Stufenplan für IT-Sicherheit in KMU Betrieben


Erst analysieren, dann handeln

Wer sich sinnvoll gegen Hacker, Cyber-Gangster und Datendiebe absichern will, sollte zunächst einmal den tatsächlichen Schutzbedarf ermitteln.

Gerade KMU scheinen die Ruhe selbst zu haben, wenn es um Gefahren aus dem Internet geht. Dies hat unter anderem eine Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC (Pricewaterhouse Coopers) aus dem Jahr 2015 gezeigt. Trotz der zunehmenden Meldungen über erfolgreiche Hacker-Angriffe und Datendiebstähle hatte rund ein Viertel der befragten Unternehmen bis dahin keine entsprechenden Schutzmassnahmen ergriffen. Wenn doch, dann seien die Sicherheitsprojekte in den meisten Betrieben kaum aufeinander abgestimmt, so PwC. Dabei ist rund die Hälfte der Unternehmen in Der Schweiz einer Studie in den vergangenen zwei Jahren Opfer von digitaler Sabotage, Wirtschaftsspionage oder Datendiebstahl geworden. Kleine und Mittelständische Unternehmen traf es dabei am häufigsten, der Schaden liegt insgesamt bei rund 5.2 Milliarden Franken pro Jahr. Tendenz steigend.

 

Das richtige Mass finden

Ein Umstand ist heute immer noch, dass sich IT-Personal in den Unternehmen nur wenig um IT-Sicherheit kümmert oder gar nicht kompetent genug sind, die Risiken zu erkennen. Und so kommt es meist auch, dass die Opfer gar nicht mitbekommen, dass sich Hacker oder schädliche Programme in ihre IT-Systeme eingenistet haben. Im Durchschnitt dauert es ca. ein Jahr, bis Unternehmen die Angriffe erkennen und Abwehrmassnahmen einleiten. Selbst Grossunternehmen mit eigenen IT-Sicherheits Spezialisten werden immer wieder erfolgreich attackiert.

 

  • Es ist wichtig ein Konzept zu haben und es ist noch wichtiger eine Schutzbedarfsanalyse zu erstellen sowie vorgängig ein Assessment durchzuführen

 

Wichtig zu wissen: Manager und Geschäftsführer handeln grob fahrlässig und haften dafür, wenn sie der IT-Sicherheit keine Beachtung schenken. Kommt die Geschäftsführung als Verantwortliche der Risikovorsorgepflicht nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Geschäftsführer führen.

Für KMU gilt, ein externer Managed Service Provider ist die wirtschaftlichste Variante sowie die sicherste. IT-Sicherheit ist ein Prozess mit Daueraufgabe sowie mit hoher Verantwortung.

 

Der 6 Punkte Plan für effektive Sicherheit, Risikoreduzierung sowie für mehr wirtschaftlichkeit

  1. ITs-Assessment: Analyse des Schutzbedarfs nach Vertraulichkeit, Integrität und Verfügbarkeit, um die wirklich geschäftskritischen Informationen zu definieren.
  2. Bestands-Aufnahme: IT-Systeme, Netze und Endgeräte (Bestandteil des ITs-Assessments)
  3. Massnahmenkatalog aus Punk 1 und 2 entwickeln (Bestandteil des ITs-Assessments)
  4. Budget festlegen und individuelle Massnahmen planen (Bestandteil des ITs-Assessments)
  5. Mitarbeiter sensibilisieren und schulen (Bestandteil des ITs-Assessments)
  6. Verantwortlichkeiten festlegen (Bestandteil des ITs-Assessments)

 

Unabhängig vom 6 Punkte Plan, wie die einzelnen Endgeräte oder Infrastrukturen genutzt werden, braucht jedes Unternehmen einen Basisschutz. Dazu gehört eine Firewall (In Adele Firewall sind sämtliche Bundles kostenlos enthalten) mit zentralem Malware-Schutz (gegen Viren, Spyware etc.) und URL-Filter (Content Filter), sowie entsprechender Schutz auf mobilen Geräten sowie der Einsatz eines Mobilen Device Managements. Insbesondere das Risiko, sich über Mobile Geräte mit Schadsoftware zu infizieren, wird immer noch grob unterschätzt.

 

Setzen Sie auf Standards in der IT-Sicherheit

Sicherheitsstandards wie ISO/IEC 27001, 27005 oder das IT-Grundschutzhanduch bieten die Möglichkeit, eine anerkannte Methodik der IT-Sicherheit in ein Unternehmen zu implementieren und diese, wenn gewünscht, auch zertifizieren zu lassen.

 

IT-Consulting Ebikon hat sich auf die Massnahmen spezialisiert.