Der große Ratgeber für
IT-Sicherheit in kleinen und mittleren Unternehmen

Schützen Sie sich und Ihr Business. Übernehmen Sie Verantwortung für die IT-Sicherheit in Ihrem Unternehmen. 

Ratgeber für IT-Sicherheit in kleinen und mittleren Unternehmen

IT-Sicherheit ist ein Thema für jede Unternehmensgröße. Angriffe finden inzwischen sehr gezielt statt und richten sich nicht nur gegen Konzerne, sondern auch gegen kleine und mittlere Unternehmen. Es ist rechtlich und wirtschaftlich gesehen, Ihre Pflicht als Geschäftsführer oder Unternehmer, geeignete Maßnahmen für die IT-Sicherheit im Unternehmen zu ergreifen. In unserem Ratgeber für IT-Sicherheit geben wir Ihnen alle praxisrelevanten Basis-Informationen zu dem Thema. Sie erhalten nützliche Hinweise, welche Maßnahmen für IT-Sicherheit in kleinen und mittleren Unternehmen sorgen.

Inhaltsverzeichnis

Was ist IT-Sicherheit?

IT-Sicherheit oder IT-Security soll den Schutz sämtlicher eingesetzter Informationstechnologien (IT) gewährleisten. Unter diesen Begriff der IT-Sicherheit fallen alle Planungen, Maßnahmen und Prüfungen, die Schäden und Bedrohungen von den bestehenden IT-Systemen abhalten. Diese Definition bezieht alle Hard- und Softwaresysteme sowie die Infrastruktur der Rechner und Netzwerke mit ein. IT-Security erstreckt sich somit vom Schutz der einzelnen Datei über Mobilgeräte und Unternehmensnetzwerke bis hin zu ganzen Rechenzentren oder Cloud-Angeboten. Oft begegnet uns auch der Begriff der Cyber-Sicherheit, der der IT-Sicherheit meist gleichgesetzt wird. Denn inzwischen ist fast jedes elektronische Gerät mit dem Internet verbunden und bewegt sich somit im Cyberraum.

Was ist IT-Security?

Die Schutzziele von IT-Sicherheit und Informationssicherheit

IT-Sicherheit umfasst den Schutz von IT-Systemen und Informationen. Daher wird der Begriff auch oft mit Informationssicherheit gleichgesetzt. Informationssicherheit geht eigentlich noch etwas darüber hinaus. Denn sie bezieht auch sämtliche Informationen, die nicht in digitaler Form vorliegen mit ein. In Bezug auf die Informationssicherheit sind Schutzziele definiert worden, die somit auch auf die IT-Sicherheit übertragen werden können. Die drei wichtigsten Schutzziele sind Verfügbarkeit, Vertraulichkeit und Integrität.

Vertraulichkeit als Schutzziel der Informationssicherheit

Vertraulichkeit

Das erste Schutzziel der Informationssicherheit ist die Vertraulichkeit. Dies bedeutet, dass nur explizit befugte Personen oder Personengruppen auf Systeme und Daten zugreifen, sie bearbeiten und verwalten können. Für die Umsetzung dieses Schutzziels muss ein Unternehmen zunächst festlegen, wer in der Organisation auf welche Daten Zugriff haben soll. Anschließend können die Verantwortlichen ein Konzept erarbeiten, wie dies praxistauglich umgesetzt werden soll. Dafür wird in der Regel eine Kombination aus technischen und organisatorischen Maßnahmen eingeführt.

Integrität als Schutzziel der Informationssicherheit

Integrität

Informationssicherheit hat als zweites erklärtes Schutzziel die Integrität. Die Integrität beinhaltet, dass Datenänderungen nachvollziehbar sein müssen. Damit wird sichergestellt, dass Systemdaten richtig und manipulationssicher vorgehalten werden. Jegliche Änderung am Datenbestand, ob absichtlich oder versehentlich, wird dokumentiert und kann nachvollzogen werden. Die Integrität bezieht sich aber nicht nur auf Daten, sondern auch auf die korrekte Funktionsweise von Systemen.

Verfügbarkeit als Schutzziel der Informationssicherheit

Verfügbarkeit

Das dritte Schutzziel der Informationssicherheit ist die Verfügbarkeit. Diese ist wohl für jeden leicht nachvollziehbar. Der Begriff der „Verfügbarkeit“ beschreibt, dass IT-Systeme jederzeit für berechtigte Personen zugänglich sein sollen. Ist dies nicht der Fall, hat das meist schmerzliche Auswirkungen auf den Geschäftsalltag. Fällt beispielsweise der Server im Unternehmen aus, kann zunächst nicht mehr effektiv gearbeitet werden. Es fallen Zeit und Kosten für die Wiederherstellung an. Eventuell kann durch einen Defekt (z.B. durch einen Angriff) des Servers sogar ein Datenverlust einhergehen. Ein Unternehmen muss für solche außergewöhnlichen Situationen auch einen Notfallplan bereithalten.

