DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sicher­heits­kultur in Unter­nehmen

Prism und Tempora rücken in Unter­nehmen wieder mehr die Sicher­heits­themen und Awa­reness in den Fokus. Es gilt die Vor­komm­nisse als Anlass zu nehmen, sich in den Unter­nehmen Gedanken zu IT-Security zu machen und eine Kultur der Sicherheit zu schaffen.

 

 

Die Mit­ar­beiter leben die Sicher­heits­kultur vor

Gerade in schnell­le­bigen Geschäfts­pro­zessen sind sich die Mit­ar­beiter und Mit­ar­bei­te­rinnen nicht immer über ihr Handeln und dessen Kon­se­quenzen im Klaren. Man denke hier nur an den unge­schützten E‑Mail-Verkehr. Ver­trau­liche Daten werden oft sorglos über das Internet geschickt und könnten jederzeit von Kri­mi­nellen abge­fangen und miss­bräuchlich ver­wendet werden.

Es zahlt sich gerade lang­fristig für Unter­nehmen aus ver­stärkt in das „Human Capital“ zu inves­tieren: In Form von Security-Schu­­lungen und IT-Know-how Maß­nahmen. Nur Mit­ar­beiter und Mit­ar­bei­te­rinnen, die auch über die Gefahren im Internet infor­miert sind, leben eine ent­spre­chende Sicher­heits­kultur vor und geben diese z.B. im Rahmen von Ein­ar­beitung für neue Mit­ar­beiter an Kol­legen weiter. Eine lang­fristig aus­ge­legte (Sicher­heits-) Schu­lungs­kultur eta­bliert auch mittel-bis lang­fristig eine ent­spre­chende Sicher­heits­kultur, die gelebt wird.

Ziel: eine ein­heit­liche Sicher­heits­kultur basierend auf einem ein­heit­lichen, gewach­senen Sicher­heits­ver­ständnis im Unter­nehmen.

Wie wird eine Sicher­heits­kultur im Unter­nehmen eta­bliert?

Belehrung, sprich mit erho­benem Zei­ge­finger rum­zu­laufen, hilft hier nicht weiter. Die Mit­ar­beiter im Unter­nehmen müssen mit­ge­nommen, aktiv ein­be­zogen werden, damit hier auch ein moti­vie­render Mul­ti­pli­kator Effekt ent­steht, her­vor­ge­rufen durch das Gefühl ein Teil der Sicher­heits­kultur zu sein.

Tur­nus­mäßige Bespre­chungen, die sich mit den fol­genden Fragen aus­ein­an­der­setzen: Wie lassen sich Fehler im Umgang mit sen­siblen Daten ver­meiden? Wie ist die Auf­merk­samkeit für den Daten­schutz und das Sicher­heits­be­wusstsein zu stärken, wie der ver­ant­wor­tungs­volle Umgang mit sen­siblen Daten zu ver­bessern? Die aus den Medien bekannten Vor­fälle haben ihre Ursachen mög­li­cher­weise darin, dass Profis, die ständig mit ver­trau­lichen Daten umgehen, manchmal das Bewusstsein für deren Brisanz ver­lieren. Dieses Bewusstsein immer wieder zu schärfen ist eine wichtige Aufgabe der Awa­­ren­es­s/­­Si­cher­heits­­­kultur-Ent­­­wicklung in Unter­nehmen.

Den heu­tigen Bedro­hungen wirksam zu begegnen erfordert eine umfas­sende Betrachtung aller Akti­vi­täten im Unter­nehmen sowohl orga­ni­sa­to­risch, phy­sisch als auch tech­nisch. Dies bedeutet, dass der Mensch, Maschinen und die not­wen­digen Kom­mu­ni­ka­ti­ons­medien sicher­heits­re­levant harmonieren/zusammenarbeiten müssen.

Wir brauchen eine neue IT-Sicher­heits­­­kultur in der Wirt­schaft, die auf Trans­parenz und Koope­ration setzt”, sagte Bitkom-Prä­­sident Kempf.

IT-Security und Maß­nahmen als Teil der unter­neh­mens­weiten Sicher­heits­kultur

Sicherheit beschränkt sich nicht allein auf die eta­blierten Sicher­heits­maß­nahmen. Viren­schutz, Mal­wa­re­schutz und doppelt abge­si­cherte Firewall-Systeme sind zwar äußerst wichtig, aber reichen in Unter­nehmen nicht aus. Zu einer umfas­senden Sicher­heits­kultur gehört mehr als die Absi­cherung der poten­zi­ellen Gefahren durch Hard- und Software.

Die Ver­mittlung von sicher­heits­re­le­vanten Rah­men­be­din­gungen sowie Richt­linien im Unter­nehmen an die Mit­ar­beiter gehört mit zur Haupt­aufgabe, um eine fun­dierte Sicher­heits­kultur und Ver­ständnis für Gefah­ren­po­ten­ziale im Unter­nehmen zu eta­blieren.

Hier nur ein paar Bei­spiele für Maßnahmen/Festlegungen (ohne Anspruch auf Voll­stän­digkeit und Prio­ri­sierung), die im Rahmen eines schlüs­sigen Sicher­heits­kon­zeptes ver­mittelt werden sollten:

  • Wer hat wie Zutritt (Berech­ti­gungen) zu bestimmten Räumen, in denen sich IT-Ein­­rich­­tungen befinden?
  • Wer hat welche Rechte zum Zugang im Fir­mennetz (vor Ort oder über Funk)?
  • Welche End­geräte dürfen von wem in welcher Form genutzt werden?
  • Wer ist zuständig für die Sicher­heits­richt­linien und deren Durch­setzung und Kon­trolle der Ein­haltung?
  • Wie dürfen Spei­cher­medien (USB-Sticks, Fest­platten, DVD-Lauf­­werke etc.) im Unter­nehmen genutzt werden und von wem?
  • Wer ist für die schnelle Wie­der­her­stellung von aus­ge­fal­lenen Sys­temen zuständig bzw. der Ansprech­partner?

Welche Regeln für Mit­ar­bei­te­rinnnen und Mit­ar­beiter defi­niert werden sollten, zeigt die neue Bei­trags­serie “Ver­hal­tens­regeln zur Infor­ma­ti­ons­si­cherheit für Mit­ar­beiter” von Herrn Muth hier im Blog.

Wer trägt die Ver­ant­wortung für die Sicher­heits­kultur im Unter­nehmen?

Ein schlüs­siges Sicher­heits­konzept sollte vom Unter­neh­mens­ma­nagement mit dem IT-Bereich bestimmt werden und Richt­linien fest­gelegt werden. In regel­mä­ßigen Abständen sollte dies auf den Prüf­stand gestellt und ent­spre­chend sich ändernder Rah­men­be­din­gungen und Vor­komm­nisse ange­passt werden. Für die per­ma­nente Ein­haltung der Richt­linien sollte ein Sicher­heits­be­auf­tragter instal­liert werden, der eine dau­er­hafte Erfolgs­kon­trolle durch­führt und die Unter­neh­mens­leitung dahin­gehend auf dem lau­fenden hält.

Das erfor­der­liche Maß an Sicherheit und dem damit ver­bun­denen Aufwand legt das Management fest, dasdass grund­sätzlich auch das Risiko und die Ver­ant­wortung zu tragen hat. Es trägt damit auch die Hauptlast zur Ent­wicklung einer funk­tio­nie­renden, gelebten Sicher­heits­kultur im Unter­nehmen.

Bild: © Julien Eichinger — Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Mar­keting
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.