Unbequeme Nachfragen von Kunden, näher rückende Umsetzungsfristen gesetzlicher Vorgaben, dramatische Medienberichte zu Cyberangriffen: Von allen Seiten wächst der Druck auf Unternehmen, ihre IT-Sicherheit zu erhöhen. Das "Ob" steht dabei in der Regel gar nicht zur Debatte - zu offensichtlich ist das Bedrohungspotenzial und auch die EU-Datenschutzgrundverordnung (DSGVO/GDPR) nähert sich mit großen Schritten.
Vor allem für kleine und mittlere Unternehmen stellt sich vielmehr die Frage nach dem "Wie". Wer sich etwa nach dem ISO-Standard 27001 auf Basis des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutzes zertifizieren möchte, auf den warten rund 4000 Seiten und über 1000 Maßnahmen. Und selbst der reine ISO-Standard schlägt noch mit etwa 90 Seiten und über 150 Maßnahmen zu Buche. Kein Wunder, dass das viele kleine und mittlere Unternehmen (KMU) abschreckt. Seit einigen Jahren gibt es jedoch Abhilfe: Unter anderem in Form der speziell auf die Anforderungen und finanziellen Möglichkeiten von KMU zugeschnittenen Richtlinien VdS 3473. Diese ermöglichen der Zielgruppe, ein gut strukturiertes Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Hierfür können auch Fördermittel beantragt werden.
Foto: Watchara Ritjan - shutterstock.com
Wie das funktioniert, was die VdS 3473 so attraktiv für KMU macht und worauf Unternehmen hierbei achten müssen, zeigen wir Ihnen am Beispiel der Schoder GmbH, einem metallverarbeitenden Betrieb aus Langen bei Frankfurt am Main. Das Unternehmen hat innerhalb eines Jahres ein ISMS gemäß VdS 3473 implementiert.
Digitale Fertigung erhöht Sicherheitsbedarf
Mit rund 80 Mitarbeitern gehört die Schoder GmbH zu den klassischen KMU. Das Traditionsunternehmen schaut auf rund 90 Jahre Firmengeschichte in der Metallverarbeitung zurück und ist nach wie vor in Familienbesitz. Die Schoder GmbH zeichnet sich durch eine hohe Flexibilität bei der Produktion aus. So können Kunden äußerst kleine Losgrößen und individuelle Produkte fertigen lassen. Hier spielen dem Unternehmen die Möglichkeiten der Digitalisierung in die Hände, denn schließlich lassen sich die meisten Maschinen sinnvoll vernetzen und mit digitalen Fertigungsinformationen speisen.
Zusätzlich zu den allseits bekannten Treibern wie die fallenden Zugangsschranken zur Cyberkriminalität und den neuen Datenschutzanforderungen, rückt in Sachen IT Security das Thema Fertigungsdaten in den Vordergrund. Denn auch die Auftraggeber von Schoder möchten nicht, dass diese Informationen in fremde Hände gelangen. In den vergangenen zehn Jahren hat das Unternehmen an den neuralgischen Punkten bereits den nötigen Basisschutz implementiert. Im Rahmen der eigenen Digitalisierungsstrategie fehlte der Schoder GmbH jedoch noch die organisatorische Klammer, die integrativ wichtige Unternehmensdaten schützt und gleichzeitig mithilft, technische und organisatorische Vorgaben der DSGVO zu erfüllen. Daher bot es sich an, mit Hilfe eines geeigneten Dienstleisters ein ISMS einzuführen.
Volle Kontrolle dank ISMS
In KMU gibt es in der Regel keine auf IT-Sicherheit spezialisierten Mitarbeiter oder gar Teams, sondern meist einen IT-Verantwortlichen, der das Thema - neben vielen anderen - mitbetreut. Entsprechend eingeschränkt sind die Möglichkeiten sich in Eigenregie gegen kontinuierlich wachsende und stetig wandelnde Risiken abzusichern. Ein echtes Regelwerk zur Informationssicherheit sorgt dafür, dass aus einem sich meist in technischen Maßnahmen erschöpfenden Flickenteppich Informationssicherheit wird.
