IT-Sicherheit für Unternehmen
Autor Hendrik Siebenmorgen – Digital Consultant, Referent für Sicherheitspolitik (Bundeswehr), Offizier, Master Of Arts ( Staats- und Sozialwissenschaften)
Autorin Nicole Biermann-Wehmeyer – Juristin, Digitalisierungsberaterin, Compliance Officer, IT-Compliance Manager
IT-Sicherheit in Unternehmen
Wie sorgt man für IT-Sicherheit im Unternehmen?
Was können Sie sofort in die Praxis umsetzen? Es ist wichtig in diesen Zeiten den Fortschritt der Digitalisierung zu nutzen. Um wettbewerbsfähig und zukunftsfähig zu sein, ist die Nutzung digitaler Informationstechnik unerlässlich. Gleichzeitig ist eine Absicherung erforderlich. Das ist bei der IT nicht leicht und man muss sich so manches Mal auf externe Experten verlassen. Einige Grundlagen sollte man als Inhaber/Geschäftsführer eines Unternehmens kennen und verstehen, um frühzeitig Vorsichtsmaßnahmen einleiten zu können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Untersuchung zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) durchgeführt.
Die Ergebnisse zeigten, dass es deutliche Defizite aber auch einige sehr positive Punkte bei der Umsetzung von IT-Sicherheit in Unternehmen in Deutschland gibt.
Überdurchschnittlich viele Sicherheitsmaßnahmen werden beispielsweise in den Bereichen Datensicherung, Aktualität der Informationen zu Bedrohungslage, Schwachstellen und Sicherheitsupdates sowie zur Absicherung der Netzwerke umgesetzt.
In anderen Teilbereichen gibt es jedoch erheblichen Nachholbedarf. Im Bereich der geschäftskritischen IT-Sicherheitsprozesse wie etwa dem Umgang mit Sicherheitsvorfällen, dem Notfallmanagement und der Bewertung der Gefahrenbereiche zeigen sich deutliche Schwächen.
Welche Tipps können wir Ihnen geben, um eine grundsätzliche Sensibilisierung zu erreichen? Wir haben einige wichtige Punkte für Sie zusammengestellt!
1. Datensicherung
Was sollten Sie bei der Sicherung Ihrer Daten beachten?
Bei der Datensicherung geht es im Kern darum, den im schlimmsten Falle -ersatzlosen- Verlust von Daten, durch regelmäßiges Kopieren zu verhindern und damit das eigene Datenfundament gegen Angriffe zu sichern.
Dabei sind verschiedene Strategien möglich, man sollte sich jedoch die folgenden Fragen stellen:
- Wie soll die Sicherung erfolgen, als ständige Vollsicherung oder inkrementell? (Das inkrementelle Vorgehensmodell beschreibt in der Softwareentwicklung die kontinuierlichen Verbesserung, bei der man häufig in sehr kleinen Schritten vorgeht)
- In welchem Umfang soll gespeichert werden?
- Brauchen alle Dateien ständige Aktualität oder nur ein gewisser Umfang?
- Wann soll die Sicherung erfolgen, während der Arbeitszeit oder etwa in der Nacht?
- Wo soll die Sicherung gespeichert werden und ist sie dort die Sicherheit der Daten gewährleistet
- Ist demnach eine Sicherung auf einem eigenen Server oder in der Cloud sinnvoll?
- Wie lange sollen die Sicherungen zurück gehen und wie aktuell sollen sie sein?
- Vor allem: Wer kümmert sich um das Management dieser Prozesse
- Wer ist im Unternehmen für die IT verantwortlich?
2. Sicherheitsupdates
Welche Updates sollten in Unternehmen routinemäßig durchgeführt werden? Sicherheitsupdates sind von entscheidender Bedeutung, denn eine Datensicherung lebt nicht davon einmal manuell erstellt worden zu sein.
