Wer sich heute als vertrauenswürdiges und zukunftsfähiges Unternehmen am Markt positionieren will, der kommt an dem Thema IT-Sicherheit nicht vorbei. Schon längst sind leistungsfähige und sichere Informations- und Kommunikationssysteme die Voraussetzung für eine funktionierende Wirtschaft geworden. Und während die Chancen der Digitalisierung für Unternehmen enorm sind – die Risiken sind es auch und müssen beherrschbar bleiben. Mit Hilfe eines funktionierenden IT-Sicherheitsmanagements lässt sich die Angriffsfläche für Cyberkriminelle deutlich senken.
Warum ist IT-Sicherheit für Unternehmen so wichtig?
Der Erfolg eines Unternehmens ist nicht nur von wettbewerbsfähigen Produkten und Dienstleistungen abhängig. Wer auf dem Markt bestehen will, der muss außerdem über leistungsfähige und sichere Kommunikationssysteme sowie moderne IT zur Bewältigung von betriebswirtschaftlichen, logistischen und technischen Geschäftsprozessen verfügen. Und seien wir mal ehrlich: ohne eine funktionierende IT läuft in einem Unternehmen nichts mehr.
Auf der anderen Seite steigt die Zahl der IT-Risiken im Zuge der Digitalisierung und Vernetzung stetig an. Ein Blick in die Vergangenheit zeigt, dass die letzten Jahre von IT-Sicherheitsvorfällen geprägt waren wie nie zuvor. Schützen können sich Unternehmen nur, wenn sie die Bedeutung von IT-Sicherheitskonzepten erkennen und danach handeln.
Somit ist IT-Sicherheit eine der Säulen, auf denen die Zukunft Ihres Unternehmens steht. Denn Ihr Know-how (z.B. Konstruktionspläne), Ihre Daten und damit der Fortbestand Ihres Unternehmens sind ohne eine angemessene IT-Sicherheit gefährdet.
Schutzziele der IT-Sicherheit
Erscheint Ihnen der Begriff IT-Sicherheit, oft auch Informationssicherheit genannt, sehr abstrakt und schwer greifbar? Kein Wunder. Schließlich ist Sicherheit ein relativer Begriff und wird je nach Situation und Zusammenhang anders beschrieben. Daher wird IT-Sicherheit im Kontext der Informationstechnologie in sogenannte Schutzziele unterteilt, welche messbar bzw. bewertbar sind.
Unter Schutzzielen bzw. Sicherheitszielen versteht man im Allgemeinen Anforderungen an ein System, die zum Schutz von Gütern erfüllt werden müssen. Die drei Schutzziele der IT-Sicherheit, an denen sich IT-Systeme ausrichten, sind:
Vertraulichkeit
Unter Vertraulichkeit versteht man, dass Daten nur von berechtigten Personen eingesehen und verändert werden dürfen. Sie ist dann gewährleistet, wenn keine unautorisierte Informationsgewinnung möglich ist. Das erreichen Sie beispielsweise durch eine wirksame Verschlüsselung. Selbst wenn die verschlüsselten Daten von unbefugten Dritten abgegriffen werden, können sie sie ohne den richtigen Schlüssel nicht lesen.
Integrität
Integrität oder Unversehrtheit umfasst sowohl die Vollständigkeit und Korrektheit der Daten (Datenintegrität) als auch die richtige Funktionsweise des Systems (Systemintegrität). Daten können somit im Laufe der Verarbeitung oder Übertragung mittels des Systems nicht beschädigt oder durch unbefugte Dritte verändert werden.
Kommt es dennoch zu einer Manipulation, dann darf diese nicht unbemerkt bleiben. Mögliche Manipulationen sind z.B. das
- Verändern von Daten
- Löschen von Daten
- Einfügen von Daten
Es müssen also Techniken vorhanden sein, mit deren Hilfe unautorisierte Manipulationen nachträglich erkennbar sind. Nur so kann verhindert werden, dass diese Daten weiterverarbeitet werden und dadurch Schaden im Unternehmen anrichten.
Verfügbarkeit
Die Verfügbarkeit betrifft sowohl informationstechnische Systeme als auch die darin verarbeiteten Daten. Die Systeme sollen jederzeit betriebsbereit sein, so dass die Berechtigten auf die Daten zugreifen können. Berechnen lässt sich die Verfügbarkeit eines Systems oder Dienstes über das Verhältnis der Zeit, in der das System tatsächlich zur Verfügung stand (sogenannte Betriebszeit) und der vereinbarten Zeit, in der das System zur Verfügung stehen sollte. Dieses Verhältnis wird üblicherweise in Prozent angegeben. Idealzustand sind 100 Prozent, also die jederzeitige Verfügbarkeit.