Im Gegensatz zu einer eher losen Ansammlung von Tools und Vorgaben sind bei einem Informationssicherheitsmanagementsystem alle Maßnahmen und Regeln klar und eindeutig für alle Prozessbeteiligten festgelegt. Das bedeutet, dass im ISMS Zuständigkeiten, Regeln, Verfahren, Maßnahmen und Werkzeuge definiert sind, mit deren Hilfe sich die Informationssicherheit steuern, kontrollieren und optimieren lässt. Das Ziel ist es, alle Risiken in Zusammenhang mit der Unternehmens-IT zu erkennen und zu minimieren.
Fördermittel beantragen
Für die Schoder GmbH gab es für die Einführung des Systems die Möglichkeit, beim Land Hessen Fördermittel zu beantragen, wie sie die meisten Bundesländer im Rahmen ihrer jeweiligen Digitalisierungsstrategie anbieten. Die Voraussetzungen und Möglichkeiten variieren je nach Bundesland, doch ein Blick auf die jeweiligen Programme lohnt sich in jedem Fall. Das Institut für Digitale Transformation hat eine Übersicht der Fördermöglichkeiten zahlreicher Bundesländer erstellt.
Mit solchen Fördermitteln lässt sich der finanzielle Aufwand zur Umsetzung einer individuellen Digitalisierungsstrategie für ein mittleres Unternehmen deutlich reduzieren. Häufig sorgen (wie im Fall der Schoder GmbH) beispielsweise hohe Fertigungstiefen mit zahlreichen Akteuren und heterogenen Systemen sowie vielen involvierten Abteilungen für einen höheren Planungs- und Umsetzungsaufwand. Das RKW Hessen bietet unter anderem eine Förderung der "Gewährleistung von IT-Sicherheit" an, wie sie die Schoder GmbH in Anspruch genommen hat. Hier werden bis zu zehn Beratertage pro Jahr und bis zu 50 Prozent des Beratungshonorars gefördert.
Die richtige Methodik
Ein weiterer großer Hebel um den ISMS-Aufwand für KMU finanziell und organisatorisch abzusenken, besteht in der Auswahl der richtigen Methodik - Stichwort VdS-Richtlinien 3473. Diese Methodik ist die wohl praktikabelste Umsetzungsmöglichkeit für ein ISMS in kleinen und mittleren Unternehmen. In den im Jahr 2015 veröffentlichten Richtlinien heißt es:
"Digitalisierung und Vernetzung bergen jedoch auch neue Gefahren, die Unternehmen in ihrem Risikomanagement berücksichtigen müssen. Eine gut organisierte Informationssicherheit vermindert die Anzahl der Schwachstellen, verringert die verbleibenden Risiken und begrenzt dadurch potentielle Schäden für das Unternehmen.(...) Nun hat die VdS mit den vorliegenden Richtlinien ein auf kleine und mittlere Unternehmen (KMU) zugeschnittenes Verfahren für die Etablierung und Aufrechterhaltung einer angemessenen Informationssicherheit entwickelt. (... )Diese Richtlinien legen Mindestanforderungen an die Informationssicherheit fest (...)."
Im Gegensatz zu Regelwerken wie ISO 27001, sind die Richtlinien VdS 3473 also für diese spezielle Zielgruppe konzipiert. Auf lediglich 38 Seiten inklusive Inhaltsverzeichnis und Glossar wird ein komplettes Informationssicherheitsmanagementsystem definiert. Trotz dieses vergleichsweise geringen Umfangs bieten die Richtlinien einen soliden und vor allem praktisch gut umsetzbaren Rahmen. Ein großer Vorteil ist, dass die Umsetzung der VdS 3473 den Grundstein für alle weiteren Regelwerke legt, die sich dann zu einem späteren Zeitpunkt gegebenenfalls ergänzen lassen. Die Richtlinien unterscheiden sich außerdem in Pflichtvorgaben und solche, die lediglich umgesetzt werden "sollten". Damit haben Unternehmen einmal mehr die Möglichkeit, die Umsetzung nach ihren Möglichkeiten und Anforderungen individuell zu gestalten.
