management und Controlling
  • Bei der Entwicklung sicherheitskritischer Software: Traceability (Rückverfolgbarkeit zwischen Artefakten im Entwicklungsprozess) und Revisionssicherheit
 

6. Umgang mit Sicherheitsvorfällen und Notfallmangement, IT Notfallplan

Warum benötigt man nun einen IT-Notfallplan?
Ein gutes Notfallmanagement minimiert die Ausfallzeiten der IT. 
Die Mitarbeiterinnen und Mitarbeiter benötigen eine klare Handlungsanweisung. Bei vielen Unternehmen bedeutet der Ausfall einer funktionierenden IT-Struktur einen Stillstand in vielen Bereichen. Daher sollte man als Leitfaden einen IT-Notfallplan für akute Probleme aufstellen. Welche Inhalte sollten berücksichtigt werden?

  • Konkrete Handlungsanweisungen
  • Alarmierungsketten
  • Organisatorische Informationen (Zuständigkeiten, Personen, die informiert werden, Stellvertreterregelungen)
  • Maßnahmen, die zu ergreifen sind
  • Zugriff auf technische Informationen
  • Einbeziehung der zuständigen Personen
  • Checklisten für den Ablauf
  • Kontakt- und Zugangslisten (Schlüsselwörter, Zugangskennungen, Fehleranalyse)
  • Informationen zu den Notbetriebsverfahren
  • Disaster Recovery, Risikomangement im Hinblick auf den Wiederanlauf der gesamten IT-Struktur
Einen langen Ausfall der IKT (Informations- und Kommunikationstechnik) kann sich kein Unternehmen leisten, daher ist ein Schwerpunkt auf ein Notbetriebsverfahren und auf die Wiederherstellung der Systeme zu legen.
 

Es ist in jedem Fall  ein Schwerpunkt auf die Prävention zu legen, um den Notfallplänen vorzubeugen und die Nerven zu schonen.

Wir wünschen Ihnen viel Erfolg dabei!

Wenn Sie sich eine Vertiefung des Themas oder eine Beratung wünschen können Sie sich gerne melden. Kontakt

Es gibt auch Fördermittel für die Beratung zu IT-Sicherheitsthemen: Fördermittel

Nicole Biermann-Wehmeyer

Nicole Biermann-Wehmeyer

Individuell & kompetent

Wir beraten Sie gerne und stellen auch individuelle und geförderte Beratungs- und Schulungskonzepte für Sie zusammen.

Inhouse Schulungen

Das BIW ist spezialisiert auf Inhouse-Schulungen in Unternehmen, Kammern und Universitäten.
Wir stellen für Sie Seminarpakete und individuelle eintägige Schulungen in vielen Themengebieten zusammen

Letzte Artikel

Recent Posts

Vorträge

Unsere Dozenten halten Vorträge auf Veranstaltungen, Messen und Events

  • Vortrag Social Media & Digitalisierung
  • Vorträge Kommunikation & Konfliktmanagement
  • Vortrag Business Etikette
  • Vortrag Compliance & DS-GVO

Nicole Biermann-Wehmeyer ist häufig Rednerin bei Messen und Events.

Nicole Biermann-Wehmeyer