Wie setze ich IT-Sicherheit in meinem Unternehmen um?

Ein Mindestmaß an IT-Sicherheit bedeutet gleichzeitig auch immer eine Risikominimierung für Ihr Unternehmen. Denn wird Ihr IT-System angegriffen und korrumpiert, so kann dies schwerwiegende Folgen haben, beispielsweise:

  • Verlust von Unternehmenswerten (Fachwissen),
  • Imageschaden,
  • Wirtschaftlicher/ Finanzieller Schaden oder
  • Rechtliche Konsequenzen.

Somit ist es unabdingbar, dass Sie sich damit beschäftigen, wie Sie IT-Sicherheit in Ihrem Unternehmen konkret umsetzen können und wollen.

IT-Sicherheit in KMU umsetzen. Ein Ratgeber.

IT-Sicherheitskonzept

Experten arbeiten am IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept ist eine Leitlinie für Ihr Unternehmen. Es ist die Basis für eine erfolgreiche Planung und Umsetzung von betrieblicher IT-Sicherheit. Darin wird festgehalten, wie IT-Sicherheit im Unternehmen gewährleistet werden soll. Es muss dabei nicht die kleinsten technischen Details klären, sondern vielmehr einen konkreten Rahmen und passende Maßnahmen festlegen. So wird beispielsweise definiert, dass eine Firewall zum Schutz vor Cyberangriffen eingesetzt werden soll. Von welchem Anbieter diese ist und welche konkreten Einstellungen dort vorgenommen werden sollen, wird jedoch nicht beschrieben.

Ein IT-Sicherheitskonzept ist wie ein Werkzeugkasten. Sie legen fest, welche Werkzeuge für ein sinnvolles Arbeiten gebraucht werden. Welche Marke der Hammer aber hat und wie er in der Hand zu halten und anzuwenden ist, ist nicht relevant.

Für die Umsetzung von IT-Sicherheit im Unternehmen können wir die Maßnahmen grob in zwei Kategorien unterteilen:

  • Technische Maßnahmen und
  • organisatorische Maßnahmen.

Technische Maßnahmen

Die technischen Maßnahmen beinhalten alle Schritte, die Sie technisch oder physisch umsetzen können, um IT-Sicherheit herzustellen. Dazu gehören beispielsweise die Inbetriebnahme einer Firewall, Einsatz eines Virenschutzes oder Einrichten von differenzierten Zugriffsberechtigungen durch den Administrator. So setzen Sie technische Grenzen im Unternehmen, die Ihre IT-Sicherheit ohne zusätzliches Mitwirken Ihrer Mitarbeiter auf ein höheres Level heben.

Dies sind einige interessante Artikel zu technischen Maßnahmen:

Organisatorische Maßnahmen

Organisatorische Maßnahmen setzen sich aus konkreten Handlungsanweisungen zusammen. Sie geben den Mitarbeitern im Unternehmen Vorgehensweisen in konkreten Situationen vor. So könnten Sie beispielsweise die Vorgabe machen, dass Passwörter anhand der aktuellen Passwortrichtlinie zu vergeben sind und in einem Passwortmanager gespeichert werden. Oder Sie legen fest, dass jeder Mitarbeiter einmal jährlich an einem Awareness-Training teilnimmt, bei dem er für die Gefahren für die IT-Sicherheit sensibilisiert wird.

Tipps zu organisatorischen Maßnahmen finden Sie in diesen Artikeln:

IT-Sicherheit Beratung

IT Sicherheitsberatung an einem Tisch

IT-Sicherheit ist eine komplexe Aufgabe. Sie betrifft verschieden Bereiche des Unternehmens und unterliegt einem ständigen Wandel. Ständig gibt es neue Bedrohungen für die IT Security genauso wie es technische Weiterentwicklungen gibt.

