Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Sicherheitsmanagement
Auch KMU´s sollten sich um die Informationssicherheit Gedanken machen. Aufwändige Zertifizierungen scheinen oft nicht gerechtfertigt, aber einen IT-Sicherheitsverantwortlichen können Sie sicherlich benennen – und damit wäre schon einiges gewonnen…
Wenn man Experten fragt, wie man die Informationssicherheit in Unternehmen „hinbekommt“, so wird einem üblicherweise empfohlen, ein so genanntes “Informationssicherheitsmanagementsystem” einzuführen. Der normale Mittelständler und Kleinbetrieb hört an der Stelle schon wieder weg, weil sich das nach viel Bürokratie, Aufwand und wenig Nutzen anhört. Dennoch ist es lohnenswert, sich diesem Aspekt durchaus auch als KMU kurz zuzuwenden und die interessantesten Ideen mitzunehmen.
Ein Informationssicherheitsmanagementsystem bildet die organisatorische Hülle für einen unternehmensweiten sicheren Umgang mit Informationen. Das ist notwendig, weil technische Maßnahmen — und das Wissen zum Glück nun die meisten Leser — nie eine 100-prozentige Sicherheit gewährleisten können. Der Mensch, also der Mitarbeiter, muss mithelfen, das Ziel zu erreichen. Zudem verändern sich die Angriffe über die Zeit und so ist eine kontinuierliche Anpassung der Maßnahmen an die Bedrohungslage erforderlich. Dies gewährleisten die beiden „großen“ Ansätze für Informationssicherheit, nämlich der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik einerseits und die Norm ISO 27001 andererseits.
Eine Zertifizierung nach BSI IT-Grundschutz oder nach ISO 27001 ist aber für die meisten Mittelständler nicht sinnvoll, denn die für eine Zertifizierung durchzuführenden Maßnahmen sind einfach zu aufwändig, um sie mit den üblichen Mitteln eines Kleinbetriebes umsetzen zu können. Davon sollte man sich aber nicht abschrecken lassen und stattdessen die „Rosinen“ herauspicken. Hier ist eine kurze Zusammenstellung der wichtigsten organisatorischen Maßnahmen, die sich auch mit wenig Aufwand umsetzen lassen:
Ernennen Sie einen IT-Sicherheitsverantwortlichen
Auch in der kleinsten Organisation zählt die Verantwortung für ein Thema. Wenn es keinen Verantwortlichen gibt, dann wird auch die Sicherheit nicht vorhanden sein. Die verantwortliche Person muss keine Vollzeitkraft sein oder kann noch andere Aufgaben haben und im ersten Schritt die Sicherheit „nebenbei mit machen“. Doch vermutlich wird die ernannte Person über die Zeit eventuell mehr Aufwand in die Sicherheit stecken als anfänglich vielleicht gedacht. Doch mit der Verantwortung ist ein erster Schritt gemacht, denn damit besteht die Motivation, den Sicherheitsstatus zu kennen.
Lassen Sie den IT-Sicherheitsverantwortlichen den Sicherheitsstatus berichten
In einem zweiten, weiteren Schritt sollten Sie – ggf. unter Zuhilfenahme von externer Hilfe – den Status der Sicherheit in Ihrem Unternehmen kennen. Ermöglichen Sie dem IT-Sicherheitsverantwortlichen, den Status darzustellen und der Geschäftsführung die Risiken zu erläutern. Einmal im Jahr sollte damit Gelegenheit geschaffen sein, gemeinsam über die Risiken und die Sicherheitssituation zu sprechen. Idealer Weise sprechen Sie dann gleich über damit verbundene Ziele.
Definieren Sie Sicherheitsziele
Sicherheit kann man nicht über Nacht erreichen und schon gar nicht mit den Ressourcen eines KMU. Entscheiden Sie sich daher für Ziele in Bezug auf die Sicherheit, die Ihnen einerseits realistisch erscheinen und andererseits die Sicherheitssituation deutlich verbessern. Z. B. könnte die Tagesaktualität der Betriebssysteme ein für einen Kleinbetrieb durchaus sinnvolles und erreichbares Sicherheitsziel sein.
Dies sind nur die wichtigsten Aspekte, die ein Informationssicherheitsmanagement ausmacht und die auch in einem Kleinbetrieb umsetzbar sind.
Bild: © Gerd Altmann / pixelio.de
Prof. Dr. Sachar Paulus, Hochschule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kuppinger Cole, arbeitet gleichzeitig als selbständiger Unternehmensberater für Sicherheit und ist Professor für Unternehmenssicherheit und Risikomanagement an der FH Brandenburg. Er war Mitglied der ständigen Interessenvertretung der ENISA (Europäische Netzwerk- und Informationssicherheitsagentur) und des Forschungsbeirats “RISEPTIS” für Vertrauen und Sicherheit im Future Internet der Europäischen Kommission. Er ist Vorstandsvorsitzender des Vereins “ISSECO” für sichere Software-Entwicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Brandenburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in verschiedenen Leitungsfunktionen zu Sicherheit tätig, unter anderem Leiter der Konzernsicherheit und Leiter der Produktsicherheit. Er vertrat SAP als Vorstandsmitglied in den beiden Vereinen “Deutschland Sicher im Netz” und “TeleTrusT”.

Neueste Kommentare