Die Einführung eines ISMS macht die Kosten für IT-Sicherheit besser planbar, da sich daraus ein erforderliches Maßnahmen-Budget ergibt. Die Umsetzung der VdS 3473 dient außerdem dazu, ein hohes IT-Security-Niveau glaubhaft gewährleisten zu können. Beispielsweise gegenüber Cyberrisk-Versicherungen, die in einem solchen Fall mit Vergünstigungen bei der Versicherungsprämie locken. Last, but not least kann eine Zertifizierung nach VdS 4373 sogar einen Vorteil gegenüber dem Wettbewerb bedeuten: Wer die Richtlinien umgesetzt hat, garantiert damit ein Mindestniveau an Sicherheit, auf das sich Geschäftspartner verlassen können.
Die VdS bietet in diesem Zusammenhang für Unternehmen sogar einen kostenlosen, webbasierten Quick Check an. Mit dem Fragenkatalog können Unternehmen sich ein erstes Bild über den Status Quo ihrer IT Security verschaffen. Nachdem die knapp 40 Fragen beantwortet sind, zeigt eine Matrix die Risikosituation im Unternehmen auf.
Sofortige Bestandsaufnahme als Startpunkt
Nachdem die Schoder GmbH sich Ende 2016 für die Einführung des ISMS entschieden hatte, startete das Projekt zunächst mit einer umfassenden Analyse und Dokumentation der IT-Sicherheit im Hinblick auf den technischen Stand und die Organisation. Die Entscheidung für die VdS 3473 fiel dann auch vor dem Hintergrund, dass sie sich sehr gut für Unternehmen eignet, welche sich in keine Schublade pressen lassen und viele kleine Besonderheiten aufweisen. Hier ist dann Flexibilität bei der Implementierung das A und O. Im Falle von Schoder bedeutete das zum Beispiel, dass in der Fertigung eine Vielzahl sehr unterschiedlicher Systeme mit höchst unterschiedlichen Kommunikationsanforderungen zu berücksichtigen war. Das liegt auch daran, dass die Maschinen in der Regel deutlich langlebiger sind als die Computersysteme, mit denen sie betrieben werden. Selbst eine CNC-Fräse hat heutzutage eines der gängigen Betriebssysteme. So ist die IT-Landschaft in der Fertigung entsprechend mit Systemen unterschiedlichster Generationen bestückt. Hier und da stolpert man sogar noch über Windows XP oder noch betagtere Betriebssysteme, für die Microsoft bekanntermaßen den Support längst eingestellt hat. Doch die Verfügbarkeit genau solcher Systeme kann unter Umständen für den Produktionsprozess kritisch sein. Es gilt also, hierfür eine Lösung zu finden.
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Für die Schoder GmbH war es wichtig, dass Informationssicherheitsmanagement wirklich gelebt und nicht nur für den "schönen Schein" eingeführt wird. Hier galt es entsprechend, die Kunden, Mitarbeiter und Lieferanten mit ins Boot zu holen, da sie alle an IT-Prozessen teilhaben und damit auch an der Wahrung der Informationssicherheit beteiligt sind. Damit dieser Prozess koordiniert abläuft, ist einer der ersten Schritte bei den VdS 3473 die Bestellung eines Informationssicherheitsbeauftragen (ISB), der den Informationssicherheitsprozess initiiert, gemeinsam mit dem Unternehmen plant, sowie die Umsetzung steuert. Informationssicherheit unterliegt einem kontinuierlichen Verbesserungsprozess, so dass der ISB alle getroffenen Maßnahmen auch einer jährlichen Überprüfung unterziehen muss. Ist das Unternehmen zu klein, um das Gebot der Funktionstrennung (der Kontrollierte soll nicht gleichzeitig der Kontrolleur sein) einzuhalten, bietet sich die Bestellung eines externen Experten an.
