DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicherheit — Wie viel ist genug?

Wie viel Sicherheit ist genug.

Je nachdem wen man fragt, sind unter­schied­liche Maß­nahmen in unter­schied­lichem Umfang erfor­derlich. Eine unre­flek­tierte Umsetzung der Emp­feh­lungen kann bis zum Still­stand führen.

 

Fragt man Sicher­heits­spe­zia­listen oder Daten­schützer, können die Maß­nahmen oft nicht weit genug gehen. Klar! Jeder Ange­stellte ver­sucht, gerade wenn Unter­neh­mens­ziele dies erfordern, seine Arbeit so gut wie möglich zu machen. Die hehre Aufgabe des Manage­ments besteht dann darin, dies auf das Nötige zu beschränken. So in etwa dürfte die Arbeits­teilung in stark arbeits­teilig orga­ni­sierten Ein­heiten aus­sehen. In klei­neren Unter­nehmen liegt es eher an der Ein­stellung und den Prio­ri­täten des Chefs.

Letztlich muss ein Unter­nehmen sich in erster Linie am Markt behaupten und Gewinn erzielen. Welche Rolle dabei Daten­schutz und IT-Sicherheit spielen, ist erstens bran­chen­ab­hängig – und zweitens tat­sächlich eine Glau­bens­ent­scheidung.

Welches Maß an Sicherheit für das ein­zelne Unter­nehmen not­wendig ist, ist immer eine Frage der Abwägung.

Zum einen ver­pflichten Gesetze zum Schutz der per­so­nen­be­zo­genen Daten von Geschäfts­partnern und Mit­ar­beitern. Grenzen setzt hier der Grundsatz der Ver­hält­nis­mä­ßigkeit, da absolute Sicherheit ohnehin nicht erreichbar ist. Ein wich­tiger Satz! Doch in der Umsetzung natürlich davon abhängig, welchen Auftrag der jeweils Aus­füh­rende erhalten hat. Hier unter­scheiden sich Dienst­leister, Mit­ar­beiter und Manager, als Auf­trag­nehmer, von Unter­nehmern, als Auf­trag­geber.

Zum anderen ist das Bedürfnis nach unter­bre­chungs­freier, nach­haltig wirt­schaft­liche Leis­tungs­fä­higkeit nicht zu ver­nach­läs­sigen. Die Betriebs­fä­higkeit stellt die Leis­tungs­er­stellung der EDV sicher. Hierbei ist jedoch eine gewer­be­spe­zi­fische unter­schied­liche Ein­schätzung vor­zu­nehmen. Der indi­vi­duelle Grad der Abhän­gigkeit von einem funk­tio­nie­renden Infor­ma­ti­ons­ver­ar­bei­tungs­system ist mit­unter recht unter­schiedlich: Im klas­si­schen pro­du­zie­renden Bereich wird bei­spiels­weise eine Beein­träch­tigung des Inter­net­zu­gangs weniger kri­tisch aus­fallen als bei einem Webshop.

Aller­dings sollte man beachten, dass diese Welten zunehmend zusam­men­wachsen. Selbst beim Ver­braucher nimmt die Steuer- und Rege­lungs­technik für die Haus­technik via Internet/Smartphone weiter zu.

Nur wer seine Werte kennt, kann über Maß­nahmen ent­scheiden.

Die Ent­scheidung über Art und Umfang von Sicher­heits­vor­keh­rungen liegt immer im Ermessen des Unter­nehmers! Leider kann diese Aufgabe auch nicht ohne die Gefahr einer Ver­fäl­schung durch ein Ziel­system dele­giert werden. Auch ein Dienst­leister wird natürlich allein aus Gründen der Haftung den „Stand der Technik“ emp­fehlen (müssen). Damit haftet der Unter­nehmer im Zwei­felsfall für die Kon­se­quenzen, wenn geschäft­liche Daten in die fal­schen Hände gelangen.

Aus­gangs­punkt jeg­licher Sicher­heits­maß­nahmen ist immer eine Ein­schätzung der Unter­­nehmens-Werte. Doch dabei ist Vor­sicht geboten: Selbst für gefälschte All­tags­ge­gen­stände ist ein Markt vor­handen.

Es bietet sich also an, die Werte über zwei grund­legend unter­schied­liche Betrach­tungs­winkel zu ermitteln:

  • Worin begründen sich die Wett­be­werbs­vor­teile? Sind es Pro­­­du­k­­tions- oder Mar­ke­ting­stra­tegien, ver­fügen Sie über kri­tische Kern­kom­pe­tenzen oder Pro­zesse?
  • Auf der anderen Seite muss grund­sätzlich immer bedacht werden, was für Dritte von Wert ist. Die Welt ist groß – in anderen Teilen der Welt sind mit­unter „all­täg­liche“ Dinge bereits von Wert.

Wer nun weiß, welche Werte er besitzt, kann sich im nächsten Schritt einen Über­blick ver­schaffen, wo diese Werte phy­si­ka­lisch liegen (End­geräte, Daten­träger etc.) und wer darauf zugreifen kann. Nach diesem orga­ni­sa­to­ri­schen Über­blick jetzt kann eine rea­lis­tische Risi­ko­analyse durch­ge­führt werden.

Von allem etwas ist mehr als die beste Sicher­heits­software

Im Anschluss daran tut man gut, durch die Abhän­gig­keiten ver­schie­dener Sicher­heits­vor­keh­rungen, „von allem etwas“ aus dem Port­folio an grund­le­genden Maß­nahmen aus­zu­wählen. Nur so ist das Ganze mehr als die Summe seiner Teile. Oder anders­herum for­mu­liert: Aus einer Reihe von Fei­gen­blättern wird nur schwer eine ansehn­liche Kleidung.

Zum Abschluss der Serie „Zuneh­mende Digi­ta­li­sierung von Geschäfts­pro­zessen“ noch eine Auf­stellung der grund­le­genden Maß­nahmen:

Grund­le­gende Schutz­maß­nahmen

  • Daten­si­cherung
  • Benut­zer­ver­waltung: Pass­wörter & Berech­ti­gungen
  • Betriebs­system und sonstige Pro­gramme immer auto­ma­tisch oder zeitnah aktua­li­sieren
  • Zugriff ins Internet nur als Benutzer mit Benut­zer­rechten
  • Viren­scanner & Firewall
  • keine Pass­worte auf dem Rechner ablegen
  • Internet-Browser und E‑Mail-Pro­­­gramm mög­lichst „sicher“ ein­stellen
  • grund­sätz­liche Vor­sicht im Umgang mit dem Internet
  • Signatur & ggf. Ver­schlüs­selung

Kos­ten­freie Hilfs­mittel für den Pra­xis­einsatz

Wer tiefer ein­steigen möchte, erhält mit den IT-Grun­d­­schutz-Kata­­logen des BSI auf ca. 4.500 Seiten einen schönen Über­blick.

Die bisher erschienen Bei­träge der Serie zur Digi­ta­li­sierung:

Teil 1 “Hand­lungs­bedarf bei neu ent­stan­denen Sicher­heits­lücken

Teil 2 “Die Rolle des eGo­vernments bei der digi­talen Kor­re­spondenz

Teil 3 “Daten­schutz und Daten­si­cherheit beginnen am Arbeits­platz

Teil 4 “Pro­zesse orga­ni­sieren, sicher arbeiten

Teil 5 “Risiken ein­dämmen

Teil 6 “Sicher mit dem Internet agieren

Bild: © Rainer Sturm / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.