Sicherheitsmaßnahmen für kleine und mittlere Unternehmen

Datendiebstahl im Mittelstand

Seite: 3/3

Den Daten-GAU vermeiden

KMU müssen dazu übergehen, ihre wichtigen Daten zu identifizieren und zu lokalisieren. Hierbei hilft es, sich folgende Fragen zu stellen: Welche Informationen sind für den Erfolg meiner Unternehmung unabdingbar? Welche Informationen aus meiner Firma möchte ich in gar keinem Fall in den Händen der konkurrierenden Unternehmen sehen?

Jeder Verantwortliche und die Geschäftsführung sollten diese Fragen unmittelbar beantworten können. Eine schriftliche Ausarbeitung dieser Dinge ist von Vorteil. Nachdem Sie diese Fragestellung ergründet haben, machen sie sich auf die Suche nach genau diesen Informationen. Und zwar auf jedem einzelnen PC.

Zuvor ist es außerdem hilfreich, Richtlinien und Policies zur Datenspeicherung und zum Umgang mit Informationen zu verfassen und diese im Unternehmen zu etablieren. Hier könnte auch eine klassische Datenklassifizierung etwa nach militärischem Standard zum Einsatz kommen. Dann werden die Informationen zusammengetragen und sorgen für eine sichere Speicherung sowie für ein Zugriffsrechte-Management. Ist dies geschafft, können zusätzliche, flankierende organisatorische und technische Maßnahmen greifen.

Alle Ebenen mit einbeziehen

Unternehmen sollten sich dessen bewusst sein, dass loyale, motivierte und geschulte Mitarbeiter ein nicht zu unterschätzender Überlebensfaktor sind. Eine regelmäßige Unterweisung in den Bereichen Datenschutz und Security Awareness ist für alle Angestellten mit IT-Zugriff zwingend notwendig.

Im nächsten Schritt sollten die bestehenden, technischen Maßnahmen überprüft werden. Hier kann beispielsweise ein Penetrationstest Klarheit schaffen. Firewall, Antivirus-Strategie, Patch-Management, Notfallmanagement, Backup-Strategie sind hier nur einige Themen, die es zusätzlich zu beleuchten gilt. Selbst mit relativ geringen finanziellen Mitteln lässt sich schon viel erreichen.

Fragen, die beantwortet werden sollten, sind unter anderem: Wie regelmäßig werden zum Beispiel in der Firma die Event-Logs der Windows Server ausgewertet? Wie häufig sieht sich der Sicherheitsverantwortliche die Log-Files der Firewall an?

Weitere technische und organisatorische Maßnahmen müssen an kritischen Punkten etabliert werden. Hierzu zählen unter anderem auch Maßnahmen aus dem Bereich der Compliance. Eine wirkliche Änderung in der Arbeitsweise von Mitarbeitern lässt sich nur erzielen, wenn diese die Hintergründe der Maßnahmen verstehen und die Nichteinhaltung konsequent nachverfolgt wird.

Über den Autor

Günter Aigle ist geprüfter CISSP und unterstützt in seiner Funktion als Senior Security Auditor & Consultant namhafte Unternehmen wie die Würth-Gruppe.

(ID:42899737)