Teil 1/5: IT-Sicherheit in kleinen und mittleren Unternehmen stärken

Kleine Maßnahmen sorgen für frische Impulse und legen das Fundament für mehr Sicherheit

Die Cyber-Sicherheit ist für Unternehmen von größter Bedeutung. Die Zeiten sind turbulent und anspruchsvoll zugleich. Tatsächlich ist das Risiko in kleinen und mittleren Unternehmen (KMU) von einem Cyber-Vorfall betroffen zu werden nicht geringer als bei größeren Unternehmen. Auch wenn Hackerangriffe in ihrer Art und Durchführung stark variieren, lassen sich die Ziele und Motive der Cyberkriminellen eingrenzen. Ein begehrtes Ziel sind natürlich Daten, aber auch Systeme und Geräte liegen im Interesse der Hacker, letztlich mit dem Ziel daraus finanziellen Profit zu schlagen. Doch man kann es den Cyberkriminellen schwerer machen. „Das ist in vielen Unternehmen – gerade im Mittelstand – leichter gesagt als getan“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein, der dabei auf seine in vielen Jahren erworbenen Erfahrungswerte zurückgreift. Problem Nummer eins ist, dass die Ressourcen für die IT-Sicherheit in KMU oftmals begrenzt sind. Die UIMC geht in einer fünfteiligen Reihe auf verschiedene Themen der Informationssicherheit ein. Heute startet sie mit Teil 1.

Zwei Fragen sollte sich jedes Unternehmen stellen, egal welche Größe es hat:

„Wer ist in meinem Unternehmen für das Thema Cybersicherheit verantwortlich?“ Die richtige Antwort in jedem Unternehmen: Die Geschäftsleitung. Aber das ist auch nur die halbe Wahrheit. Eindeutig ist, dass sich Cyber-Sicherheit nicht zum wegdelegieren eignet. Konkret: Es muss bei der Unternehmensleitung ein Bewusstsein für das Thema vorhanden sein; andernfalls muss dies geschaffen werden. Denn wer hier nachlässig ist, indem er das Thema nicht ernst nimmt und zu geringe Ressourcen bereitstellt, der gefährdet die Geschäftsgrundlagen und im schlimmsten Fall die Existenz des Unternehmens. Eine Hackerattacke kann weit mehr als nur das Image des Unternehmens gefährden. Auch wochenlange Produktionsausfälle mit allen damit verbundenen Konsequenzen sind möglich.

Neben dem Bewusstsein in der Unternehmensleitung müssen aber natürlich auch klare Zuständigkeiten für den Betrieb der IT-Systeme und die IT-Sicherheit festgelegt werden und den Zuständigen die notwendige Zeit eingeräumt werden. Auch: Wer ist wann zu beteiligen? Welche Handlungsempfehlungen sind anzuwenden?

Eine weitere Fragestellung lautet für jedes Unternehmen: „Wie gut kennen Sie Ihre IT-Systeme?“ Um sich zielgerichtet vor Cyberkriminellen schützen zu können, ist eine Inventarisierung der im Unternehmen verwendeten Hard- und Software, der bestehenden Datensätze und Verarbeitungsprozesse notwendige Voraussetzung. Dazu gehört auch eine Auflistung aller Zugriffsrechte sowie der IT-Verbindungen mit der Außenwelt. Es muss klar sein, was zu schützen ist. Die im Unternehmen verwendeten und verarbeiteten Daten sollten klassifiziert werden, um das Schutzniveau zielgerichtet anzupassen. Welche Daten sind unverzichtbar und bedürfen eines maximalen Schutzes? Welche Daten besitzen eventuell ein nicht ganz so hohes Schutzinteresse? Diese Fragen sind aus 2 Gründen wichtig: Kritische Daten und Systeme sind angemessen zu schützen; bei weniger wichtigen Daten/Systemen sollten nicht unnötig ressourcenverbrauchende Maßnahmen ergriffen werden. Stichwort „Fokussierung“.

„Die Beantwortung dieser Fragen bringt wichtige Impulse für die Sicherheit des eigenen Unternehmens. Sie bilden die Grundlagen für eigene zielgerichtete Anstrengungen in diesem Bereich und bieten den Einstieg in eine pragmatische Sicherheits-Organisation bzw. ein praktikables Informationssicherheits-Managementsystem“, unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein.