Erst analysieren, dann handeln

Stufenplan für IT-Sicherheit im Mittelstand

Seite: 3/5

Firmen zum Thema

4. Ist-Aufnahme: IT-Systeme, Netze und Endgeräte

Unternehmenskritische Werte und besondere Risiken identifiziert? Jetzt muss eine Bestandsaufnahme der Technik gemacht werden. Welche PCs sind mit welcher Software ausgestattet und sind wie vernetzt: mit dem Server, untereinander, mit dem Internet, mit Produktionsmaschinen? Und welche Arbeiten werden an den Rechnern durchgeführt?

Zu diesem Check gehören auch die mobilen Endgeräte. Sobald sich Mitarbeiter unterwegs in das Unternehmensnetzwerk einwählen können, steigt das Risiko. Zum Beispiel alleine schon durch den Verlust oder Diebstahl der Geräte.

5. Konzept erstellen und Budget festlegen

Unternehmenskritische Werte identifiziert, Prozesse definiert und die Technik detailliert aufgelistet: Jetzt heißt es, das Sicherheitskonzept darauf zuzuschneiden. Relevant sind dabei der Geschäftszweck und die Prozesse, nicht unbedingt die Firmengröße. So braucht ein zehnköpfiges Finanzberatungsteam unter Umständen umfangreichere Sicherheitsmaßnahmen als eine Firma mit 200 Mitarbeitern, die ein risikoarmes Standardgeschäft betreiben.

Wie hoch das Budget tatsächlich sein sollte, ist ohne Konzept nicht zu taxieren. Unter Umständen kann eine Basisschutzlösung mit monatlichen Kosten von wenigen Euros pro Endgerät vollkommen ausreichen.

Eine wichtige Frage muss das Konzept noch beantworten: Lassen sich die Sicherheitsmaßnahmen komplett selbst umsetzen und auf Dauer betreiben oder überlässt man die Aufgabe einem spezialisierten Dienstleister? Das muss nicht teurer sein, verbessert aber möglicherweise die Qualität, sofern ein Unternehmen keine eigenen Sicherheitsexperten in der IT-Abteilung hat.

Neben rein technischen Maßnahmen, sollten die folgenden Punkte in der Konzeption berücksichtigt werden.

5.1. Mitarbeiter aufklären und sensibilisieren

Entscheidend ist, die Mitarbeiter bei der Umsetzung mitzunehmen und zu sensibilisieren. Das beste Konzept hilft nichts, wenn die eigenen Mitarbeiter meist unbewusst – manchmal auch bewusst – Eindringlingen Tür und Tor öffnen. Durch das Wissen der Mitarbeiter über Gefahrenquellen, lässt sich schon viel verhindern.

Das Beste daran: Es kostet nichts – außer ein paar Stunden Aufklärungsarbeit. Die Risiken fangen bei dubiosen Apps an, über die Schad-Software in das Unternehmen geschleppt wird, und geht hin bis zu besuchten Webseiten, die Malware verbreiten. Jeder sollte auch wissen, wie er Zugangsdaten richtig nutzt oder mit Datenträgern wie USB-Sticks umgeht.

Großes Gefahrenpotenzial birgt auch das Social Engineering. Hier versuchen Hacker, gezielt über Mitarbeiter an vertrauliche Informationen, wie z.B. Zugangsdaten von IT-Systemen zu kommen.

5.2. Wer darf was?

Nicht jeder muss Zugriff auf alle Daten und Programmen haben. Das Konzept sollte also für alle Unternehmensbereiche bis hin zu Einzelpersonen Rollen definieren. Die Buchhaltung muss nicht auf streng vertrauliche Informationen aus der Entwicklungsabteilung zugreifen können. Genauso wenig muss jeder Angebote zu Ausschreibungen einsehen können.

(ID:43388870)