Anzeige

Anzeige

Veranstaltungen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Risk Ahead Sign

„Cyberrisiken und Cyberangriffe sind die größten Bedrohungen für den Erfolg von mittelständischen Unternehmen in der Digitalisierung.“ – So äußern sich im Konsens 900 deutsche Unternehmen, die an der Studie „Gefährdungslage Wirtschaft 2018“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) teilgenommen haben.

70 Prozent dieser Unternehmen sind Opfer von Cyberangriffen geworden, sodass deren Zugang zu IT-Systemen gehackt, Funktionsweisen beeinflusst oder Internet-Auftritte manipuliert worden sind. Jeder zweite Angriff davon führte zu Produktions- bzw. Betriebsausfällen. Für nahezu 100 Prozent der betroffenen Unternehmen fielen nach der Attacke Kosten für die Aufklärung, Wiederherstellung der IT-Systeme oder für den Reputationsaufbau an.

Die befragten Unternehmen führen zwar einfache IT-Schutz-Maßnahmen, wie Anti-Virus-Programme oder Sicherheitsschulungen für Mitarbeiter durch, vollumfassende IT-Sicherheits-Konzepte (SiKo) sind aber nur bei etwa der Hälfte der Unternehmen vorhanden – ein fataler Fehler, denn nur ganzheitlicher IT-Schutz macht Unternehmen auch wirklich sicher.

Für den Mittelstand scheint IT-Sicherheit eher lästig als zwingend notwendig zu sein – aber dieses Risikoverhalten öffnet Cyberkriminellen Tür und Tor für unberechtigte Zugriffe in die Unternehmens-IT und somit auch auf sensible Daten. Geschäftsführern und Entscheidern ist der akute Handlungsbedarf bei Systemlandschaften und Applikationen, die gar nicht oder nur mangelhaft sicher sind, nicht bewusst. Erst ein Gesamtkonzept für die IT-Sicherheit gibt Unternehmen den maximal möglichen Schutz, der effektiv IT-Angriffe abwehrt und nachhaltig Krisensituationen ohne immense Schäden bewältigt.

Das IT-Security-Konzept

Als Maßnahmenpaket deckt ein vollumfängliches IT-Security-Konzept alle Unternehmensbereiche hinsichtlich einer lückenlosen IT-Sicherheit ab – von Anforderungen in der Benutzung vom WLAN-Zugang über die Begebenheiten der Serververwaltung bis zu den einzelnen Anwendern reicht der Schutzbedarf in der IT. Neben der Technik integriert das SiKo auch alle organisatorischen Bereiche eines Unternehmens, die mit der Unternehmens-IT verbunden sind. Mit der Umsetzung des SiKo werden IT-Standards hergestellt, aufrechterhalten und ein reibungsloser Arbeitsablauf gewährleistet.

Was muss ein IT-Sicherheits-Konzept beinhalten?

Im Wesentlichen muss ein SiKo grundlegende Analysen und ihre Ergebnisse enthalten, die den IST-Zustand der Unternehmens-IT beschreiben:

  • Bestandsanalyse: Hier wird festgestellt, welche Assets überhaupt im Unternehmen Schutzbedarf haben. Assets können beispielsweise Mitarbeiter, Dokumente, Zugriffskarten, Lichtanlagen, Serverräume, Hardware-Komponenten oder Daten sein. Es werden alle Wege identifiziert, über die Unternehmensinformationen getauscht und verbreitet werden. Die Analyse umfasst alle unternehmerischen Rahmenbedingungen – also, was genau durch das Sicherheitskonzept geschützt werden soll, welche Prozesse höhere Prioritäten und Schutzbedarf haben.
     
  • Strukturanalyse: Durch die Analyse wird die mehr oder weniger vorhandene Sicherheitspolitik des Unternehmens unter die Lupe genommen und Verantwortliche den Geltungsbereichen zugeordnet. Die Industrie- und Handelskammer bietet Zertifizierungslehrgänge für Mitarbeiter an, die für die Erstellung eines IT-Sicherheits-Konzeptes zuständig sind.

