DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Aufwand/Nutzen in der IT-Security

Dass sich ein Unter­nehmen um Daten­schutz und Daten­si­cherheit kümmern muss ist unbe­stritten. Jedoch muss die Frage erlaubt sein: „Wieviel Aufwand bringt welchen Nutzen“? Gibt es über­haupt die Antwort?

 

Arbeits­ab­läufe in Unternehmen
Effi­ziente und reibungslose/störungsfreie Arbeits­ab­läufe sind in Unter­nehmen von zen­traler Bedeutung. Oftmals werden Sicher­heits­maß­nahmen in der IT als störend und zeit­in­tensiv wahr­ge­nommen. Für die Geschäfts­leitung stellt sich hierbei die Her­aus­for­derung ein sinn­volles und ange­mes­senes Maß an Daten­schutz und Daten­si­cherheit ein­zu­fordern und trotzdem den Arbeits­ablauf nicht zu gefährden.
Aber…was ist das richtige und ange­messene Ver­hältnis. Diese Frage lässt sich leider so pau­schal nicht beantworten.


Maß­nahmen zur Sicherheitsanalyse
Es gilt zunächst sich das Gefähr­dungs­po­tential, das in seinem Unter­nehmen steckt deutlich zu machen. Anhand von Check­listen lässt sich sehr schnell auf­zeigen, wo Schwachstellen/Angriffsmöglichkeiten im Tages­ge­schäft des Unter­nehmens stecken (eMail-Kom­­mu­­ni­­kation, Einsatz von Laptops, Handys etc.). Hr. Dr. Andro­nache geht hier in seinem blog-Beitrag ent­spre­chend darauf ein:

Diesem Gefähr­dungs­po­tential gilt es nun Maß­nahmen gegen­über­zu­stellen, die es den poten­ti­ellen Angreifern erschweren, Schaden anzu­richten. Wichtig ist, dass durch pro­fes­sio­nelle Beratung (IT-Sicher­heits­­ex­­perte!) Sicher­heits­pro­dukte (Firewall, Anti­vi­ren­pro­gramm etc.) zum Einsatz kommen, die auf die Arbeits­ab­läufe und die Belange des Unter­nehmens ent­spre­chend abge­stimmt sind.

IT-Sicherheit muss „silent“ ablaufen
IT-Sicherheit wird oft als störend emp­funden, weil es Aufwand bedeutet (z.B. die Eingabe von Pass­wörtern oder der Einsatz von Zusatz­hardware etc.). IT-Sicher­heits­­­pro­­dukte müssen immer dann in Erscheinung treten, wenn „Gefahr“ in Verzug ist; d.h. sobald ich z.B. einen PC anschalte und für private oder geschäft­liche Belange nutze, setze ich mich bewusst oder unbe­wusst der Gefahr aus, aus­ge­späht, mani­pu­liert etc. zu werden. Hier sind einfach (e) „Sicher­heits­bar­rieren“ not­wendig, die nur der Anwender kennt und kein anderer „über­winden“ kann bzw. es ihm sehr erschwert wird. Die Geschäfts­leitung muss der Beleg­schaft deutlich machen, dass IT-Sicherheit keine Schikane ist, sondern eine zwin­gende Notwendigkeit.

Prä­vention ist weniger (Kosten-)Aufwand
Dras­tische Bei­spiele in der Cyber­kri­mi­na­lität machen deutlich, wieviel Mehr­aufwand in der Ermittlung des Schadens und Wider­her­stellung der Daten­ver­luste bei der Scha­dens­re­gu­lierung steckt. Die Kosten den Urzu­stand wieder her­zu­stellen über­steigen in den meisten Fällen bei weitem den Kos­ten­aufwand für die Prä­vention. Die Inves­tition in gute IT-Security-Pro­­­dukte ist eine loh­nende Maß­nahme für die Zukunft und den Erhalt des Pro­duk­ti­ons­be­triebes und des Image des Unter­nehmens. Sich ein­ge­stehen zu müssen, zu wenig für die IT-Sicherheit getan zu haben wäre ein Vorwurf, der ver­meidbar ist.
Sie stellen ihr teures Mountain-Bike/­­Rennrad ja sicher auch nicht unab­ge­sperrt am Bahnhof ab, oder?

Fazit:
Es gibt m.E. kein Patent­rezept für den maß­vollen Einsatz von IT-Security-Pro­­­dukten. Sich mit dem Thema aus­ein­an­der­zu­setzen und mit einem Experten den sinn­vollen Einsatz zu besprechen ist zwingend und Aufgabe der Geschäfts­leitung. Gar nichts zu unter­nehmen, weil es ver­meintlich zu auf­wändig ist, wäre der absolut falsche Weg.

Wei­ter­füh­rende Infor­ma­tionen dazu finden Sie im Leit­faden für Mit­ar­beiter und Sicher­heits­mo­nitor 2015.

Bild: © Rainer Sturm/ pixelio.de
 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Marketing
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.