Mittelständische Unternehmen stecken in einem großen Dilemma. Sie sind einerseits verpflichtet, für eine angemessene Sicherheit der Geschäftsdaten zu sorgen, andererseits fehlt ihnen sowohl das Personal als auch teilweise das Verständnis für die Notwendigkeit. In mehr Firmen als vermutet herrscht immer noch die Haltung vor: "Es ist bei uns doch noch nie was passiert und außerdem betrifft uns das doch ohnehin nicht".
Zudem wird Informationssicherheit meist nur als zusätzlicher Kostenfaktor gesehen, da sich der mögliche Gewinn oder die Verbesserung der Umsatzrendite nicht so einfach rechnen lässt. Dass Betriebe durch eine ausreichende Informationssicherheit auch Wettbewerbsvorteile haben, wird oft übersehen. In Summe führt das dazu, dass die Sicherheitsproblematik solange ignoriert wird, bis es zu spät ist und Unternehmen erst nach dem Schaden klüger werden.
Im Folgenden nennt die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS), eine neutrale Selbsthilfeorganisation der deutschen Wirtschaft, zehn Möglichkeiten, wie mittelständische Firmen mit relativ wenig Aufwand bereits eine gewisse Grundsicherheit erreichen können. Allerdings ist immer zu beachten, dass Informationssicherheit ein laufender Prozess und kein abschließbares Projekt ist.
- 10 Tipps für Ihre Sicherheit
Das Thema Sicherheit wird in Firmen oft noch bagatellisiert. Lesen Sie hier, wie Sie das Risiko einfach senken können. - Tipp 1: Führen Sie eine Risikoanalyse durch
Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter. - Tipp 2: Informationssicherheit beginnt von oben
Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden. - Tipp 3: Passwörter und Benutzernamen einrichten
Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon alleine aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum §9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert. - Tipp 4: Virenscanner und Firewall sind ein Muss
Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten werden und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken. - Tipp 5: Daten regelmäßig sichern
Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern. - Tipp 6: Erstellen Sie einen Notfallplan
In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich. - Tipp 7: Private E-Mail- und Web-Nutzung regeln
Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern. - Tipp 8: Mobile Datenträger absichern
Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich. - Tipp 9: Server und Netzwerk schützen
Die physikalische Infrastruktur ihres Unternehmens, das heißt, Server, Netzwerk, etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon alleine aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden. - Tipp 10: Zugriffsregel erleichtern Adminstration
Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, welche die Administration vereinfachen.
Tipp 1: Führen Sie eine Risikoanalyse durch
Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter.
Tipp 2: Informationssicherheit beginnt von oben
Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden. Darüber hinaus haben kryptische Meldungen der Sicherheitssysteme, wie sie heute oft noch üblich sind, eine kontraproduktive Wirkung. Wenn die Mitarbeiter davon ausgehen, die Meldungen der Firewall oder Sicherheitssoftware sowieso nicht zu verstehen oder, dass ihnen bei der Verneinung der jeweiligen Abfrage Ärger droht, ist das ein zweifelhafter Dienst für die Sicherheit.