IT-Sicherheit für den Mit­tel­stand – Neuer Ansatz für die Zuordnung pas­sender Handlungsempfehlungen

Es exis­tieren zahl­reiche Mög­lich­keiten, die IT-Sicherheit in Unter­nehmen zu ver­bessern. Mög­liche Maß­nahmen sind bei­spiels­weise die Absi­cherung des Unter­neh­mens­netz­werks, der Schutz zen­traler Systeme wie das CRM-System zur Kun­den­da­ten­pflege oder die Absi­cherung der E‑Mail-Kom­­mu­­ni­­kation. Die Auswahl, welche dieser Maß­nahmen für das jeweilige Unter­nehmen sinnvoll sind bzw. welche Prio­ri­sierung ratsam ist, hängt unter anderem davon ab, welche Unter­neh­mens­be­reiche und zugrun­de­lie­gende Geschäfts­pro­zesse es besonders zu schützen gilt und welche IT-Systeme an diesen beteiligt sind. Der hohen Relevanz der IT-Sicherheit in einer zunehmend ver­schärften Bedro­hungslage durch Cyber­an­griffe sind sich viele Unter­nehmen zwar bewusst, aller­dings sind gerade mit­tel­stän­dische Unter­nehmen häufig ver­un­si­chert, was zu tun ist, oder schrecken vor auf­wen­digen Bera­tungs­pro­jekten, deren Mehrwert nur schwer für die Unter­nehmen abschätzbar ist, auf­grund von Zeit- und Res­sour­cen­mangel zurück.

Neuer leicht­ge­wich­tiger, wert­schöp­fungs­ba­sierter Ansatz

Ein am Fraun­hofer-Institut für Arbeits­wirt­schaft und Orga­ni­sation IAO im Rahmen der „Trans­fer­stelle IT-Sicherheit im Mit­tel­stand (TISIM)“ ent­wi­ckelter Ansatz adres­siert diese Pro­ble­matik und bietet Unter­nehmen die Mög­lichkeit durch die Beant­wortung weniger, nicht-tech­­ni­­scher Fragen in kür­zester Zeit eine schnelle Analyse durch­zu­führen und pas­sende Hand­lungs­emp­feh­lungen zur IT-Sicherheit zu erhalten. Das hierbei ein­ge­setzte Modell ori­en­tiert sich an den Wert­schöp­fungs­ak­ti­vi­täten der Unter­nehmen und befähigt die Unter­nehmen, durch die Bewertung von Scha­dens­sze­narien die eigenen kri­ti­schen Unter­neh­mens­be­reiche zu iden­ti­fi­zieren. Hiermit wird Unter­nehmen eine Hil­fe­stellung auf dem Weg zu mehr IT-Sicherheit geboten. Um zu gewähr­leisten, dass die Vor­ge­hens­weise nut­zer­freundlich ist und die abge­fragten Daten von ver­schie­denen Unter­neh­mens­ver­tretern auch ohne tech­ni­schen Hin­ter­grund sicher beant­wortet werden können, wurden bereits früh­zeitig in der Ent­wicklung die zukünf­tigen Nutzer eingebunden.

Inte­griertes und stetig wei­ter­ent­wi­ckeltes Exper­ten­wissen zur IT-Sicherheit

Die Zuordnung pas­sender Hand­lungs­emp­feh­lungen erfolgt mit Hilfe eines Exper­ten­systems auf Basis eines Bayes’schen Netz­werks, das in Form eines Online-Wer­k­­zeuges umge­setzt wurde. Zum Aufbau der hierzu erfor­der­lichen Wis­sens­basis wurden spe­zielle Werk­zeuge zur Extraktion und Reprä­sen­tation von Exper­ten­wissen zur IT-Sicherheit ent­wi­ckelt, die eine stetige Wei­ter­ent­wicklung der Wis­sens­basis gewährleisten.

Das hier beschriebene Vor­ge­hens­modell ist über die Inter­net­präsenz der Trans­fer­stelle IT-Sicherheit im Mit­tel­stand (www.tisim.de) ab 2021 kos­tenlos nutzbar.