In Anbetracht der steigenden Bedrohungslage durch Cyber-Kriminelle, aber auch der hohen Abhängigkeit von der eigenen Informationstechnik, muss man sich die Frage stellen, ob man ausreichend geschützt ist gegen Gefahren wie Hackerangriffe, unfreiwilligen Datenverlust oder Systemausfälle.

Die Beantwortung der Frage „Wo fange ich an?“, ist einfach: Dort wo die IT-Infrastruktur Sicherheitslücken aufweist und bei den Systemen, die dringend für meine wichtigsten Geschäftsprozesse benötigt werden. Der erforderliche Aufwand zur Absicherung der kritischen Geschäftsprozesse ist ganz maßgeblich davon abhängig, wie lange man auf diese verzichten kann, ohne dass ein Schaden eintritt, der kurz oder langfristig zur echten Existenzgefährdung führen könnte. Die Analyse sollte jeder Unternehmer unabhängig von jedem informationssicherheitsrelevanten Sachverhalten durchführen, um sich der Risiken bewusst zu werden und angemessene Entscheidungen treffen zu können.

Im nächsten Schritt sollte eine Prüfung stattfinden, inwiefern die IT-Systeme, von denen die Geschäftsprozesse abhängig sind, ausreichend gegen Angriffe durch Dritte und vor Datenverlust geschützt sind. Man sollte sich immer bewusst sein, dass der Täter nicht zwangsläufig eine fremde Person sein muss, sondern fast die Hälfe der Sicherheitsvorfälle auf das Verhalten der eigenen Mitarbeiter oder Ex-Mitarbeiter zurück zuführen ist. Es gibt eine Vielzahl von wirksamen Maßnahmen zur Steigerung der IT-Sicherheit, wobei leider oftmals an der falschen Stelle eine Übersicherung stattfindet und an anderen wichtigen Positionen hingegen überhaupt nichts unternommen wurde. Ein externer Angreifer bedient sich vorrangig an den Früchten, die am niedrigsten am Baum hängen, daher sollten sie die grundlegendsten Sicherheitsmaßnahmen eingeleitet haben, um so wesentlich an Attraktivität als potentielles Angriffsziel zu verlieren. Ein Fahrplan in unverbindlicher Reihenfolge könnte in etwa wie folgt ausschauen:

1.Datenklassifizierung

Um die Erforderlichkeit von Schutzmaßnahmen bestimmen zu können, muss erst ermittelt werden, was die „Kronjuwelen“ sind, also diejenigen Daten, die den höchsten Wert für das Unternehmen darstellen oder als besonders vertraulich gelten. Die Definition sollte allen Mitarbeitern bekannt sein, so dass diese entsprechend der Wichtigkeit der Daten handeln können.

2.Berechtigungskonzept

Ist der Schutzbedarf bzw. Vertraulichkeitsgrad von Daten bekannt, schließt sich die Frage an, welche Personen auf diese zugreifen sollten. Mitarbeiter sollten grundsätzlich nur solche Informationen einsehen können, die zur Erledigung ihrer Aufgaben notwendig sind. Das Gleiche gilt für den Zugang zu IT-Systemen. Damit die Rechte klar definiert sind, sollte ein Berechtigungskonzept nach Benutzern oder Benutzergruppen erstellt werden.

3.Mitarbeiter

Die stärksten Sicherheitsvorkehrungen sind wirkungslos, wenn gefährliche E-Mails ungeprüft geöffnet werden, USB-Sticks mit Schadenprogrammen an den Rechner angeschlossen werden oder Mitarbeiter ihre Passwörter offen am Arbeitsplatz notiert haben. Oftmals ist es nicht mal die Faulheit, sondern einfach das fehlende Problembewusstsein des Mitarbeiters, dass sein Verhalten eine erhebliche Gefahr für seinen Betrieb darstellt. Die Schulung und Sensibilisierung des Personals sollten daher an erster Stelle stehen und ernsthaft betrieben werden.