Sie sollte regelmäßig erfolgen und einem klaren Sicherungsplan folgen, um ständigen Schutz vor Datenverlust und damit eine zuverlässige Datensicherung gewährleisten zu können.
Dabei können die Sicherungen entweder Vollsicherungen sein (vollständiges Abbild), oder aber inkrementell. Bei der inkrementellen Datensicherung werden die Daten erkannt, welche im Vergleich zu der letzten Datensicherung verändert wurden oder neu erstellt worden sind und nur diese Dateien werden gesichert.
Der Umfang der Arbeitsschritte kann also wesentlich geringer ausfallen, solange Dateien gut und richtig erkannt werden.
Das regelmäßige Durchführen von Sicherungsupdates ist also von besonderer Bedeutung, da veraltete Datensicherungen mit einem großen Verlust an (aktuellen) Daten einhergehen und damit das Tagesgeschäft entscheidend zurückwerfen könnten.
Ein solcher Fall liegt beispielsweise vor, wenn durch einen Datenverlust die letzten aufgenommenen Kundenaufträge komplett fehlen. Erstellen Sie also einen konkreten Sicherungsplan!
3. Absicherung der Netzwerke
Wie sichere ich nun meine Netzwerke ab? Um einem solchen Datenverlust möglichst zuvor zu kommen und die erfolgte eigene Datensicherung möglichst nicht in Anspruch nehmen zu müssen, ist die Sicherung des eigenen Netzwerkes immens wichtig.
Die Absicherung der Netzwerke stellt beispielsweise einen Schutz gegen Angriffe aus dem Internet dar.
Dass beinahe jedes IT-System mit genügend Zeit und Aufwand durchbrochen werden kann ist unter IT-Experten einhellige Meinung. Man kann es dem potenziellen Angreifer jedoch deutlich erschweren und damit Angriffe abwenden.
Nachfolgend geben wir Ihnen einige Tipps zur bestmöglichen Absicherung:
- Vermeiden sie soweit möglich die Nutzung von Portfreigaben
- Benutzen sie virtuelle LANs (VLANs) und beschränken sie das Gäste-WLAN
- Nutzen sie konsequent VPNs für den Zugriff auf ihr Firmennetzwerk aus dem Internet.
- Sichern Sie Ihre Schnittstellen ins Internet ab!
- Halten sie ihre Software up to date und nutzen sie keine Standardeinstellungen, etwa bei Usernamen für Router oder Netzwerke und ändern sie die URL ihrer typische Login-Adresse
- Bei WordPress etwa „wp-login.php“
- Darüber hinaus sollten sie ihre Log-Dateien überwachen um sich vor Brute-Force-Attacken zu schützen (Bei einem Brute–Force-Angriff handelt es sich um eine Methode, bei der versucht wird, Passwörter durch automatisiertes und wahlloses Ausprobieren in Erfahrung zu bringen.)
- Regelmäßige Überprüfung ihrer IT-Sicherheit (Monitoring)
Wenn sie alle oben stehenden Maßnahmen berücksichtigt haben sollten, ist es wichtig den Status Quo beizubehalten.
Dies stellt für die meisten Unternehmen die größte Herausforderung dar, ist aber für die Effizienz und Nachhaltigkeit ihrer Maßnahmen unerlässlich.
Genau wie bei der Datensicherung ist die Regelmäßigkeit der Schlüssel zum Erfolg.
Sind zum Beispiel alle erteilten Zugänge und Befugnisse aktuell und wurden alte Zugangsdaten gelöscht?
4. Benennung eine IT-Verantwortlichen
Wofür benötigt man einen IT-Verantwortlichen?
Die Benennung eines IT-Verantwortlichen ist extrem wichtig. Es gibt bei kleineren Unternehmen verschiedene Bezeichnungen für den IT Verantwortlichen. Man spricht häufig über den “EDV-Leiter”. (Elektronische Datenverarbeitung) oder über den IT-Leiter oder IT-Manager. Bei den größeren Unternehmen lautet die Bezeichnung CIO (Chief Information Officer) oder IT Vorstand.