Eine weitere Maßnahme zu Beginn des Prozesses besteht in der Zusammenstellung des IT-Sicherheitsteams, in dem bestimmte Unternehmenseinheiten bzw. deren Repräsentanten vertreten sein müssen. Das sind neben dem ISB beispielsweise ein Vertreter der Geschäftsführung, der IT-Verantwortliche und ein Personalvertreter sowie der Datenschutzbeauftragte. Das Team unterstützt den ISB bei organisatorischen Aufgaben wie dem Erstellen einer Informationssicherheits-Leitlinie und aller Richtlinien, aber auch beim Erkennen neuer Gefährdungen. Wegen seines Wissens um die betriebliche Wirklichkeit ist dieses Team gerade für einen externen ISB eine unerlässliche Informationsquelle. Auch über die Umsetzung der beschlossenen Maßnahmen wacht das Informationssicherheitsteam mit.
Leitlinien & Schulung
Die Leitlinie zur Informationssicherheit (IS-Leitlinie) ist das zentrale Dokument für den gesamten Prozess. Hier werden die strategischen Ziele und Verantwortlichkeiten definiert, weiterhin der Geltungsbereich sowie die Konsequenzen bei Nichtbeachtung. Die IS-Leitlinie wird von der Geschäftsführung ganz offiziell beschlossen. So sieht das Ganze bei der Schoder GmbH aus:
Während die IS-Leitlinie den Rahmen definiert, konkretisieren sogenannte "Richtlinien zur Informationssicherheit" (IS-Richtlinien) die einzuhaltenden Regeln, so dass sich daraus tatsächliche Handlungsaufforderungen und Maßnahmen ergeben. Die Richtlinien werden ebenfalls von der Geschäftsführung beschlossen und verpflichten alle Nutzer im jeweiligen Geltungsbereich zu deren Einhaltung. Hierzu gehören im Falle von Schoder beispielsweise auch die Hersteller der eingesetzten Maschinen. Das ist notwendig, da im Rahmen von Wartungsverträgen Mitarbeiter von Herstellerfirmen in das Unternehmen kommen oder die Systeme per Remote-Zugriff warten. Die "Richtlinie für IT-Benutzer der Schoder GmbH" regelt neben generellen Nutzungsbedingungen beispielsweise auch die private Nutzung, den "Informationsfluss bei Abwesenheit", aber auch die Missbrauchskontrolle und die "Konsequenzen bei Nichteinhaltung":
Darüber hinaus sehen die VdS 3473 weitere themenspezifische Richtlinien vor, etwa zur Benutzung mobiler IT-Systeme - Stichworte "Ortung" oder "Verlust und Diebstahl" - aber auch zur "Datensicherung" oder zu "Sicherheitsvorfällen". Damit ist zukünftig für alle sicherheitsrelevanten Aktivitäten Klarheit geschaffen. Die Richtlinien sind also nicht als Gängelung der Mitarbeiter zu verstehen, sondern ermöglichen diesen eine Orientierung. Zudem definieren sie nicht nur Pflichten, sondern auch bestimmte Rechte der Mitarbeiter. So regelt beispielsweise die Richtlinie zu mobilen IT-Systemen bei Schoder auch, dass "...einschlägige Regelungen zu Arbeits- und Pausenzeiten" auch hier zu beachten sind.
Bei der Diskussion um die Passwortrichtlinie wurde deutlich, dass einige Mitarbeiter Informationen zu Aufträgen auf ganz unterschiedlich strukturierten Portalen der betreffenden Kunden abrufen müssen. Teilweise müssen sich in der Praxis hierfür mehrere Mitarbeiter Zugangsdaten teilen. In der Umsetzung des ISMS wurde daher bei diesem Kunden ein serverbasiertes Passwortmanagement eingeführt, das die berühmten Notizzettel unter der Tastatur und ähnliche "Merkhilfen" obsolet macht. Gleichzeitig steigt mit dieser Sicherheitsmaßnahme auch die Effizienz des Arbeitens, denn notwendige Änderungen an Zugangsdaten stehen sofort auch allen anderen Mitarbeitern zur Verfügung.
