IT Sicherheit für klein- und mittelständische Unternehmen

Warum ein gutes IT-Sicherheitskonzept für Unternehmen wichtig ist

Ein gutes IT-Sicherheitskonzept ermöglicht die Arbeitsfähigkeit von Computern und Mitarbeitern. Es ist der Rote Faden, an dem sich Unternehmen halten können. Er beinhaltet die IT Sicherheitsrichtlinien und beschreibt die Maßnahmen zur Erhaltung der IT-Sicherheit, sowie die Wiederherstellung der IT nach einem Totalausfall.

Je nachdem, wie abhängig ein Unternehmen von der Informationstechnik (IT) ist, muss es sich Gedanken darüber machen, wie groß die Abhängigkeit ist und wie der Schutz ihrer Daten gewährleistet werden kann.

In einem ersten Schritt sollten Unternehmen mindestens die folgenden Fragen beantworten können.

  • Wie kann die Arbeitsfähigkeit der Computer und Mitarbeiter sichergestellt werden?
  • Wie kann die Sicherheit der Daten gewährleistet werden?

In der Öffentlichkeit wird immer wieder über die Gefahren durch Angriffe auf Unternehmensdaten und Unternehmensnetzwerke berichtet. Bei näherer Betrachtung scheinen es immer wieder Sicherheitslücken zu sein, die nicht geschlossen werden, weil Unternehmen sie nicht beachten oder zu lange vernachlässigen.

Die Gründe hierfür sind unterschiedlicher Natur. So kann es sein, dass

  • die Kosten für die Aktualisierung auf aktuelle Betriebssysteme und Anwendungen im Mittelpunkt stehen
  • das Know-how im Bereich IT Sicherheit fehlt
  • keine Ressourcen, Kapazitäten, Manpower für die Einhaltung und Umsetzung verfügbar sind
  • die Bequemlichkeit und Sorglosigkeit für wichtiger gehalten wird

Unabhängig vom Grund, der zur Gefährdung der IT-Sicherheit führt, sollten sich Unternehmen immer darüber bewusst sein, was es bedeutet, wenn Mitarbeiter, Geräte und Maschinen nicht arbeitsfähig sind, die Kommunikation innerhalb und außerhalb des Unternehmens nicht oder nur erschwert möglich ist und Daten/Informationen in unbefugte Hände gelangen.

Wenn Unternehmen die IT-Sicherheit gewährleisten wollen, müssen sie sich ein gutes IT-Sicherheitskonzept erstellen, dass von allen Beteiligten konsequent gelebt und aktuell gehalten wird.

Je nach Unternehmensgröße und Sicherheitsbedarf kann es sehr umfangreich sein. Es sollte an einem sicheren Platz aufgehoben werden, damit es im Notfall für die Beteiligten aus der IT und den Fachabteilungen verfügbar ist.

Um die IT Sicherheit und den Schutz der Daten in Unternehmen sicherzustellen, sind mindestens die folgenden Maßnahmen notwendig.

  • Computer, Betriebssysteme, Anwendungen und das IT-Netzwerk müssen immer aktuell gehalten und überwacht werden.
  • Der Zugriff auf Computer, Netzwerk, Anwendungen und Daten muss unbedingt geschützt werden.
  • Erstellen, umsetzen und testen eines Datensicherungskonzeptes.
  • Eine Sicherheitsrichtlinie für die E-Mail Kommunikation erstellen und die Anwender für die Gefahren sensibilisieren.
  • Ein regelmäßiger Test eines Wiederanlaufs nach einem Totalausfall.

Zugriff auf IT-Netzwerk, Computer, Anwendungen und Daten

Unabhängig davon, ob mit personenbezogenen Daten gearbeitet wird oder nicht. Wenn der Zugang zum Computer oder zu Anwendungen ermöglicht wird, haben unbefugte eine Hürde weniger zu überwinden und können auf Unternehmensdaten zugreifen, diese stehlen, löschen oder manipulieren.

Daher ist es zwingend notwendig, dass Anwender dafür Sorge tragen, dass Computer und Anwendungen für unbefugte nicht zugänglich sind und mit einem wirklich geheimen Passwort geschützt sind.

Um den befugten Zugriff auf Daten im IT-Netzwerk gewährleisten zu können, muss ein Berechtigungskonzept erstellt und konsequent umgesetzt werden. Die allgemeine Sorglosigkeit und falsches Vertrauen in Mitarbeiter und Kollegen ist hier absolut fehl am Platz.

Der Zugang in das Unternehmensnetzwerk von innen und außen muss für Unbefugte mit geeigneten Maßnahmen unterbunden werden.

Datensicherungskonzept

Mit regelmäßigen Datensicherungen schützen sich Unternehmen gegen Datenverlust und können sicherstellen, dass Datenbestände innerhalb kurzer Zeit wieder bereitgestellt werden können.

Je nach Datenvolumen, IT-Netzwerk und individuellen Anforderungen sind regelmäßige Sicherungen notwendig, die in 3 Generationen gelagert werden.

Um sicherzustellen, dass Datenbestände im vorgesehenen Zeitraum bereitgestellt werden können, sollte die Datenbereitstellung unbedingt getestet werden. Nur so kann sichergestellt werden, dass das Sicherungskonzept tragfähig, und die Arbeitsfähigkeit der Computer und Mitarbeiter gewährleistet ist.

Werden die hierfür notwendigen Maßnahmen nicht konsequent durchgeführt, entstehen Sicherheitslücken, die von Angreifern schonungslos ausgenutzt werden und die Überlebensfähigkeit des Unternehmens gefährden.

E-Mail Kommunikation

Ein häufiges Einfallstor für Angreifer sind immer wieder E-Mails. Angreifer nutzen sie gerne, um Schadcode zu hinterlassen, der den Zugang zu Informationen ermöglicht oder die Arbeitsfähigkeit der Computer gefährdet. Hierzu werden gerne E-Mail-Anhänge oder Links auf Internetseiten verwendet.

Der Betreff und die Inhalte der E-Mails werden immer besser formuliert. Die Sorglosigkeit, fehlendes Know-how und Verständnis für mögliche Gefahren beim Öffnen von E-Mails, deren Dateianhänge und Klicks auf die Links ermöglichen Angreifern immer wieder Schadcode zu verbreiten und Unternehmensnetzwerke unsicher zu machen.

Der Schutz eines Virenscanners reicht zur Erkennung des Schadcodes nur bedingt aus, denn es kann sein, dass ihm der aktuelle Schadcode noch nicht bekannt ist, denn auch einem Virenscanner muss der Schadcode erst einmal bekannt sein, um ihn entfernen zu können.

Mit ein paar einfachen Maßnahmen und ein wenig Verständnis für mögliche Angriffsvarianten kann die IT Sicherheit jedoch verbessert, der Rechnerausfall, Datenverlust und Datendiebstahl vermieden werden.

Schützen Sie sich und Ihr Unternehmen vor den ständigen Gefahren und nehmen Sie die IT Sicherheit sehr ernst.

Gerne berate ich Sie und helfe Ihnen bei der Entwicklung und Umsetzung Ihres IT-Sicherheitskonzeptes.