Damit ein Unternehmen hier ständig auf dem aktuellen Stand ist, braucht es Experten für diese Themen. Dafür greifen sie entweder auf eine IT-Sicherheitsberatung durch externe Dienstleister zurück oder sie haben eigene Spezialisten. Doch selbst, wenn ein Unternehmen eigene IT-Experten beschäftigt, kann ein externer Blick sehr hilfreich sein. Denn die Personen, die dauerhaft vor Ort sind, beschäftigen sich ständig mit der eigenen IT-Umgebung und deren IT-Sicherheit. Ein externer Spezialist für IT-Security hat hingegen in der Regel schon viele verschiedene Unternehmen gesehen. Dadurch kann er neue Sichtweisen und Hinweise einbringen. Eine IT-Beratung zum Thema IT-Sicherheit macht daher für jedes Unternehmen Sinn. So wird Ihre Cyber-Security regelmäßig hinterfragt und auf die Probe gestellt. So wappnen Sie Ihr Unternehmen für mögliche Angriffe durch Cyberkriminelle.

IT-Security bei Mobilgeräten

Das Unternehmensnetzwerk wird immer mehr mobil. Smartphone oder Tablet sind inzwischen gängige Arbeitsmittel. Doch oftmals verschmelzen auf den Mobilgeräten die private und die geschäftliche Nutzung. Dies kann zu Problemen hinsichtlich IT-Sicherheit und Datenschutz führen. Drei kleine Beispiele dafür:

  • Wenn immer mehr Apps geladen werden, wird der Speicherplatz irgendwann knapp und arbeitsrelevante Dienste laufen nicht mehr wie gewünscht.
  • Es werden privat datenschutzkritische Apps genutzt, die sich Zugang zu Kontakten verschaffen. Das kann dann auch Geschäftskontakte betreffen.
  • Schadsoftware macht sich auf dem Mobiltelefon breit und gefährdet die Sicherheit der geschäftlichen Daten.

Um solche und andere Probleme zu verhindern, empfiehlt es sich ein Mobile Device Management im Unternehmen zu nutzen. Dies ist eine zentrale Verwaltung der Mobilgeräte und erhöht – richtig angewandt – die IT-Sicherheit des Unternehmens. Hier sind ein paar Beispiele, welche Maßnahmen Sie damit ergreifen können:

  • Den E-Mail-Server Ihres Unternehmens können nur Mobilgeräte erreichen, die auch über das Mobile Device Management angebunden sind.
  • Sie können eine spezielle App installieren, die alle beruflichen E-Mails oder Kontakte beinhaltet. Andere Dienste wie WhatsApp können darauf nicht zugreifen.
  • Bei Android-Geräten installieren Sie einen professionellen Antivirenschutz. So verhindern Sie eindringen von Schadsoftware.
IT Security Mobilgeräte. Smartphone mit Arbeitsrädchen

Sicherer Datentransfer

Die eigenen Daten sicher zu halten ist eine Sache. Doch schon bald stellt sich dann die Frage: Wie kann ich meine Daten sicher an andere übermitteln? Das spielt besonders im Unternehmenskontext eine wichtige Rolle.

Im privaten Bereich setzen heute viele Menschen auf Dropbox, WeTransfer oder WhatsApp. Diese Tools sind beliebt, weil sie vor allem eines sind: einfach und benutzerfreundlich. Daher ist ihre Verbreitung enorm und es werden immense Datenmengen darüber verbreitet. Doch die Hersteller von vielen kostenlosen Anwendungen verdienen ihr Geld nicht mit dem Schutz der Daten. Sie verdienen das Geld mit dem Inhalt. Das sollte jedem bewusst sein, der diese Tools nutzt. Im Unternehmensumfeld sollten Sie in Hinblick auf die Datensicherheit auf professionelle Tools setzen.

Viele Unternehmen nutzen aufgrund der Einfachheit noch den Versand per E-Mail. Hier gibt es verschiedene Verschlüsselungsmethoden für Anhänge oder für die E-Mail selbst. Doch oft scheitert die Umsetzung der Verschlüsselung daran, dass es zu kompliziert ist.
Doch es gibt inzwischen auch einfache professionelle Methoden. Zum Beispiel als Add-in für Outlook. Es greift automatisch ein, ohne Zutun des Benutzers. Auch der Empfänger braucht keine zusätzliche Infrastruktur. Es funktioniert beim Tablet, Smartphone und Laptop. Um die Daten ansehen zu können, ist kein zusätzlicher Download nötig. Es wird lediglich nach dem Versand der Daten ein intuitiver Prozess gestartet.

Je nach Branche gibt es häufiger auch Dateien, die zu groß für den E-Mail-Versand sind. Diese müssen dann über eine Plattform geteilt werden. Es gibt inzwischen professionelle Lösungen, die einen sicheren Datenaustausch über einen Datenraum ermöglichen. Die Datenräume funktionieren so einfach wie Dropbox. Aber mit einem viel höheren Sicherheitsschutz.

