Mindestanforderungen für IT-Sicherheit im UnternehmenMindestanforderungen für IT-Sicherheit im Unternehmen

Mittel zum Schutz der IT im Unternehmen sind vielfältig. Für ein Mindestmaß an IT-Sicherheit sollten einige grundlegende Maßnahmen in jedem Unternehmen umgesetzt werden.

Auf einen Blick

Die allgemein zunehmende Digitalisierung führt zu einer großen Abhängigkeit hinsichtlich einer funktionierenden IT-Infrastruktur bzw. der eingesetzten Hard- und Softwaresysteme. Damit eng verbunden sind zahlreiche Themenstellungen der IT-Sicherheit. Das vorhandene IT-Sicherheitsniveau [1][2] ist in den Unternehmen jedoch sehr unterschiedlich, weil bestehende Risiken und Bedrohungen nicht erkannt oder die entsprechenden Maßnahmen unzureichend sind. Da die unternehmensspezifische Ausgestaltung der Informationssicherheit von zahlreichen Gegebenheiten im Unternehmen abhängig ist, können keine pauschalen Empfehlungen gegeben werden. Bestimmte Aspekte der IT-Sicherheit müssen aber in jedem Fall eine Berücksichtigung finden, um ein Mindestmaß an Sicherheit zu gewährleisten.

Bedrohungs- bzw. Gefährdungslage

Fast täglich berichten die Medien über Cyberangriffe: Datenbestände werden gestohlen oder verschlüsselt, die Betroffenen daraufhin erpresst, Prozessabläufe manipuliert oder ganz stillgelegt. Dabei werden sowohl Unternehmen als auch alle sonstigen wirtschaftlichen oder öffentlichen Organisationen Opfer solcher Angriffe. Dies Aktivitäten der Cyberkriminellen [3] sind aber nur die eine Seite. Es müssen auch Ausfälle von Hardware bzw. der allgemeinen IT-Infrastruktur, Bedienfehler und menschliches Versagen u.v.m. betrachtet werden. Im Grunde geht es darum, dass die Unternehmen auf Vorfälle, die zu massiven Störungen in den Arbeitsprozessen oder gar zu einem Totalausfall der unterstützenden IT-Infrastruktur führen, vorbereitet sind.
Im Folgenden haben wir ausgehend von den IT-Sicherheitsschutzzielen Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität (VIVA-Prinzip) die wichtigsten Maßnahmen und Regelungen zusammengestellt, wie sich ein Unternehmen schützen und gleichzeitig auf einen Sicherheitsvorfall vorbereiten sollte.

Maßnahmen und Lösungsansätze

Datensicherung

Die Sicherung der eigenen Datenbestände ist ein absolutes Muss. Da Sicherheitsvorfälle meistens mit einem Datenverlust verbunden sind, ist eine zeitnahe Wiederherstellung der Daten für die Geschäftstätigkeit zwingend notwendig.

Geschultes Personal

Der Mensch ist ein sehr wichtiger IT-Sicherheitsfaktor. Die Risiken resultieren oft aus Unwissen (z. B. das Nichterkennen von Phishing-Mails). Das Personal muss durch eine Wissensvermittlung in die Lage versetzt werden, Gefahren und Bedrohungen zu erkennen und entsprechend zu reagieren. Sensibilisiertes und gut geschultes Personal hat einen wesentlichen Einfluss auf das IT-Sicherheitsniveau.[4]

Firewall und Virenschutz

In jedem Unternehmen sollte mindestens eine Firewall als Absicherung eingerichtet und alle Server- und Clientsysteme mit einem Antivirensystem ausgestattet sein.[5]

Aktuelle Systeme

Da veraltete Hard- und Softwaresysteme ein besonders hohes Risiko darstellen, sind entsprechende Maßnahmen für regelmäßige Updates (Update-/Patch-Management) umzusetzen.[6]

Dokumentation und Notfallplan

Die Dokumentation der IT-Infrastruktur ist sowohl für die laufenden Service- und Wartungsarbeiten sinnvoll, als auch insbesondere bei einem Sicherheitsvorfall sehr hilfreich. Zusätzlich sollte ein Notfallhandbuch vorhanden sein. Es umfasst alle relevanten Dokumente, aus denen sich die notwendigen Maßnahmen und Handlungsanweisungen für eine entsprechende Wiederherstellung ableiten lassen.

Herausforderungen

Die Herausforderungen hängen sehr stark davon ab, ob eigene Ressourcen vorhanden sind oder ob diese Arbeiten durch einen IT-Dienstleister durchgeführt werden. Sind die Datensicherung, der Firewall-Einsatz, der Virenschutz und aktuelle Systeme noch relativ einfach zu lösende Aufgabenstellungen, so sind die anderen Themen i. d. R. anspruchsvoller.

Insbesondere beim Personal kommt es nicht nur darauf an, dass es gut geschult, sondern dass es mit Sicht auf die IT-Sicherheit auch dauerhaft für ein verantwortungsvolles Arbeiten sensibilisiert wird.

Die Aufstellung eines IT-Notfallplans bzw. eines IT-Notfallmanagements ist für KMU oftmals ein zeitaufwändiges Unterfangen. Dies ist neben dem Tagesgeschäft kaum zu realisieren. Gleichzeitig haben Unternehmen die Befürchtung, Notfälle falsch zu betrachten oder das Know-how zur Aufstellung dieses Plans ist nicht vorhanden.

Quellen und weiterführende Inhalte