Es gibt vier wichtige IT-Aufgabenbereiche. Die Planung der IT, die Auswahl der Technik, die Überwachung des täglichen Betriebs und die Erstellung einer IT Compliance mit einem Notfallplan.
5. IT Compliance
Was ist eine IT-Compliance? Welche Inhalte sollten berücksichtigt werden?
IT-Compliance ist Teil eines Ordnungsrahmens (Governance) eines Unternehmens. Sie regelt die Leitung und Überwachung von Unternehmen und betrifft überwiegend rechtliche Anforderungen an die IT und die damit verbundenen Geschäftsprozesse.
Eine IT Compliance benennt alle relevanten Richtlinien, Gesetze und Verordnungen sowie deren Umsetzung und Organisation im Unternehmen. Es werden zudem die speziellen und branchenspezifischen Anforderungen an das individuelle Unternehmen berücksichtigt.
Es werden Systemdokumentationen, Richtlinien, Auswertungen, Notfallpläne und Kontrollergebnisse integriert. Weiterhin werden die in der Informationstechnologie geltenden Gesetze und Normen berücksichtigt. Ziel ist die Einhaltung der Regeln, die durch spezielle Bestimmungen für das Unternehmen, beispielsweise dem Notfallplan, ergänzt werden.
Wichtige Punkte sind beispielsweise der Datenschutz, die Informationssicherheit und die Informationsverfügbarkeit.
Weitere Themen:
- Definition von IT-Prozessen
- Dokumentation der relevanten IT Vorgänge
- Analyse der Schwachstellen
- Monitoring der Ablauforganisation und Sicherheitsmaßnahmen
- Datenschutz, Verfahrensverzeichnis, Auftragsverarbeitungsverträge und Löschkonzepte
- Compliance Verantwortlichkeiten im Unternehmen
- Checklisten
- Spezielle Auflagen für IT-Projekte, Erfassung diverser Organisationseinheiten, Mitarbeiter, Management und Controlling
- Bei der Entwicklung sicherheitskritischer Software: Traceability (Rückverfolgbarkeit zwischen Artefakten im Entwicklungsprozess) und Revisionssicherheit
6. Umgang mit Sicherheitsvorfällen und Notfallmangement, IT Notfallplan
Warum benötigt man nun einen IT-Notfallplan?
Ein gutes Notfallmanagement minimiert die Ausfallzeiten der IT.
Die Mitarbeiterinnen und Mitarbeiter benötigen eine klare Handlungsanweisung. Bei vielen Unternehmen bedeutet der Ausfall einer funktionierenden IT-Struktur einen Stillstand in vielen Bereichen. Daher sollte man als Leitfaden einen IT-Notfallplan für akute Probleme aufstellen. Welche Inhalte sollten berücksichtigt werden?
- Konkrete Handlungsanweisungen
- Alarmierungsketten
- Organisatorische Informationen (Zuständigkeiten, Personen, die informiert werden, Stellvertreterregelungen)
- Maßnahmen, die zu ergreifen sind
- Zugriff auf technische Informationen
- Einbeziehung der zuständigen Personen
- Checklisten für den Ablauf
- Kontakt- und Zugangslisten (Schlüsselwörter, Zugangskennungen, Fehleranalyse)
- Informationen zu den Notbetriebsverfahren
- Disaster Recovery, Risikomangement im Hinblick auf den Wiederanlauf der gesamten IT-Struktur
Es ist in jedem Fall ein Schwerpunkt auf die Prävention zu legen, um den Notfallplänen vorzubeugen und die Nerven zu schonen.
Wir wünschen Ihnen viel Erfolg dabei!
Wenn Sie sich eine Vertiefung des Themas oder eine Beratung wünschen können Sie sich gerne melden. Kontakt
Es gibt auch Fördermittel für die Beratung zu IT-Sicherheitsthemen: Fördermittel