Das Tool, das Sie am Ende wählen sollte einfach und intuitiv bedienbar sein, und zwar ohne technische Vorkenntnisse. Nur so können Sie dauerhaft Daten sicher übermitteln.

Sicherer Datentransfer von Dateien für mehr IT Sicherheit

IT-Sicherheit und Datenschutz

Informationssicherheit als Schloss dargestellt

Informationssicherheit

Informationssicherheit ist die Bezeichnung für den Schutz von Informationen, und zwar sowohl digitaler als auch physischer Natur. Die Ziele der Informationssicherheit liegen in der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Damit können Unternehmen und Organisationen Informationen vor Manipulation oder unbefugtem Zugriff schützen und wirtschaftlichen Schaden abwenden. Geeignete Maßnahmen sind in der internationalen Norm ISO/IEC-27000 geregelt. Um Informationssicherheit zu gewährleisten, tun Unternehmen gut daran, ein Informationssicherheitsmanagementsystems (ISMS) zu etablieren. Die IT-Sicherheit ist dabei nur ein Teilbereich der Informationssicherheit. Denn Informationssicherheit bezieht sich auch auf Daten in Papierform oder Informationen, die nur mündlich weitergegeben werden. Um Informationssicherheit zu garantieren, können Unternehmen im digitalen Bereich Verschlüsselungsfahren, Firewalls oder Methoden zur Authentifizierung einsetzen. Im organisatorischen Bereich zählen Maßnahmen wie Schulungen, Kampagnen zur Sensibilisierung oder Richtlinien zur Dokumentation zu wichtigen Bausteinen.

Datensicherheit bezieht alle Daten ein.

Datensicherheit

Die Sicherheit von Daten spielt heute für jedes Unternehmen eine entscheidende Rolle. Um Datensicherheit zu garantieren, sind technische Maßnahmen nötig, die dem Schutz der Daten dienen. Ziele der Datensicherheit sind die Sicherheit von Informationen, die Integrität von Daten und die Gewährleistung von Zugriffen. Im Gegensatz zum Datenschutz bezieht die Datensicherheit alle Arten und Daten – und nicht nur die personenbezogenen – ein. Die größten Gefahren für die Datensicherheit stellen technische Mängel, unautorisierte Zugriffe von außen, Kenntnisnahme oder Manipulation dar. Um Datensicherheit zu gewährleisten, können Unternehmen technische und organisatorische Maßnahmen (TOM) nach § 9 Bundesdatenschutzgesetz umsetzen. Die gesetzten Maßnahmen können digitaler Natur sein, wie Virenscanner oder Firewalls. Gängig sind auch physische Maßnahmen. Dazu gehören elektronische Zugangskontrollen, feuerfeste Aktenschränke oder ein Tresor zur Sicherung sensibler und vertraulicher Dokumente.

Datenschutzbeauftragter überwacht die Einhaltung der DSGVO

Datenschutzbeauftragter – was ist das und wer braucht ihn?

Ein Datenschutzbeauftragter (DSB) überwacht die Einhaltung datenschutzrechtlicher Vorschriften in einer Organisation. Er ist direkt der Geschäftsleitung unterstellt und arbeitet weisungsfrei. Die Datenschutzgrundverordnung (DSGVO) regelt in Artikel 37, wer einen Datenschutzbeauftragten braucht. Dies sind Unternehmen und Organisationen, die einer datenverarbeitenden Tätigkeit nachgehen. Es muss immer einen Datenschutzbeauftragten geben, wenn es sich um eine Behörde oder eine öffentliche Stelle handelt. Das ist vor allem der Fall, wenn die Kerntätigkeit eine regelmäßige und systematische Überwachung der Betroffenen erfordert. Auch wenn es sich um besondere Arten von sensiblen, personenbezogenen Daten handelt, ist ein DSB einzusetzen. Zudem benötigen Unternehmen einen Datenschutzbeauftragten, wenn sich mindestens zehn Personen regelmäßig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen. Ebenso ist ein DSB nötig, wenn die personenbezogenen Daten zur Übermittlung oder Markt- und Meinungsforschung verarbeitet werden.

IT-Sicherheitsbeauftragter hält die IT-Sicherheit im Unternehmen hoch

Was ist ein IT-Sicherheitsbeauftragter?