Nachdem die Leitlinie und die Richtlinien verabschiedet waren, wurden bei Schoder zunächst alle Mitarbeiter geschult und auf das neue Regelwerk verpflichtet und damit frühzeitig "mitgenommen". Die konstruktiven Fragestellungen in diesen Mitarbeiterschulungen ermöglichten dem Informationssicherheitsteam, Maßnahmen zur Informationssicherheit noch passgenauer umsetzen zu können. Dies ist besonders wichtig, wenn das Informationssicherheitsmanagementsystem wirklich "gelebt werden soll". Im nächsten Schritt wurden alle kritischen Systeme, Daten und Prozesse herausgearbeitet. Im Mittelpunkt steht dabei vereinfacht formuliert die Frage: Wo tut ein Systemausfall dem Unternehmen besonders weh? Dies kann im Grunde ein simples Faxgerät sein, wenn dieses im Produktions- oder Vertriebsprozess eine wichtige Rolle spielt und hierfür kein Ersatz bereit steht, der die Funktion übernehmen könnte.
Risiken minimieren
Im Anschluss an die eben erwähnte Kategorisierung von Systemen wurde der Basisschutz für die nicht-kritischen Systeme überprüft und ergänzt, um dann alle Energie auf den Schutz der kritischen Systeme zu verwenden. Dies ist für jedes Unternehmen ein sehr individueller Vorgang. So glich die Betriebssystemlandschaft bei der Schoder GmbH beispielsweise einem "bunten Blumenstrauß" bestehend aus nagelneuen Tablets und bis zu etwa 20 Jahre alten Geräten im Maschinenpark. Auch diese Systeme laufen oftmals problemlos, jedoch sind sie mancherorts - mit oder ohne Wissen der Nutzer - mit dem Internet verbunden. Diese Systeme müssen in jedem Fall gesondert vor Zugriffen und Angriffen von außen geschützt werden.
Bei substanziellen Problemen mit kritischen Altsystemen gibt es zudem in der Regel eine Reihe von Möglichkeiten, angefangen beim Duplizieren des Systems (Hard und/oder Software), dem Betrieb auf einer virtuellen Maschine bis hin zu einem Systemumzug. Sehr häufig steht bei solchen Maßnahmen nicht das pure Informationssicherheitsmanagement, sondern die Produktiverhaltung lange in Betrieb befindlicher Systeme im Vordergrund. Eine intelligente Beratungsleistung geht hier immer über das sture Abarbeiten von Checklisten hinaus und orientiert sich an den unternehmerischen Notwendigkeiten. Damit ist sie auch ein Stück aktives Risikomanagement.
