Organisation der IT-Sicherheit

• Bei IT-Sicherheit kommt es vor allem auf den Menschen an.
• Es müssen zwar technische Vorkehrungen getroffen werden.
• Diese allein können die Unternehmens-IT aber nicht hinreichend vor Sicherheitslücken schützen.
• Entscheidend ist die Sensibilisierung der Mitarbeiter und Mitarbeiterinnen.

Das Risiko abschätzen

• IKT-Qualifizierung und Sicherheit sollten von jedem Unternehmen selbst systematisch organisiert werden.
• Der erste und wichtigste Schritt einer gut organisierten IT-Sicherheit ist die Einschätzung des Risikos.
• Nur wer seine Schutzgüter und Abhängigkeiten auf der einen Seite sowie die drohenden Gefahren auf der anderen Seite kennt, kann sich richtig schützen.
• Um den Handlungsbedarf im IT-Sicherheitsbereich zu ermitteln, ist es also oft hilfreich, zunächst einmal die schutzbedürftigen Unternehmensdaten zu identifizieren und herauszufinden, wo sie gespeichert sind.

Mitarbeiterinnen und Mitarbeiter schulen

• Um im nächsten Schritt abzuschätzen, welche Schutzmaßnahmen getroffen werden müssen ist es wichtig, im Unternehmen einen Verantwortlichen oder eine Verantwortliche zu benennen
• Der oder diese sollte sich entweder ohnehin mit Themen der IT-Sicherheit auskennen oder sich einarbeiteten.
• In sehr kleinen Unternehmen kann es auch die Geschäftsführung sein, die diese Rolle selbst übernehmen muss.
• Fehlt im Betrieb die notwendige Expertise, sollte externer Sachverstand aus vertrauenswürdiger Quelle eingeholt werden.
• Mit geschäftsbezogener IKT verhält es sich letztlich wie mit traditionellen Arbeitsgeräten:
• Kein neuer Mitarbeiter würde ohne Einweisung eine neue Maschine bedienen.
• Genauso sollte es auch im Umgang mit IKT sein.
• Neue Beschäftigte müssen die IKT erklärt bekommen, bevor sie diese verwenden.
• Daneben dürfen Unternehmen aber nicht den übrigen Mitarbeiterstamm vergessen, denn Betriebssysteme und Hardwarestandards ändern sich stetig und schnell.
• Firmen sollten daher regelmäßig Weiterbildungs- und Informationsmöglichkeiten zur IT-Sicherheit anbieten oder sogar verpflichtend machen.

Basisschutz – Firewalls, Passwörter und Verschlüsselungen

• Virenscanner und eine Firewall sollte auf Ihren Rechnern installiert sein.
• Wichtig ist eine regelmäßige Aktualisierung von Virenscanner, Firewall und auch allen übrigen Programme der IKT-Systeme
• Immer Updates durchführen, damit eventuelle Sicherheitslücken, zeitnah geschlossen werden.
• Zum Basisschutz gehört auch, sichere Passwörter zu wählen
• Ein sicheres Passwort besteht aus einer zufälligen Kombination von mindestens acht Buchstaben, Ziffern und Sonderzeichen.
• Schließlich wird empfohlen, ein Passwort nicht mehrfach zu verwenden.
• Um sich die Menge der infolge dessen anfallenden Kennwörter zu merken, kann ein Passwort-Manager hilfreich sein.
• Nicht genutzte Geräte, wie PCs, Notebooks, Smartphones und Tablets, sollten grundsätzlich gesperrt werden, selbst wenn die Arbeitspausen nur kurz sind.
• Ein weiteres potentielles Risiko verbirgt sich hinter der Nutzung kabelloser WLAN-Netzwerke.
• Solche Netzwerke müssen jedoch verschlüsselt werden.
• Unternehmen sollten außerdem darauf achten, dass die Bezeichnung Ihres WLANs keine Rückschlüsse auf sie zulässt.
• Zusätzlichen Schutz bietet hier das Abschalten der SSID-Kennung.

Fernzugriff

• Greifen Mitarbeiterinnen und Mitarbeiter von zu Hause oder unterwegs auf das interne Unternehmensnetzwerk zu
• Dies sollte über ein durch VPN- oder SSL-Protokolle verschlüsseltes Netzwerk geschehen.
• Anderenfalls werden Daten über das ungeschützte Internet versandt, was grundsätzlich für jeden einsehbar ist.
• Firmen können die sicheren Verbindungen bei ihren Internetprovidern beantragen.

Weitere Risikien

• Auch die Festplatte eines Rechners kann zum Risiko werden, falls diese verkauft, zur Reparatur gebracht oder unüberlegt entsorgt wird.
• Sogar manuell gelöschte Dateien können in der Regel noch aufgerufen werden.
• Durch die Löschung werden lediglich Informationen über den Speicherort, aber nicht die Inhalte entfernt.
• Dasselbe gilt auch beim Formatieren der Festplatte.
• Zur sicheren Löschung vertraulicher Daten sollten daher spezielle Programme eingesetzt werden.
• Diese überschreiben den nicht mehr benötigten Speicherplatz, so dass die Daten unwiderruflich vom Speichermedium entfernt werden.

Regeln und Notfallpläne im Sicherheitskonzept dokumentieren

• Regeln zum Umgang mit der IKT sollten in einem Sicherheitskonzept schriftlich festgehalten werden.
• Dort finden Mitarbeiterinnen und Mitarbeiter nicht nur Vorgaben zur Nutzung der IKT, sondern auch wie Passwörter gewählt oder mit Daten verfahren werden sollte.
• Ein Notfallplan hilft zusätzlich, Schäden durch Ausfall der IKT, versehentliche Datenlöschung oder eine Infizierung mit Viren, Würmern, Trojanern und anderer Malware zu minimieren
• Schließlich sollte der Zugang zu sensiblen Daten eines Unternehmens, wie persönlichen Daten der Beschäftigten und Kunden oder Geschäftsgeheimnisse, bewusst geregelt werden.
• Es sollte nur die Person auf diese Daten zugreifen können, die diese auch braucht.

Links

• https://www.it-sicherheit-in-der-wirtschaft.de/ITS/Navigation/DE/Themen/Organisation-der-Informationssicherheit/organisation-der-informationssicherheit.html