Dieser Beitrag beschäftigt sich mit den Öffentlichkeitsaktivitäten des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Wenn Sie selbst ein KMU führen oder dort arbeiten, lesen Sie weiter. Es wird interessant. Denn kürzlich hat das BSI 10 praxisnahe Tipps für Unternehmen für den Bereich der IT-Sicherheit veröffentlicht.
Inhalt
IT-Sicherheitstipp 1: Cybersicherheit ist Chefsache.
Vielleicht wiederholen wir uns hier, aber jede Geschäftsführung muss sich mit dem Thema der IT-Sicherheit massiv auseinandersetzen. Das ist nichts, was sich wegdelegieren lässt. Ganz gefährlich kann es werden, wenn die IT bei den Finanzen angesiedelt ist. Das sehen wir (leider) oft. Es kann funktionieren, aber es ist ein Risiko. IT ist nun mal teuer. Wer IT jedoch nur unter dem Gesichtspunkt der Kosten sieht, lebt gefährlich.
IT-Security ist kein günstiges Thema, wenn Sie es professionell angehen möchten. Viele Unternehmen sehen die Notwendigkeit nicht, weil sie noch keine negativen Erfahrungen gemacht haben. Sie glauben, dass sie mit ihren gesetzten Maßnahmen schon gut fahren. Doch in der Realität müssten viele Unternehmen ihr Budget wahrscheinlich verdoppeln, um ein gutes Risikomanagement zu betreiben.
Allerdings lässt sich der Nutzen von guten Maßnahmen nicht einfach beziffern.
Sie können nicht sagen: „Wenn jetzt diese Schadsoftware durchgekommen wäre, dann hätte mich das jetzt so und so viel gekostet.“ Das Blöde ist: „There is no glory in prevention.“
Wir wollen damit nicht sagen, dass grundsätzlich ständig Gefahren lauern. Bei einem hohen Grad an IT-Sicherheit kann es dennoch Angriffe geben. Aber wenn Sie sich das Thema nur alle drei oder fünf Jahre aufs Tablet holen, ist das eine gute Voraussetzung, dass es wirklich einmal knallt.
Deshalb: Vereinbaren Sie mit Ihrem IT-Dienstleister (oder mit uns) ein Strategiegespräch. Das ist ideal, um mal Ihre IT-Sicherheit in Ruhe, ohne unmittelbaren Handlungsdruck zu besprechen.
IT-Sicherheitstipp 2: Cyber-Resilienz erhöhen.
Das bedeutet, in Szenarien zu denken und sich einfach auf bestimmte Vorfälle vorzubereiten und Pläne zu machen. Wichtig ist, im Vorfeld eine Strategie zu erarbeiten, um in kritischen Situationen einfach nur eine Liste abarbeiten zu müssen.
Ein Beispiel: Wenn morgen Ihre komplette Anlage verschlüsselt ist, sollten Sie einen Notfallplan haben. Der liegt idealerweise nicht auf dem verschlüsselten Netzlaufwerk und definiert Folgendes:
- Wen brauche ich jetzt?
- Wen muss ich kontaktieren?
- Wen muss ich mit ins Boot holen?
- Wen muss ich informieren?
- Wie ist der weitere Fahrplan?
- Wie ist die Informationskette?
- Muss ich irgendwo Meldungen abgeben, zum Beispiel beim BSI oder bei der Datenschutzaufsichtsbehörde?
Aktuelle Ereignisse fördern immer wieder neue Szenarien zu Tage. Wir hatten einmal überlegt, dass wir alle wichtigen Adressen und Wegbeschreibungen in einen Ordner packen. Denn, wenn kein Internet da ist, findet man den Weg nicht. Wer hat den heute noch einen Stadtplan?
IT-Sicherheitstipp 3: Netzwerke schützen Netzwerke
Das BSI lebt davon, dass es gemeinsam mit Unternehmen Konzepte und Anforderungen erarbeitet. In der Cyber Security Allianz können sich Unternehmen aktiv in der Entwicklung von Konzepten und in der Kommunikation engagieren.
Nutzen Sie auch Ihre branchenspezifischen Netzwerke. Vielleicht fragen Sie beim nächsten Treffen einfach einmal: Wie schützt Ihr euer Unternehmen denn? Was ist euch schon passiert?
Dieser Austausch hilft. Er benötigt aber vor allem eines: Vertrauen zu den anderen.