Ein IT-Sicherheitsbeauftragter ist der zentrale Ansprechpartner im Unternehmen in Bezug auf die Sicherheit der IT. Dabei kann es sich um einen internen Mitarbeiter oder einen externen Dienstleister handeln. Seine Hauptaufgabe ist die Beratung der Unternehmensleitung in Bezug auf Themen rund um die IT-Sicherheit. Denn die Verantwortung dafür liegt nicht beim Sicherheitsbeauftragten, sondern bei der Geschäftsleitung. Die Aufgaben des IT-Sicherheitsbeauftragten können unter anderem folgende Punkte umfassen:

  • Erstellung von Regeln in Bezug auf die IT-Sicherheit
  • Schulungen in Bezug auf IT-Sicherheit
  • Information der Unternehmensleitung über den aktuellen Stand der IT-Sicherheit
  • Prüfung eines vorhandenen IT-Sicherheitskonzeptes und kontinuierliche Anpassungen an die sich verändernden Rahmenbedingungen.
  • Zentraler Ansprechpartner in allen Fragen der IT-Sicherheit, auch für die Mitarbeiter
  • Weiterentwicklung der gesamten Organisation hinsichtlich der IT-Sicherheit
IT-Sicherheitsgesetz legt fest, wer einen IT-Sicherheitsbeauftragten braucht.

Wer braucht einen IT-Sicherheitsbeauftragten?

Gesetzlich dazu verpflichtet, einen IT-Sicherheitsbeauftragten zu benennen, sind nur wenige Unternehmen. Dazu gehören Betreiber von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglicher Telekommunikationsdienste. Darüber hinaus sieht das IT-Sicherheitsgesetz vor, dass Betreiber von kritischer Infrastruktur einen IT-Sicherheitsbeauftragten haben. Dazu zählen Strom- und Wasserversorger, Banken, Versicherungen oder Unternehmen der Lebensmittelbranche. Doch auch für alle anderen Unternehmen ist ein IT-Sicherheitsbeauftragte eine wichtige Position. Er ist die Schnittstelle zwischen Geschäftsleitung, IT-Abteilung und den Mitarbeitern. Jedes Unternehmen, das sich um die Sicherheit seiner IT Gedanken macht, und sie gut geschützt wissen möchte, sollte einen IT-Sicherheitsbeauftragten benennen. Ein IT-Sicherheitsbeauftragter verbessert die IT-Sicherheit und kümmert sich um einheitliche Standards. Denn einerseits werden IT-Landschaften immer komplexer. Andererseits nimmt die Anzahl an Cyberangriffe deutlich zu. Daher ist aktives Handeln wichtiger denn je.

BSI-Grundschutz – was steckt dahinter?

Beim BSI Grundschutz handelt es sich um eine Sammlung von Standards. Sie wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Hauptsitz in Bonn zur Verfügung gestellt. Die Standards sind im IT-Grundschutz-Kompendium zusammengefasst. Es wird einmal pro Jahr überarbeitet und ergänzt. Mit dieser Sammlung erhalten Unternehmen, Behörden und andere Einrichtungen grundlegende Informationen für den Schutz der eigenen Informationstechnik. Die Standards des BSI gehen darauf ein, wie Organisationen die Grundlagen für die Erstellung eines Informationssicherheitsmanagementsystems (ISMS) schaffen. Im BSI Grundschutzkompendium werden Best Practices vorgestellt und Anleitungen für die Umsetzung gegeben. Wer sich an die Vorgaben des BSI hält, kann nach einem standardisierten Vorgehen arbeiten. Es müssen keine Ressourcen mehr für individuelle Analysen eingesetzt werden. Verpflichtend ist der BSI Grundschutz nicht. Er stellt lediglich eine Empfehlung und eine Hilfestellung dar.

BSI Bonn - Bundesamt für Sicherheit in der Informationstechnik

Ihr Partner für IT-Sicherheit

IT-Sicherheit ist nicht erst seit der DSGVO oder der Pandemie in den Fokus gerückt. Aber sie ist noch wichtiger für Unternehmen geworden. Täglich kommen tausende neue Schadprogramme ins Netz und finden IT-Sicherheitslücken. Jedes Unternehmen egal welcher Größe benötigt daher ein durchdachtes IT-Sicherheitskonzept. Was für Sie kompliziert klingen mag, ist für uns als IT-Dienstleister Bestandteil unserer täglichen Arbeit. Wir unterstützen Sie gerne dabei, die passenden Produkte für Ihre IT-Sicherheit in Ihrem Unternehmen in Köln und Umgebung zusammenzustellen. Firewall oder professioneller Virenscanner sind Grundbestandteile und verhelfen Ihnen gepaart mit professionellen IT-Dienstleistungen zu einem ruhigen Schlaf.

Experte für Cybersecurity als Partner für Unternehmen