Aktuelle Themen zu IT-Security
Anfrage

So umgehen Mittelständler IT-Risiken:
Das IT-Sicherheits-Konzept

„Cyberrisiken und Cyberangriffe sind die größten Bedrohungen für den Erfolg von mittelständischen Unternehmen in der Digitalisierung.“ – So äußern sich im Konsens 900 deutsche Unternehmen, die an der Studie „Gefährdungslage Wirtschaft 2018“* des Bundesamts für Sicherheit in der Informationstechnik (BSI) teilgenommen haben. 70 Prozent dieser Unternehmen sind Opfer von Cyberangriffen geworden, sodass deren Zugang zu IT-Systemen gehackt, Funktionsweisen beeinflusst oder Internet-Auftritte manipuliert worden sind. Jeder zweite Angriff davon führte zu Produktions- bzw. Betriebsausfällen. Für nahezu 100 Prozent der betroffenen Unternehmen fielen nach der Attacke Kosten für die Aufklärung, Wiederherstellung der IT-Systeme oder für den Reputationsaufbau an.
Die befragten Unternehmen führen zwar einfache IT-Schutz-Maßnahmen, wie Anti-Virus-Programme oder Sicherheitsschulungen für Mitarbeiter durch, vollumfassende IT-Sicherheits-Konzepte (SiKo) sind aber nur bei etwa der Hälfte der Unternehmen vorhanden – ein fataler Fehler, denn nur ganzheitlicher IT-Schutz macht Unternehmen auch wirklich sicher.
Für den Mittelstand scheint IT-Sicherheit eher lästig als zwingend notwendig zu sein – aber dieses Risikoverhalten öffnet Cyberkriminellen Tür und Tor für unberechtigte Zugriffe in die Unternehmens-IT und somit auch auf sensible Daten. Geschäftsführern und Entscheidern ist der akute Handlungsbedarf bei Systemlandschaften und Applikationen, die gar nicht oder nur mangelhaft sicher sind, nicht bewusst. Erst ein Gesamtkonzept für die IT-Sicherheit gibt Unternehmen den maximal möglichen Schutz, der effektiv IT-Angriffe abwehrt und nachhaltig Krisensituationen ohne immense Schäden bewältigt.

*Quelle: BSI, September 2018 „Die Lage der IT-Sicherheit in Deutschland 2018“

Das IT-Security-Konzept

Als Maßnahmenpaket deckt ein vollumfängliches IT-Security-Konzept alle Unternehmensbereiche hinsichtlich einer lückenlosen IT-Sicherheit ab – von Anforderungen in der Benutzung vom WLAN-Zugang über die Begebenheiten der Serververwaltung bis zu den einzelnen Anwendern reicht der Schutzbedarf in der IT. Neben der Technik integriert das SiKo auch alle organisatorischen Bereiche eines Unternehmens, die mit der Unternehmens-IT verbunden sind. Mit der Umsetzung des SiKo werden IT-Standards hergestellt, aufrechterhalten und ein reibungsloser Arbeitsablauf gewährleistet.

Was muss ein IT-Sicherheits-Konzept beinhalten?

Im Wesentlichen muss ein SiKo grundlegende Analysen und ihre Ergebnisse enthalten, die den IST-Zustand der Unternehmens-IT beschreiben:

