Erst analysieren, dann handeln

Stufenplan für IT-Sicherheit im Mittelstand

Seite: 2/5

Firmen zum Thema

1. Geschäftsführung einbinden

Die Geschäftsführung muss sich der Wichtigkeit des Themas bewusst sein. Bekanntermaßen ist es schwierig, ein Projekt durchzusetzen, wenn sich die Geschäftsführung nicht für das Thema interessiert.

Insbesondere Maßnahmen, die offensichtlich nur Geld kosten, aber nicht unmittelbar zum Geschäftserfolg beitragen, landen schnell in der Ablage. Zur Überzeugungsarbeit kann ein Penetrations-Test oder ein Security Check beitragen, der Lücken im Schutzschirm schnell offenbart.

Wichtig zu wissen: Manager handeln unter Umständen grob fahrlässig und haften dafür, wenn sie der IT-Sicherheit keine Beachtung schenken. Kommt die Geschäftsführung als Verantwortliche der Risikovorsorgepflicht nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Geschäftsführer führen.

2. Verantwortlichkeiten festlegen

Sobald die Geschäftsführung überzeugt ist, wird das Thema „IT-Sicherheit“ in die Organisation getragen. Es sollte ein Mitarbeiter klar als IT-Sicherheitsverantwortlicher benannt werden. Dies muss nicht unbedingt ein Sicherheitsexperte sein.

Der Verantwortliche muss aber die Freiheit haben, sich gegebenenfalls externes Know-how mit ins Boot zu holen. Und wer Verantwortung übernimmt, muss dafür auf Dauer Zeit investieren können sowie ein entsprechendes Budget zur Verfügung haben. Denn IT-Sicherheit ist eine Daueraufgabe!

3. Schutzbedarf analysieren und kategorisieren

Jetzt gilt es herauszufinden, welche Risiken wo liegen. Dazu müssen zunächst die Schutzbedarfe nach Vertraulichkeit, Integrität und Verfügbarkeit erfasst werden, um die wirklich geschäftskritischen Informationen zu definieren. Immerhin 17 Prozent der befragten Unternehmen der Bitkom-Studie berichten vom Diebstahl sensibler elektronischer Dokumente und Daten.

Ein paar Beispiele:

Ein Unternehmen mit dem Fokus auf Forschung und Entwicklung lebt von seinen Ideen und Patenten. Risiko: Wirtschaftsspionage. Es muss alles daran setzen, dass niemand an diese Unterlagen kommt.

Der spezialisierte Online-Shop lebt vom Handel. Ist der Shop aufgrund eines Angriffs tagelang nicht erreichbar, geht bares Geld und das Vertrauen der Kunden verloren. Beim Online-Händler liegt der Schwerpunkt des Sicherheitskonzepts auf der Webseite.

Oder der erfolgreiche kleine Bauunternehmer, der an zahlreichen Ausschreibungen teilnimmt. Kommen seine Wettbewerber an die Preise in den Ausschreibungsunterlagen, kann es schnell vorbei sein mit der guten Auftragslage.

(ID:43388870)