- Winfried Busch, Vorstand Aracom IT Services
„Die Ablösung von monolithisch aufgebauten Legaten stellt ein organisatorisches Problem dar, wenn das Know-how zu den Systemen nicht mehr verfügbar ist. Und so doktern manche Unternehmen mit heißer Nadel an ihren Legacys herum, damit dieses oder jenes Feature noch geht.“ - Donald Fitzgerald, Managing Director Easirun Europa
„Wegen der Angst vor der Abhängigkeit vom Hersteller beobachten wir, dass heute viel mehr über OpenSource und OpenStack gesprochen wird als beispielsweise noch vor zwei Jahren. Ich erwarte, dass das künftig ein Schwerpunkt sein wird.“ - Duke Golden, Key Account Manager bei Kaspersky Labs
„Von Minute Eins an müssen alle Beteiligten die Sicherheit bedenken – vor allem in Traditionsfirmen, wo die Modernisierung durch neuartige Technologien sehr schnell wächst. Fünf Minuten Ausfall in einer Produktionsstraße kosten Millionen. Produktionsanlagen der Zukunft sind sehr gut vernetzt und die Angriffsflächen ebenfalls.“ - Björn Langmack, Geschäftsführer Deloitte Innowake
„Der Druck beim Thema Mainframe kommt nicht nur von den Kosten, sondern auch aus der Mitarbeitersituation. Die Baby-Boomer gehen in Rente und heute will keiner mehr Cobol lernen. Diese Anwendungen sind aber das Rückgrat.“ - Frank Mang, Managing Director bei Accenture
„Die Modernisierung von Legacys hat vor mindestens 30 Jahren angefangen – nur hat man damals noch eine andere Definition benutzt. Legacy heißt heute ja oft ‚weg vom Mainframe‘. Aber inzwischen gibt es eine Menge Legacys, die gar nichts mehr mit dem Mainframe zu tun haben.“ - Markus Stadler, Sales Director DACH & Luxembourg bei Tmaxsoft Deutschland
„Bei unseren Kunden im Bankenbereich sehen wir, wie stark sie durch die anhaltende Niedrigzinsphase unter Druck stehen. Also gehen sie massiv auf ihre Rechenzentren los. Hier können sie bis zu zwei Dritteln an Kosten einsparen.“
Sehr häufig findet sich im Rahmen einer solchen Beratung neben Fertigungsmaschinen hohen Alters auch Software, für die längst nicht nur kein Wartungsvertrag und kein Support mehr erhältlich ist, sondern womöglich auch das Personal fehlt, das solche Software noch warten könnte: sogenannte Legacy-Systeme. Will der Berater hier dem Unternehmen helfen, gilt es eine Lösung für den Betrieb oder gar die Portierung zumindest der angefallenen Daten zu finden. Dies war bei der Schoder GmbH im Produktionsumfeld bei einer Software zur Erstellung für Fertigungsprogramme für Graviermaschinen der Fall. Hier gab die Einführung des ISMS Gelegenheit, einen längst bekannten Weg zur Rettung der Altdatenbestände und zur Abschaltung des Altsystems tatsächlich zu beschreiten.
Sicherheit mit Mehrwert
Bei der Schoder GmbH war der Prozess vom Herbst 2016 bis zum Jahresende 2017 abgeschlossen. Dies entspricht bei einem Unternehmen dieser Größe mit einer etwas komplexeren IT-Landschaft ungefähr der Standardzeit. Mit der Umsetzung nicht allzu lange zu zögern hat noch einen weiteren Grund: In der Regel können beantragte Fördermittel auch nur innerhalb einen Kalenderjahres abgerufen werden.
Ein positiver "Nebeneffekt" bei der Einrichtung eines ISMS ist, dass sich IT-Sicherheit mit einem zusätzlichen Nutzen verbinden lässt. So wurde bei Schoder beispielsweise der oben erwähnte zentrale Verwaltungsmechanismus für Passwörter eingeführt, mit dessen Hilfe Mitarbeiter für gemeinsame Aufgaben eine gemeinsame Passwortdatenbank nutzen. Dies erhöht die Sicherheit und macht dem Prozess zugleich effizienter. Natürlich ist der Gesamtprozess mit der Einführung des Systems nicht abgeschlossen, spricht man doch beim Informationssicherheitsmanagement von einem kontinuierlichen Verbesserungsprozess. Doch der Grundstein ist gelegt, neue Anforderungen rechtzeitig und ressourcenschonend umzusetzen.
Abschließend lässt sich sagen, dass so schlank umsetzbare Richtlinien wie VdS 3473 den Unternehmen die Angst vor der Auseinandersetzung mit der IT Security nehmen kann. So ist das Ganze - auch dank der Fördermöglichkeiten für KMU - mit überschaubarem finanziellem und zeitlichem Aufwand zu realisieren. So wird die IT-Sicherheit zum soliden Fundament der Unternehmensstruktur, statt zum Fass ohne Boden. (fm)