Der große Ratgeber für
IT-Sicherheit in kleinen und mittleren Unternehmen

Was ist IT-Sicherheit?

IT-Sicherheit oder IT-Security soll den Schutz sämtlicher eingesetzter Informationstechnologien (IT) gewährleisten. Unter diesen Begriff der IT-Sicherheit fallen alle Planungen, Maßnahmen und Prüfungen, die Schäden und Bedrohungen von den bestehenden IT-Systemen abhalten. Diese Definition bezieht alle Hard- und Softwaresysteme sowie die Infrastruktur der Rechner und Netzwerke mit ein. IT-Security erstreckt sich somit vom Schutz der einzelnen Datei über Mobilgeräte und Unternehmensnetzwerke bis hin zu ganzen Rechenzentren oder Cloud-Angeboten. Oft begegnet uns auch der Begriff der Cyber-Sicherheit, der der IT-Sicherheit meist gleichgesetzt wird. Denn inzwischen ist fast jedes elektronische Gerät mit dem Internet verbunden und bewegt sich somit im Cyberraum.

Ein Mindestmaß an IT-Sicherheit bedeutet gleichzeitig auch immer eine Risikominimierung für Ihr Unternehmen. Denn wird Ihr IT-System angegriffen und korrumpiert, so kann dies schwerwiegende Folgen haben, beispielsweise:

• Verlust von Unternehmenswerten (Fachwissen),
• Imageschaden,
• Wirtschaftlicher/ Finanzieller Schaden oder
• Rechtliche Konsequenzen.

Somit ist es unabdingbar, dass Sie sich damit beschäftigen, wie Sie IT-Sicherheit in Ihrem Unternehmen konkret umsetzen können und wollen.

Das Unternehmensnetzwerk wird immer mehr mobil. Smartphone oder Tablet sind inzwischen gängige Arbeitsmittel. Doch oftmals verschmelzen auf den Mobilgeräten die private und die geschäftliche Nutzung. Dies kann zu Problemen hinsichtlich IT-Sicherheit und Datenschutz führen. Drei kleine Beispiele dafür:

• Wenn immer mehr Apps geladen werden, wird der Speicherplatz irgendwann knapp und arbeitsrelevante Dienste laufen nicht mehr wie gewünscht.
• Es werden privat datenschutzkritische Apps genutzt, die sich Zugang zu Kontakten verschaffen. Das kann dann auch Geschäftskontakte betreffen.
• Schadsoftware macht sich auf dem Mobiltelefon breit und gefährdet die Sicherheit der geschäftlichen Daten.

Um solche und andere Probleme zu verhindern, empfiehlt es sich ein Mobile Device Management im Unternehmen zu nutzen. Dies ist eine zentrale Verwaltung der Mobilgeräte und erhöht – richtig angewandt – die IT-Sicherheit des Unternehmens. Hier sind ein paar Beispiele, welche Maßnahmen Sie damit ergreifen können:

• Den E-Mail-Server Ihres Unternehmens können nur Mobilgeräte erreichen, die auch über das Mobile Device Management angebunden sind.
• Sie können eine spezielle App installieren, die alle beruflichen E-Mails oder Kontakte beinhaltet. Andere Dienste wie WhatsApp können darauf nicht zugreifen.
• Bei Android-Geräten installieren Sie einen professionellen Antivirenschutz. So verhindern Sie eindringen von Schadsoftware.

• Mehr Funktionalität und Sicherheit für Firmenhandys mit Mobile Device Management.

Die eigenen Daten sicher zu halten ist eine Sache. Doch schon bald stellt sich dann die Frage: Wie kann ich meine Daten sicher an andere übermitteln? Das spielt besonders im Unternehmenskontext eine wichtige Rolle.

Im privaten Bereich setzen heute viele Menschen auf Dropbox, WeTransfer oder WhatsApp. Diese Tools sind beliebt, weil sie vor allem eines sind: einfach und benutzerfreundlich. Daher ist ihre Verbreitung enorm und es werden immense Datenmengen darüber verbreitet. Doch die Hersteller von vielen kostenlosen Anwendungen verdienen ihr Geld nicht mit dem Schutz der Daten. Sie verdienen das Geld mit dem Inhalt. Das sollte jedem bewusst sein, der diese Tools nutzt. Im Unternehmensumfeld sollten Sie in Hinblick auf die Datensicherheit auf professionelle Tools setzen.