IT-Sicherheitstipp 4: Managen Sie Cyber-Risiken
Machen Sie sich vorab Gedanken, was in Ihrem Unternehmen eine potenzielle Sicherheitslücke sein könnte. Legen Sie sich dafür Notfallpläne an und sehen sich die Sachen regelmäßig an.
IT-Sicherheitstipp 5: Schützen Sie Ihre wichtigsten Daten
Sie haben in Ihrem Unternehmen sensible medizinische Daten. Konstruktionszeichnungen Ihres neuen Prototypen oder Patente? Diese wichtigen Daten gilt es gut zu schützen. Wählen Sie dafür die höchste Sicherheitsstufe. Das gilt für eigene Daten und Daten, die Sie von Ihren Kunden bekommen.
IT-Sicherheitstipp 6: Backup, Backup, Backup.
Der Idealzustand im Unternehmen ist ein vollautomatisierter Backup-Prozess. Die Backups gilt es, nicht nur auf einem Medium abzulegen, sondern räumlich und logisch voneinander zu trennen. Ein Backup darf nicht abgreifbar und nicht veränderbar sein und muss im Falle eines Falles verwendbar sein.
Tipp: Testen Sie doch einmal, ob Sie Ihre Systeme vom Backup aus hochfahren können.
IT-Sicherheitstipp 7: Schulung von Mitarbeitern.
Hier gibt es verschiedene Möglichkeiten, z.B. klassische Awareness-Schulungen oder Phishing-Kampagnen, um über Gefahren aus dem Netz aufzuklären. Um den Schulungsbedarf zu erheben, testen manche Unternehmen zuerst, wie sich ihre Mitarbeiter verhalten. Würden sie auf eine gefälschte E-Mail hereinfallen? Und wenn ja kann man gezielt mit Schulungsmaßnahmen nachsteuern.
IT-Sicherheitstipp 8: Patchen, Patchen, Patchen.
Grundsätzlich gilt: Alles, was Sie updaten können, sollten Sie updaten. Und Programme, die sich nicht updaten lassen, sollten Sie strategisch neu beurteilen. Fragen Sie sich: Wie gehe ich in Zukunft mit diesem Sicherheitsrisiko um? Natürlich gibt es immer Ausnahmen, etwa die Applikation, die unbedingt irgendeine spezielle Java-Runtime haben muss. Wir wissen, dass man nicht immer über alles „mit der Update-Rutsche drüber rollen“ kann. Jedoch lohnt es sich vielleicht trotzdem über einen Softwarewechsel nachzudenken.
IT-Sicherheitstipp 9: Machen Sie Verschlüsselung zum Normalfall
Wir wissen, dass es im Hinblick auf die Verschlüsselung in vielen Unternehmen Potenzial gibt. Das gilt für die klassische Datenträgerverschlüsselung von Notebooks oder PCs ebenso wie für den Datentransfer. Für die Übermittlung von sensiblen Informationen an externe Dienstleister, Kunden oder Lieferanten sollte es eine Lösung geben, um die Daten nicht im Klartext durchs Internet zu schicken.
Je nach Branche ist es sinnvoll, dem Datenempfänger zu signalisieren: hier bei mir gibt es ein besonderes Verfahren. Für Branchen wie Notariate, Rechtsanwälte oder Steuerberater ist das besonders wichtig.
IT-Sicherheitstipp 10: Nutzen Sie die Angebote des BSI
Das BSI veröffentlicht laufend wertvolle Informationen. Nutzen Sie die Angebote und holen Sie sich den Input. Abonnieren Sie zum Beispiel den Newsletter des BSI. Dort werden regelmäßig wichtige Informationen veröffentlicht, z.B. über Zero-Day-Lücken und die zugehörigen Patches.
Hier geht es zum Artikel des Bundesamt für Sicherheit in der Informationstechnik (BSI):
Zum Ende noch ein zusätzlicher Bonus-Tipp von uns: Im Unternehmen ist es die Aufgabe des Administrators zu regeln, dass die Geräte alle gut laufen. Doch wie sieht es bei Ihnen zu Hause aus? Wenn Sie mit der Zeit feststellt, dass Ihr PC immer langsamer läuft (z.B. durch Updates oder installierte Software), beweisen Sie Mut und setzen Ihren Rechner einmal frisch auf. Sie müssen nicht laufend neue Geräte kaufen. Oft hilft es, den PC für mehr Performance neu aufzusetzen und frisch zu starten.