Sicher­heits­ma­nagement

Auch KMU´s sollten sich um die Infor­ma­ti­ons­si­cherheit Gedanken machen. Auf­wändige Zer­ti­fi­zie­rungen scheinen oft nicht gerecht­fertigt, aber einen IT-Sicher­heits­­­ver­­an­t­­wor­t­­lichen können Sie sicherlich benennen – und damit wäre schon einiges gewonnen…

Wenn man Experten fragt, wie man die Infor­ma­ti­ons­si­cherheit in Unter­nehmen „hin­be­kommt“, so wird einem übli­cher­weise emp­fohlen, ein so genanntes “Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­system” ein­zu­führen. Der normale Mit­tel­ständler und Klein­be­trieb hört an der Stelle schon wieder weg, weil sich das nach viel Büro­kratie, Aufwand und wenig Nutzen anhört. Dennoch ist es loh­nenswert, sich diesem Aspekt durchaus auch als KMU kurz zuzu­wenden und die inter­es­san­testen Ideen mit­zu­nehmen.

Ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­system bildet die orga­ni­sa­to­rische Hülle für einen unter­neh­mens­weiten sicheren Umgang mit Infor­ma­tionen. Das ist not­wendig, weil tech­nische Maß­nahmen — und das Wissen zum Glück nun die meisten Leser — nie eine 100-pro­­­zentige Sicherheit gewähr­leisten können. Der Mensch, also der Mit­ar­beiter, muss mit­helfen, das Ziel zu erreichen. Zudem ver­ändern sich die Angriffe über die Zeit und so ist eine kon­ti­nu­ier­liche Anpassung der Maß­nahmen an die Bedro­hungslage erfor­derlich. Dies gewähr­leisten die beiden „großen“ Ansätze für Infor­ma­ti­ons­si­cherheit, nämlich der IT-Grun­d­­schutz des Bun­desamts für Sicherheit in der Infor­ma­ti­ons­technik einer­seits und die Norm ISO 27001 ande­rer­seits.

Eine Zer­ti­fi­zierung nach BSI IT-Grun­d­­schutz oder nach ISO 27001 ist aber für die meisten Mit­tel­ständler nicht sinnvoll, denn die für eine Zer­ti­fi­zierung durch­zu­füh­renden Maß­nahmen sind einfach zu auf­wändig, um sie mit den üblichen Mitteln eines Klein­be­triebes umsetzen zu können. Davon sollte man sich aber nicht abschrecken lassen und statt­dessen die „Rosinen“ her­aus­picken. Hier ist eine kurze Zusam­men­stellung der wich­tigsten orga­ni­sa­to­ri­schen Maß­nahmen, die sich auch mit wenig Aufwand umsetzen lassen:

Ernennen Sie einen IT-Sicher­heits­­­ver­­an­t­­wor­t­­lichen

Auch in der kleinsten Orga­ni­sation zählt die Ver­ant­wortung für ein Thema. Wenn es keinen Ver­ant­wort­lichen gibt, dann wird auch die Sicherheit nicht vor­handen sein. Die ver­ant­wort­liche Person muss keine Voll­zeit­kraft sein oder kann noch andere Auf­gaben haben und im ersten Schritt die Sicherheit „nebenbei mit machen“. Doch ver­mutlich wird die ernannte Person über die Zeit even­tuell mehr Aufwand in die Sicherheit stecken als anfänglich viel­leicht gedacht. Doch mit der Ver­ant­wortung ist ein erster Schritt gemacht, denn damit besteht die Moti­vation, den Sicher­heits­status zu kennen.

Lassen Sie den IT-Sicher­heits­­­ver­­an­t­­wor­t­­lichen den Sicher­heits­status berichten

In einem zweiten, wei­teren Schritt sollten Sie – ggf. unter Zuhil­fe­nahme von externer Hilfe – den Status der Sicherheit in Ihrem Unter­nehmen kennen. Ermög­lichen Sie dem IT-Sicher­heits­­­ver­­an­t­­wor­t­­lichen, den Status dar­zu­stellen und der Geschäfts­führung die Risiken zu erläutern. Einmal im Jahr sollte damit Gele­genheit geschaffen sein, gemeinsam über die Risiken und die Sicher­heits­si­tuation zu sprechen. Idealer Weise sprechen Sie dann gleich über damit ver­bundene Ziele.

Defi­nieren Sie Sicher­heits­ziele

Sicherheit kann man nicht über Nacht erreichen und schon gar nicht mit den Res­sourcen eines KMU. Ent­scheiden Sie sich daher für Ziele in Bezug auf die Sicherheit, die Ihnen einer­seits rea­lis­tisch erscheinen und ande­rer­seits die Sicher­heits­si­tuation deutlich ver­bessern. Z. B. könnte die Tages­ak­tua­lität der Betriebs­systeme ein für einen Klein­be­trieb durchaus sinn­volles und erreich­bares Sicher­heitsziel sein.

Dies sind nur die wich­tigsten Aspekte, die ein Infor­ma­ti­ons­si­cher­heits­ma­nagement aus­macht und die auch in einem Klein­be­trieb umsetzbar sind.

Bild:  © Gerd Altmann / pixelio.de