Viele Unternehmen nutzen aufgrund der Einfachheit noch den Versand per E-Mail. Hier gibt es verschiedene Verschlüsselungsmethoden für Anhänge oder für die E-Mail selbst. Doch oft scheitert die Umsetzung der Verschlüsselung daran, dass es zu kompliziert ist.
Doch es gibt inzwischen auch einfache professionelle Methoden. Zum Beispiel als Add-in für Outlook. Es greift automatisch ein, ohne Zutun des Benutzers. Auch der Empfänger braucht keine zusätzliche Infrastruktur. Es funktioniert beim Tablet, Smartphone und Laptop. Um die Daten ansehen zu können, ist kein zusätzlicher Download nötig. Es wird lediglich nach dem Versand der Daten ein intuitiver Prozess gestartet.

Je nach Branche gibt es häufiger auch Dateien, die zu groß für den E-Mail-Versand sind. Diese müssen dann über eine Plattform geteilt werden. Es gibt inzwischen professionelle Lösungen, die einen sicheren Datenaustausch über einen Datenraum ermöglichen. Die Datenräume funktionieren so einfach wie Dropbox. Aber mit einem viel höheren Sicherheitsschutz.

Das Tool, das Sie am Ende wählen sollte einfach und intuitiv bedienbar sein, und zwar ohne technische Vorkenntnisse. Nur so können Sie dauerhaft Daten sicher übermitteln.

Informationssicherheit

Informationssicherheit ist die Bezeichnung für den Schutz von Informationen, und zwar sowohl digitaler als auch physischer Natur. Die Ziele der Informationssicherheit liegen in der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Damit können Unternehmen und Organisationen Informationen vor Manipulation oder unbefugtem Zugriff schützen und wirtschaftlichen Schaden abwenden. Geeignete Maßnahmen sind in der internationalen Norm ISO/IEC-27000 geregelt. Um Informationssicherheit zu gewährleisten, tun Unternehmen gut daran, ein Informationssicherheitsmanagementsystems (ISMS) zu etablieren. Die IT-Sicherheit ist dabei nur ein Teilbereich der Informationssicherheit. Denn Informationssicherheit bezieht sich auch auf Daten in Papierform oder Informationen, die nur mündlich weitergegeben werden. Um Informationssicherheit zu garantieren, können Unternehmen im digitalen Bereich Verschlüsselungsfahren, Firewalls oder Methoden zur Authentifizierung einsetzen. Im organisatorischen Bereich zählen Maßnahmen wie Schulungen, Kampagnen zur Sensibilisierung oder Richtlinien zur Dokumentation zu wichtigen Bausteinen.

Datensicherheit

Die Sicherheit von Daten spielt heute für jedes Unternehmen eine entscheidende Rolle. Um Datensicherheit zu garantieren, sind technische Maßnahmen nötig, die dem Schutz der Daten dienen. Ziele der Datensicherheit sind die Sicherheit von Informationen, die Integrität von Daten und die Gewährleistung von Zugriffen. Im Gegensatz zum Datenschutz bezieht die Datensicherheit alle Arten und Daten – und nicht nur die personenbezogenen – ein. Die größten Gefahren für die Datensicherheit stellen technische Mängel, unautorisierte Zugriffe von außen, Kenntnisnahme oder Manipulation dar. Um Datensicherheit zu gewährleisten, können Unternehmen technische und organisatorische Maßnahmen (TOM) nach § 9 Bundesdatenschutzgesetz umsetzen. Die gesetzten Maßnahmen können digitaler Natur sein, wie Virenscanner oder Firewalls. Gängig sind auch physische Maßnahmen. Dazu gehören elektronische Zugangskontrollen, feuerfeste Aktenschränke oder ein Tresor zur Sicherung sensibler und vertraulicher Dokumente.

Datenschutzbeauftragter – was ist das und wer braucht ihn?

Ein Datenschutzbeauftragter (DSB) überwacht die Einhaltung datenschutzrechtlicher Vorschriften in einer Organisation. Er ist direkt der Geschäftsleitung unterstellt und arbeitet weisungsfrei. Die Datenschutzgrundverordnung (DSGVO) regelt in Artikel 37, wer einen Datenschutzbeauftragten braucht. Dies sind Unternehmen und Organisationen, die einer datenverarbeitenden Tätigkeit nachgehen. Es muss immer einen Datenschutzbeauftragten geben, wenn es sich um eine Behörde oder eine öffentliche Stelle handelt. Das ist vor allem der Fall, wenn die Kerntätigkeit eine regelmäßige und systematische Überwachung der Betroffenen erfordert. Auch wenn es sich um besondere Arten von sensiblen, personenbezogenen Daten handelt, ist ein DSB einzusetzen. Zudem benötigen Unternehmen einen Datenschutzbeauftragten, wenn sich mindestens zehn Personen regelmäßig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen. Ebenso ist ein DSB nötig, wenn die personenbezogenen Daten zur Übermittlung oder Markt- und Meinungsforschung verarbeitet werden.