4.Sicherung der Daten

Ein Datenverlust ist nur eine Frage der Zeit und wird früher oder später stattfinden. Desto wichtiger ist es, durch ein geeignetes Backup-Konzept abgesichert zu sein, um im Notfall die verlorenen Daten wieder einspielen zu können. Bei der Bestimmung der Sicherungsintervalle muss beachtet werden, über welchen Zeitraum ein Datenverlust hingenommen werden kann und ab wann die Folgen nicht mehr tragbar sind. In regelmäßigen Abständen muss geprüft werden, ob die Daten in angemessener Zeit reproduzierbar sind. Je nach Schutzbedarf der Informationen sollte der Aufbewahrungsort der Datenträger gewählt werden, so kann es etwas sinnvoll sein, ein Bankschließfach anzumieten.

5.Patchmanagement

Beliebtes Angriffsziel für Hacker sind Schwachstellen und Sicherheitslücken in Programmen oder Systemen, die durch Programmierungsfehler des Herstellers entstanden sind. Man sollte daher dringend darauf achten, dass alle aktuellen Updates zeitnah eingespielt werden, indem ein Verantwortlicher für den Vorgang bestimmt oder automatische Installation aktiviert wird. Neue Software oder Systeme sollten zudem immer sofort inventarisiert und in das Patchmanagement aufgenommen werden.

6.Passwortschutz

Der Umgang mit Passwörtern sollte verbindlich geregelt und genau Vorgaben aufgestellt werden. Zu empfehlen ist der Einsatz eines Passwortmanagers, mit dem man sichere Kennwörter automatisch generieren und verwalten kann. IT-Systeme und Anwendungen die besonders vertrauliche Informationen verarbeiten, sollten durch eine Zwei-Faktor-Authentifizierung geschützt werden.

7.Informationssicherheits-Audit und Penetrationstests  

Ob und inwieweit die getroffenen Schutzmaßnahmen angemessen sind, sollte regelmäßig durch ein Audit geprüft werden, indem die Prozesse und IT-Systeme genau untersucht werden. Empfehlenswert ist insbesondere die „Basisprüfung-ITQ“, die auf Ansprüche von kleineren und mittleren Unternehmen zugeschnitten ist und gleich einen Maßnahmenkatalog mitliefert, um Sicherheitslücken zu schließen. Zudem sollte die IT-Infrastruktur einem Penetrationstest unterzogen werden, der einen Hacker-Angriff von intern sowie extern simuliert und das Netzwerk auf Sicherheitsmängel untersucht.

8.Notfallmanagement

Ebenso wie der Datenverlust, wird sich irgendwann ein Notfall ereignen, der sich negativ auf die Funktionalität der IT-Systeme auswirkt. Für den Ernstfall sollte daher ein Notfallplan erstellt werden, wie der Betrieb auf dem schnellsten Weg wiederhergestellt werden kann. Es empfiehlt sich, verschiedene Schadensszenarien durchzuspielen und Überlegungen anzustellen, welche Maßnahmen sinnvoll sind, um etwa den Ausfall von der IT-Infrastruktur oder des Gebäudes zu kompensieren.

9.Antivirenschutz und Firewalls

Eine geeignete Software zum Schutz vor Schadprogrammen sowie Firewalls sind unerlässlich und sollten auf allen IT-Systemen installiert sein. Gerne werden hierbei die mobilen Endgeräte wie Smartphones, Tablets und Laptops vergessen, obwohl diese noch anfälliger sind für Viren und deshalb unbedingt in das Schutzkonzept eingebunden werden sollten. Die Konfiguration muss den Sicherheitsanforderungen des Unternehmens entsprechen und regelmäßig kontrolliert werden.

Selbstverständlich gibt es noch eine Vielzahl an notwendigen Schutzmaßnahmen, um die Sicherheit auf ein angemessenes Niveau anzuheben. Aus den Ergebnissen der Informationssicherheitsaudits sollte daher ein Fahrplan entwickelt werden, um die Sicherheitslücken Stück für Stück zu schließen.