Im Zusammenhang mit Sicherheit spielt das Schutzziel Verfügbarkeit eine wichtige Rolle, falls Cyberkriminelle das System angreifen oder gar die Kontrolle darüber übernehmen. Denn häufig ist die Verfügbarkeit der Daten dann nicht mehr gewährleistet und es kommt zu Beeinträchtigungen und Störungen in Betriebsabläufen, welche kleine Bereiche oder auch die ganze Institution betreffen können. Die Folgen reichen von Imageverlust über Vertragsstrafen und Umsatzausfälle bis hin zur privaten Haftung durch die Geschäftsführung.
Maßnahmen für IT-Sicherheit
Wie können Unternehmen nun ihre eigene IT-Sicherheit gestalten und sich damit vor unbefugten Zugriffen und Datenmissbrauch schützen? Ein Anfang ist bereits dann getan, wenn bei der digitalen Transformation der Geschäftsmodelle das Thema IT-Sicherheit ganz klar im Mittelpunkt steht.
Anschließend geht es darum, den aktuellen Stand der IT-Sicherheit sowie die IT-Risiken zu analysieren. Nur so lassen sich Maßnahmen zur IT-Sicherheit ableiten. Daher ist es an dieser Stelle auch nicht möglich, allgemein gültige Maßnahmen zur IT-Sicherheit aufzuführen. Vielmehr sollten Sie sich an folgenden Schritten orientieren:
Bestandsaufnahme
Bevor Sie sich auf den Weg zu einer guten IT-Sicherheit machen, sollten Sie sich einen genauen Maßnahmenkatalog erstellen. Dies ist nur dann möglich, wenn Sie wissen, wo Sie aktuell in Sachen IT-Sicherheit stehen und wo Sie hinmöchten.
Eine gute Möglichkeit, um eine Bestandsaufnahme Ihres aktuellen IT-Sicherheitsstands zu erhalten, ist ein IT-Sicherheitscheck. Dieser untersucht verschiedene Bereiche des Unternehmens und hilft dabei, aktuelle IT-Risiken und Sicherheitslücken aufzudecken. Gleichzeitig sehen Sie, welche Maßnahmen Sie bereits gut umgesetzt haben. In der Regel kann Ihr IT-Sicherheitsbeauftragter einen solchen Check durchführen. Ansonsten gibt es externe Dienstleister, die Sie dabei unterstützen können. Ein neutraler Blick von außen kann in diesem Fall sogar sehr hilfreich sein!
Analyse und Planung
Nachdem Sie Ihre IT-Sicherheit genau unter die Lupe genommen haben, sollten Sie die vorhandenen Daten auswerten, um Problemfelder zu lokalisieren und nach Dringlichkeit zu ordnen. Haben Sie im Anschluss einen Überblick über die größten Risiken, dann können Sie Ihr Budget besser planen und überlegen, mit welcher Maßnahme Sie starten.
Ein Tipp von mir: ein guter IT-Sicherheitsbeauftragter wird die Ergebnisse des IT-Sicherheitschecks direkt mit Ihnen gemeinsam analysieren und einen Maßnahmenkatalog zusammenstellen.
Umsetzen der IT-Sicherheitsmaßnahmen
Im nächsten Schritt können die ersten Maßnahmen zur IT-Sicherheit umgesetzt und die dringendsten Problemfelder behandelt werden. Wenn Ihnen dazu intern die nötige Expertise fehlt, dann sollten Sie die Unterstützung durch einen externen IT-Sicherheitsexperten in Betracht ziehen.
Überprüfung der Fortschritte
Wenn Sie die wichtigsten Maßnahmen umgesetzt haben, überprüfen Sie den Erfolg. In den meisten Fällen werden Sie schon erste Fortschritte verzeichnen können. Gegebenenfalls müssen jedoch auch neue oder weitere Maßnahmen eingeleitet werden. Außerdem können Sie damit beginnen, die weniger dringenden Problemfelder anzugehen. So erreichen Sie nach und nach eine umfassende IT-Sicherheit.
Beginnen Sie wieder von vorn
IT-Sicherheit ist ein Prozess! Hinzu kommt, dass durch neue Technologien ständig neues Gefahrenpotenzial entsteht. Um also zukünftige Risiken reaktionsschnell zu minimieren, müssen Sie Ihre IT-Sicherheit in regelmäßigen Abständen überprüfen – z.B. alle 6 Monate (je nach Budget).