    Insgesamt werden hier alle Details im Geltungsbereich, also alle Assets und digitalen Prozesse, strukturell erfasst. Beispielsweise kann der Bewerbungsprozess innerhalb eines Unternehmens als Teilbereich betrachtet werden, da dieser Komponenten beinhaltet, die aus der IT-Sicherheits-Perspektive reibungslos und sauber dokumentiert werden müssen.
     
  • Schutzbedarfsanalyse: Nachdem alle relevanten Geltungsbereiche und Assets identifiziert und dokumentiert wurden, wird explizit festgeschrieben, welche Objekte elementare Sicherheitsmaßnahmen brauchen. Diese detaillierte Betrachtung schont unternehmerische Ressourcen, weil ausschließlich in Objekte investiert wird, die besonderen Sicherheitsbedarf haben.
     
  • Basis-Sicherheitscheck: Der Check dient der Ermittlung des derzeitigen Sicherheitsniveaus aller identifizierten und sicherheitsbedürftigten Prozesse und Assets. Dabei werden die bereits eingesetzten und durchgeführten Sicherheitsmaßnahmen mit den Empfehlungen für einen Grundschutz* abgeglichen – ein IT-Sicherheits-Experte kann dabei hilfreich zur Seite stehen. Anhand des Schutzbedarfes aus der vorherigen Analyse können nun die Maßnahmen, die perfekt auf die Assets des Unternehmens passen, geplant werden.
     
  • Modellierung: In der Modellierung werden alle Ergebnisse der Analysen veranschaulicht, um sie innerhalb eines Informationsverbundes zu dokumentieren und miteinander in Beziehungen zu setzen. Durch diese Darstellung werden auch Netzwerkschnittstellen zwischen den technischen Systemen, Devices oder Prozessen aufgezeigt, um jede mögliche Schwachstelle sichtbar zu machen. Die Modellierung dient insgesamt der Dokumentation der bisherigen Analysen und sollte stetig, vor allem bei Veränderungen in Geschäftsprozessen, angepasst und aktualisiert werden.

* Als Basis für ein IT-Security-Konzept empfiehlt das BSI einen Grundschutz mit Maßnahmen, die identifiziert und umgesetzt werden sollten. Im Idealfall wehren diese bereits Bedrohungen und potenzielle Schäden ab. Eine Einschätzung des BSI „IT-Grundschutzes“ durch unseren IT-Sicherheitsexperten können Sie hier lesen: „Wir stellen Ihnen den BSI-Grundschutz vor“

Die Lösung: Maßnahmen für einen vollumfassenden IT-Schutz

Aus den Ergebnissen des IT-Security-Konzeptes lässt sich der Realisierungsplan zusammenfassen und operative, technische und organisatorische Maßnahmen für einen vollumfassenden IT-Schutz definieren. Für mittelständische Unternehmen müssen Maßnahmen in der IT-Sicherheit einfach, kostengünstig und realistisch umsetzbar sein – denn IT-Sicherheit ist der Schlüssel für einen reibungslosen unternehmerischen Ablauf!
IT-Sicherheitsexperten unterstützen Sie in der Erarbeitung eines Sicherheitskonzeptes und definieren aus den Erkenntnissen der Analysen vollumfängliche Maßnahmen. Mit sorgfältiger Abwägung der betriebswirtschaftlichen und technischen Vorgaben und Gegebenheiten, die durch die Analysen ermittelt werden, können Ihnen kostenoptimierte Sicherheitslösungen angeboten werden – gut durchdacht und passgenau!

Gibt es einen rechtlichen Rahmen?

Strikte formale Vorgaben für die Erstellung und die Inhalte eines IT-Security-Konzeptes gibt es nicht – die Pflicht ein solches Konzept aufzustellen, ist nur indirekt in der Gesetzgebung verankert:

  • Juristische und kaufmännische Vorgaben erfordern in Unternehmen einen Prozess, praktisch umsetzbar durch ein SiKo, der ein hohes IT-Sicherheitsniveau gewährleisten soll.
     
  • Die DSGVO fordert die Umsetzung der Rechenschaftspflicht und Sicherstellung eines ordnungsgemäßen IT-Betriebes. Es muss nachgewiesen werden können, dass ein Gesamtkonzept zur unternehmenseigenen IT-Sicherheit existiert und gelebt wird.