  • Bestandsanalyse: Hier wird festgestellt, welche Assets überhaupt im Unternehmen Schutzbedarf haben. Assets können beispielsweise Mitarbeiter, Dokumente, Zugriffskarten, Lichtanlagen, Serverräume, Hardware-Komponenten oder Daten sein. Es werden alle Wege identifiziert, über die Unternehmensinformationen getauscht und verbreitet werden. Die Analyse umfasst alle unternehmerischen Rahmenbedingungen – also, was genau durch das Sicherheitskonzept geschützt werden soll, welche Prozesse höhere Prioritäten und Schutzbedarf haben.
  • Strukturanalyse: Durch die Analyse wird die mehr oder weniger vorhandene Sicherheitspolitik des Unternehmens unter die Lupe genommen und Verantwortliche den Geltungsbereichen zugeordnet. Die Industrie- und Handelskammer bietet Zertifizierungslehrgänge für Mitarbeiter an, die für die Erstellung eines IT-Sicherheits-Konzeptes zuständig sind.
    Insgesamt werden hier alle Details im Geltungsbereich, also alle Assets und digitalen Prozesse, strukturell erfasst. Beispielsweise kann der Bewerbungsprozess innerhalb eines Unternehmens als Teilbereich betrachtet werden, da dieser Komponenten beinhaltet, die aus der IT-Sicherheits-Perspektive reibungslos und sauber dokumentiert werden müssen.
  • Schutzbedarfsanalyse: Nachdem alle relevanten Geltungsbereiche und Assets identifiziert und dokumentiert wurden, wird explizit festgeschrieben, welche Objekte elementare Sicherheitsmaßnahmen brauchen. Diese detaillierte Betrachtung schont unternehmerische Ressourcen, weil ausschließlich in Objekte investiert wird, die besonderen Sicherheitsbedarf haben.
  • Basis-Sicherheitscheck: Der Check dient der Ermittlung des derzeitigen Sicherheitsniveaus aller identifizierten und sicherheitsbedürftigten Prozesse und Assets. Dabei werden die bereits eingesetzten und durchgeführten Sicherheitsmaßnahmen mit den Empfehlungen für einen Grundschutz* abgeglichen – ein IT-Sicherheits-Experte kann dabei hilfreich zur Seite stehen. Anhand des Schutzbedarfes aus der vorherigen Analyse können nun die Maßnahmen, die perfekt auf die Assets des Unternehmens passen, geplant werden.
  • Modellierung: In der Modellierung werden alle Ergebnisse der Analysen veranschaulicht, um sie innerhalb eines Informationsverbundes zu dokumentieren und miteinander in Beziehungen zu setzen. Durch diese Darstellung werden auch Netzwerkschnittstellen zwischen den technischen Systemen, Devices oder Prozessen aufgezeigt, um jede mögliche Schwachstelle sichtbar zu machen. Die Modellierung dient insgesamt der Dokumentation der bisherigen Analysen und sollte stetig, vor allem bei Veränderungen in Geschäftsprozessen, angepasst und aktualisiert werden.

*Als Basis für ein IT-Security-Konzept empfiehlt das BSI einen Grundschutz mit Maßnahmen, die identifiziert und umgesetzt werden sollten. Im Idealfall wehren diese bereits Bedrohungen und potenzielle Schäden ab. Eine Einschätzung des BSI „IT-Grundschutzes“ durch unseren IT-Sicherheitsexperten können Sie hier lesen: „Wir stellen Ihnen den BSI-Grundschutz vor"

Die Lösung: Maßnahmen für einen vollumfassenden IT-Schutz

Aus den Ergebnissen des IT-Security-Konzeptes lässt sich der Realisierungsplan zusammenfassen und operative, technische und organisatorische Maßnahmen für einen vollumfassenden IT-Schutz definieren. Für mittelständische Unternehmen müssen Maßnahmen in der IT-Sicherheit einfach, kostengünstig und realistisch umsetzbar sein – denn IT-Sicherheit ist der Schlüssel für einen reibungslosen unternehmerischen Ablauf!
IT-Sicherheitsexperten unterstützen Sie in der Erarbeitung eines Sicherheitskonzeptes und definieren aus den Erkenntnissen der Analysen vollumfängliche Maßnahmen. Mit sorgfältiger Abwägung der betriebswirtschaftlichen und technischen Vorgaben und Gegebenheiten, die durch die Analysen ermittelt werden, können Ihnen kostenoptimierte Sicherheitslösungen angeboten werden – gut durchdacht und passgenau!

Gibt es einen rechtlichen Rahmen?

Strikte formale Vorgaben für die Erstellung und die Inhalte eines IT-Security-Konzeptes gibt es nicht – die Pflicht ein solches Konzept aufzustellen, ist nur indirekt in der Gesetzgebung verankert:

  • Juristische und kaufmännische Vorgaben erfordern in Unternehmen einen Prozess, praktisch umsetzbar durch ein SiKo, der ein hohes IT-Sicherheitsniveau gewährleisten soll.
  • Die DSGVO fordert die Umsetzung der Rechenschaftspflicht und Sicherstellung eines ordnungsgemäßen IT-Betriebes. Es muss nachgewiesen werden können, dass ein Gesamtkonzept zur unternehmenseigenen IT-Sicherheit existiert und gelebt wird.

Die Gesetzgebung verfolgt dadurch die Ziele, IT-Systeme und unternehmerische Infrastrukturen sicher zu machen. Und sie verdeutlicht auch ihre Schutzverantwortung, die sich der Staat auf die Fahne schreibt – aber auch, dass ein rein freiwilliger Ansatz bei der Herstellung von IT-Sicherheit nicht zum nötigen Engagement in der Wirtschaft führt und nicht flächendeckend in allen sicherheitsrelevanten Bereichen wirkt.

Lassen Sie Ihre IT-Sicherheit testen!

Verschaffen Sie sich einen Überblick über die tatsächliche IT-Sicherheit in Ihrem Unternehmen. Ein umfassender IT-Sicherheits-Check mit m2GUARD bringt Klarheit!

Kontakt

+49 4561 5280 130

Kontaktanfrage