DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Sicher­heits­ma­nagement

IT-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik, Norm ISO 27001

Auch KMU´s sollten sich um die Infor­ma­ti­ons­si­cherheit Gedanken machen. Auf­wändige Zer­ti­fi­zie­rungen scheinen oft nicht gerecht­fertigt, aber einen IT-Sicher­heits­­­ver­­an­t­­wor­t­­lichen können Sie sicherlich benennen – und damit wäre schon einiges gewonnen…

 

 

 

Wenn man Experten fragt, wie man die Infor­ma­ti­ons­si­cherheit in Unter­nehmen „hin­be­kommt“, so wird einem übli­cher­weise emp­fohlen, ein so genanntes “Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­system” ein­zu­führen. Der normale Mit­tel­ständler und Klein­be­trieb hört an der Stelle schon wieder weg, weil sich das nach viel Büro­kratie, Aufwand und wenig Nutzen anhört. Dennoch ist es loh­nenswert, sich diesem Aspekt durchaus auch als KMU kurz zuzu­wenden und die inter­es­san­testen Ideen mitzunehmen.

Ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­system bildet die orga­ni­sa­to­rische Hülle für einen unter­neh­mens­weiten sicheren Umgang mit Infor­ma­tionen. Das ist not­wendig, weil tech­nische Maß­nahmen — und das Wissen zum Glück nun die meisten Leser — nie eine 100-pro­­­zentige Sicherheit gewähr­leisten können. Der Mensch, also der Mit­ar­beiter, muss mit­helfen, das Ziel zu erreichen. Zudem ver­ändern sich die Angriffe über die Zeit und so ist eine kon­ti­nu­ier­liche Anpassung der Maß­nahmen an die Bedro­hungslage erfor­derlich. Dies gewähr­leisten die beiden „großen“ Ansätze für Infor­ma­ti­ons­si­cherheit, nämlich der IT-Grun­d­­schutz des Bun­desamts für Sicherheit in der Infor­ma­ti­ons­technik einer­seits und die Norm ISO 27001 andererseits.

Eine Zer­ti­fi­zierung nach BSI IT-Grun­d­­schutz oder nach ISO 27001 ist aber für die meisten Mit­tel­ständler nicht sinnvoll, denn die für eine Zer­ti­fi­zierung durch­zu­füh­renden Maß­nahmen sind einfach zu auf­wändig, um sie mit den üblichen Mitteln eines Klein­be­triebes umsetzen zu können. Davon sollte man sich aber nicht abschrecken lassen und statt­dessen die „Rosinen“ her­aus­picken. Hier ist eine kurze Zusam­men­stellung der wich­tigsten orga­ni­sa­to­ri­schen Maß­nahmen, die sich auch mit wenig Aufwand umsetzen lassen:

Ernennen Sie einen IT-Sicherheitsverantwortlichen

Auch in der kleinsten Orga­ni­sation zählt die Ver­ant­wortung für ein Thema. Wenn es keinen Ver­ant­wort­lichen gibt, dann wird auch die Sicherheit nicht vor­handen sein. Die ver­ant­wort­liche Person muss keine Voll­zeit­kraft sein oder kann noch andere Auf­gaben haben und im ersten Schritt die Sicherheit „nebenbei mit machen“. Doch ver­mutlich wird die ernannte Person über die Zeit even­tuell mehr Aufwand in die Sicherheit stecken als anfänglich viel­leicht gedacht. Doch mit der Ver­ant­wortung ist ein erster Schritt gemacht, denn damit besteht die Moti­vation, den Sicher­heits­status zu kennen.

Lassen Sie den IT-Sicher­heits­­­ver­­an­t­­wor­t­­lichen den Sicher­heits­status berichten

In einem zweiten, wei­teren Schritt sollten Sie – ggf. unter Zuhil­fe­nahme von externer Hilfe – den Status der Sicherheit in Ihrem Unter­nehmen kennen. Ermög­lichen Sie dem IT-Sicher­heits­­­ver­­an­t­­wor­t­­lichen, den Status dar­zu­stellen und der Geschäfts­führung die Risiken zu erläutern. Einmal im Jahr sollte damit Gele­genheit geschaffen sein, gemeinsam über die Risiken und die Sicher­heits­si­tuation zu sprechen. Idealer Weise sprechen Sie dann gleich über damit ver­bundene Ziele.

Defi­nieren Sie Sicherheitsziele

Sicherheit kann man nicht über Nacht erreichen und schon gar nicht mit den Res­sourcen eines KMU. Ent­scheiden Sie sich daher für Ziele in Bezug auf die Sicherheit, die Ihnen einer­seits rea­lis­tisch erscheinen und ande­rer­seits die Sicher­heits­si­tuation deutlich ver­bessern. Z. B. könnte die Tages­ak­tua­lität der Betriebs­systeme ein für einen Klein­be­trieb durchaus sinn­volles und erreich­bares Sicher­heitsziel sein.

Dies sind nur die wich­tigsten Aspekte, die ein Infor­ma­ti­ons­si­cher­heits­ma­nagement aus­macht und die auch in einem Klein­be­trieb umsetzbar sind.

Bild:  © Gerd Altmann / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Dr. Sachar Paulus, Hoch­schule Mannheim

Prof. Dr. Sachar Paulus ist Senior Analyst bei Kup­pinger Cole, arbeitet gleich­zeitig als selb­stän­diger Unter­neh­mens­be­rater für Sicherheit und ist Pro­fessor für Unter­neh­mens­si­cherheit und Risi­ko­ma­nagement an der FH Bran­denburg. Er war Mit­glied der stän­digen Inter­es­sen­ver­tretung der ENISA (Euro­päische Netzwerk- und Infor­ma­ti­ons­si­cher­heits­agentur) und des For­schungs­beirats “RISEPTIS” für Ver­trauen und Sicherheit im Future Internet der Euro­päi­schen Kom­mission. Er ist Vor­stands­vor­sit­zender des Vereins “ISSECO” für sichere Software-Ent­wicklung und des Vereins “SEsamBB” für Security und Safety made in Berlin Bran­denburg. Von 2000 bis 2008 war Prof. Paulus bei SAP in ver­schie­denen Lei­tungs­funk­tionen zu Sicherheit tätig, unter anderem Leiter der Kon­zern­si­cherheit und Leiter der Pro­dukt­si­cherheit. Er vertrat SAP als Vor­stands­mit­glied in den beiden Ver­einen “Deutschland Sicher im Netz” und “Tele­TrusT”.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.