Die Gesetzgebung verfolgt dadurch die Ziele, IT-Systeme und unternehmerische Infrastrukturen sicher zu machen. Und sie verdeutlicht auch ihre Schutzverantwortung, die sich der Staat auf die Fahne schreibt – aber auch, dass ein rein freiwilliger Ansatz bei der Herstellung von IT-Sicherheit nicht zum nötigen Engagement in der Wirtschaft führt und nicht flächendeckend in allen sicherheitsrelevanten Bereichen wirkt.

http://m2solutions.de
 

Neuste Artikel

Tb W246 H150 Crop Int 0df0170134ea655be38d7bc66a9a7ec1

Das neue plentymarkets Produkt für große Händler

Nach der Einführung von plentymarkets PLUS schafft die plentysystems AG mit ENTERPRISE nun ein Produkt für große Händler. Neben dem Geschäftsmodell ist die Bereitstellung in einer eigenen Cloud-Umgebung das primäre Unterscheidungsmerkmal.
Hacker Spam

Malware-Angriffswelle: Was Sie über Emotet wissen sollten

Schon seit längerem sind Emotet-Angriffe das Werkzeug der Wahl von Cyberkriminellen, die über Spam-Mails Erpressungen im großen Stil automatisieren. In Deutschland warnt das BSI vor der tückischen Schadsoftware – zu den Opfern der gehäuften Angriffe zählten…
Krankenhaus Security

Krankenhäuser unterschätzen IT-Schwachstellen

Etliche Hackerangriffe zeigen, dass viele deutsche Krankenhäuser ihre IT-Systeme noch nicht ausreichend vor Cyber-Attacken schützen. Die Security Division von NTT Ltd., einem weltweiten Technologie-Dienstleister, beschreibt die wichtigsten Gründe für das hohe…
Junge Mitarbeiter

Arbeitsplatz-Konzepte 2020: Vier Trends fürs Büro

Viele Unternehmen führen neue Ansätze zur Bürogestaltung ein, um ihre Attraktivität als Arbeitgeber und das Wohlbefinden sowie die Produktivität der Belegschaft zu steigern. Das macht Sinn, denn Arbeitnehmer fordern heute mehr Komfort am Arbeitsplatz.
Digitale Welt

valantic visiondays 2020 – Inspire your future

valantic, die Digital-Solutions-, Consulting- und Softwaregesellschaft mit Schwerpunkt auf Digitalisierung, lädt am 25. und 26. März 2020 zu den visiondays 2020 in Hamburg. Der Innovationskongress bietet ein branchenübergreifendes Netzwerk mit praxisnahen…
Gerald Beuchelt

Schützt endlich eure Daten!

Daten sind das höchste Gut in Unternehmen. Länderregulierungen wie die DSGVO schützen diese und haben bereits zu höherer Datensicherheit wie der Einführung der Multifaktoren Authentifizierung geführt. Aber noch immer sind die Logins für 80 Prozent der…

Anzeige

GRID LIST
Rechenzentrum

Deutsche Rechenzentren haben höchste Stromkosten in Europa

Rechenzentren in Deutschland müssen europaweit am meisten für Strom bezahlen. Die Kosten…
KI

KI und Ethik - Von Wunsch und Wirklichkeit

Künstliche Intelligenz (KI) verändert die Unternehmenswelt. Dem stimmen die meisten der…
SAP

S/4HANA-Transformation: Chancen nutzen und Hürden überwinden

Eine kürzlich veröffentlichte Lünendonk-Studie zeigt, dass erst wenige Unternehmen eine…
Datenlecks

Schließen von Datenlecks dauert immer noch Wochen

Die Kosten für das Erkennen und Schließen von Schwachstellen in der Cyber-Sicherheit…
Phishing

Fast jedes Unternehmen mit BEC- und Spear-Phishing-Angriffen konfrontiert

Proofpoint stellt den sechsten jährlichen State-of-the-Phish-Bericht vor. Die Studie…
Cloud

Cloud-Komplexität übersteigt menschliche Fähigkeiten

Dynatrace, die „Software Intelligence Company“, hat die Ergebnisse einer weltweiten…