Was ist ein IT-Sicherheitsbeauftragter?

Ein IT-Sicherheitsbeauftragter ist der zentrale Ansprechpartner im Unternehmen in Bezug auf die Sicherheit der IT. Dabei kann es sich um einen internen Mitarbeiter oder einen externen Dienstleister handeln. Seine Hauptaufgabe ist die Beratung der Unternehmensleitung in Bezug auf Themen rund um die IT-Sicherheit. Denn die Verantwortung dafür liegt nicht beim Sicherheitsbeauftragten, sondern bei der Geschäftsleitung. Die Aufgaben des IT-Sicherheitsbeauftragten können unter anderem folgende Punkte umfassen:

• Erstellung von Regeln in Bezug auf die IT-Sicherheit
• Schulungen in Bezug auf IT-Sicherheit
• Information der Unternehmensleitung über den aktuellen Stand der IT-Sicherheit
• Prüfung eines vorhandenen IT-Sicherheitskonzeptes und kontinuierliche Anpassungen an die sich verändernden Rahmenbedingungen.
• Zentraler Ansprechpartner in allen Fragen der IT-Sicherheit, auch für die Mitarbeiter
• Weiterentwicklung der gesamten Organisation hinsichtlich der IT-Sicherheit

Wer braucht einen IT-Sicherheitsbeauftragten?

Gesetzlich dazu verpflichtet, einen IT-Sicherheitsbeauftragten zu benennen, sind nur wenige Unternehmen. Dazu gehören Betreiber von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglicher Telekommunikationsdienste. Darüber hinaus sieht das IT-Sicherheitsgesetz vor, dass Betreiber von kritischer Infrastruktur einen IT-Sicherheitsbeauftragten haben. Dazu zählen Strom- und Wasserversorger, Banken, Versicherungen oder Unternehmen der Lebensmittelbranche. Doch auch für alle anderen Unternehmen ist ein IT-Sicherheitsbeauftragte eine wichtige Position. Er ist die Schnittstelle zwischen Geschäftsleitung, IT-Abteilung und den Mitarbeitern. Jedes Unternehmen, das sich um die Sicherheit seiner IT Gedanken macht, und sie gut geschützt wissen möchte, sollte einen IT-Sicherheitsbeauftragten benennen. Ein IT-Sicherheitsbeauftragter verbessert die IT-Sicherheit und kümmert sich um einheitliche Standards. Denn einerseits werden IT-Landschaften immer komplexer. Andererseits nimmt die Anzahl an Cyberangriffe deutlich zu. Daher ist aktives Handeln wichtiger denn je.

BSI-Grundschutz – was steckt dahinter?

Beim BSI Grundschutz handelt es sich um eine Sammlung von Standards. Sie wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Hauptsitz in Bonn zur Verfügung gestellt. Die Standards sind im IT-Grundschutz-Kompendium zusammengefasst. Es wird einmal pro Jahr überarbeitet und ergänzt. Mit dieser Sammlung erhalten Unternehmen, Behörden und andere Einrichtungen grundlegende Informationen für den Schutz der eigenen Informationstechnik. Die Standards des BSI gehen darauf ein, wie Organisationen die Grundlagen für die Erstellung eines Informationssicherheitsmanagementsystems (ISMS) schaffen. Im BSI Grundschutzkompendium werden Best Practices vorgestellt und Anleitungen für die Umsetzung gegeben. Wer sich an die Vorgaben des BSI hält, kann nach einem standardisierten Vorgehen arbeiten. Es müssen keine Ressourcen mehr für individuelle Analysen eingesetzt werden. Verpflichtend ist der BSI Grundschutz nicht. Er stellt lediglich eine Empfehlung und eine Hilfestellung dar.

• BSI-Lagebericht 2022 – Gefahren aus dem Cyberraum

IT-Sicherheit ist nicht erst seit der DSGVO oder der Pandemie in den Fokus gerückt. Aber sie ist noch wichtiger für Unternehmen geworden. Täglich kommen tausende neue Schadprogramme ins Netz und finden IT-Sicherheitslücken. Jedes Unternehmen egal welcher Größe benötigt daher ein durchdachtes IT-Sicherheitskonzept. Was für Sie kompliziert klingen mag, ist für uns als IT-Dienstleister Bestandteil unserer täglichen Arbeit. Wir unterstützen Sie gerne dabei, die passenden Produkte für Ihre IT-Sicherheit in Ihrem Unternehmen in Köln und Umgebung zusammenzustellen. Firewall oder professioneller Virenscanner sind Grundbestandteile und verhelfen Ihnen gepaart mit professionellen IT-Service zu einem ruhigen Schlaf.