title=

mawionline

IT-Sicherheit im Unternehmen

Wie ist es um die Sicherheit im Unternehmen bestellt?

Thomas Floß, Geschäftsführer der EDV-Unternehmensberatung Floß GmbH, über IT-Sicherheit und was Unternehmen aktuell beachten sollten. 

Thomas Floß

Thomas Floß, Geschäftsführer der EDV-Unternehmensberatung Floß GmbH

„Wir haben den ersten Weltkrieg überstanden, wir haben den zweiten Weltkrieg überstanden, dann werden wir auch dieses Problem überstehen!“, hörten wir vor kurzem von einem Unternehmer, als es um seine IT-Sicherheit ging. Dieser Satz spiegelt plakativ wider, wie stiefmütterlich das Thema von vielen deutschen Mittelständlern behandelt wird. Im Folgenden möchte ich Unternehmer sensibilisieren und erklären, was genau mit IT-Sicherheit gemeint ist und welche Aspekte sie umfasst.

IT-Sicherheit definiert sich nicht alleine durch eine FritzBox, eine Firewall oder einen Virenscanner, der im Unternehmen verwendet wird. Vielmehr kann man sie grob in vier Unterpunkte gliedern: IT-Systeme, IT-Infrastruktur, Mitarbeiter und Organisation. Erst ein funktionierendes Zusammenspiel aller Faktoren führt zu einer sicheren Informationstechnik und schützt das Netzwerk mitsamt aller Daten und Informationen.

Faktor 1: Die IT-Systeme
Die meisten Unternehmen sind in diesem Punkt bereits recht weit. Die angesprochenen Firewalls und Sicherheitsanwendungen sind häufig installiert, müssen allerdings auch gepflegt, aktuell gehalten und mit Zugriffsbeschränkungen versehen werden.

Faktor 2: IT-Infrastruktur
Weiterhin definiert sich die IT-Sicherheit dadurch, dass die interne Infrastruktur über entsprechende Sicherheitsmechanismen verfügt. Dazu gehört das firmeninterne WLAN, mobile Systeme, aber auch die Anschlussdosen in den Büros.

Faktor 3: Mitarbeiter
Der dritte Aspekt, das menschliche Risiko, wird insbesondere im Mittelstand unterschätzt. Die Mitarbeiter wissen im Allgemeinen häufig nicht,

  • wann eine E-Mail nicht zu öffnen bzw. der Link nicht anzuklicken ist.
  • dass sensible Daten verschlüsselt werden müssen.
  • dass unbekannte Personen im Flur vielleicht einmal anzusprechen sind.
  • dass besonders sensible Informationen nicht in den Papierkorb gehören, sondern entweder in den Aktenvernichter oder in die sichere Papiertonne.

Faktor 4: Organisation
Das menschliche Risiko ist eng verknüpft mit dem vierten und letzten Faktor – Organisation. Wissen Sie, was passiert, wenn es in Ihrem Unternehmen zu einem Hackerangriff kommt?

In den meisten Unternehmen gibt es keine Notfallkonzepte, die im Ernstfall greifen und eine schnelle Lösung des Problems herbeiführen. Hier reicht als erste Maßnahme bereits ein Notfall-Telefonplan aus, der beim Ausfall von Systemen oder dem angesprochenen Hackerangriff greift und entsprechende Fachleute informiert.

Auch definierte Freigabeprozesse für Softwareupdates oder Patches gehören in die IT-Organisation.

Was ist nun zu tun?
Die ersten Ansätze sind gar nicht so kompliziert. Alles beginnt mit der Risikoeinstufung: Welches Risiko bedeutet der Ausfall einer IT bzw. einer Teilkomponente und welcher der vier Faktoren ist wie gut abgedeckt? Im nächsten Schritt werden mögliche Maßnahmen und die damit verbundenen Kosten aufgestellt. Zuletzt werden die Maßnahmen umgesetzt und in den sogenannten PDCA-Zyklus (Plan, Do, Check, Act) überführt.

Gerade vor dem Hintergrund der ab Mai 2018 greifenden europäischen Datenschutz-Grundverordnung sind Unternehmen gefordert, diese Strukturen schnellstmöglich einzuführen und umzusetzen.

Fast alle der angesprochenen Schritte sind äußerst relevant: Werden sie nicht umgesetzt, drohen Bußgelder von bis zu 20 Millionen Euro bzw. vier Prozent des Jahresumsatzes.

Weitere Informationen: www.floss-consult.de

KONTEXT
Autor Thomas Floß ist Geschäftsführer der EDV-Unternehmensberatung Floß GmbH. Er ist seit nunmehr über 15 Jahren im Risikomanagement für die IT und Datenverarbeitung von Unternehmen jeder Größe punktuell wie dauerhaft tätig.

Zu seinen Referenzen gehören auch Unternehmen besonders sensibler Branchen wie Energieversorger, Kreditinstitute, Engineering und IT.

Thomas Floß verfügt über internationale Zertifizierungen wie T.I.S.P. (Teletrust Information Security Professional), CISA (Certified Information System Auditor) und CEH (Certified Ethical Hacker).