Nachholbedarf bei KMUs
Systemintegratoren können KMUs mit einer fundierten Bedürfnisabklärung helfen, Bewusstsein für die Datensicherheit im Unternehmensnetzwerk zu schaffen und damit gutes Geld verdienen.
Während das Bewusstsein für Datensicherheit in Unternehmen mit einer professionell geführten IT-Abteilung durchaus vorhanden ist, fehlt dieses in vielen KMUs. Versäumnisse bei der Datensicherheit können aber teure Folgen haben. Systemintegratoren und IT-Fachhändler, deren Kunden aus dem KMU-Segment stammen, tun gut daran, bei ihren Kunden das Bewusstsein für den sicheren Umgang mit Geschäftsdaten zu schaffen. Einmal abgesehen davon, dass hier gerade KMUs einen enormen Nachholbedarf in haben, ist das Geschäft mit der (Daten-)Sicherheit ein lohnendes – und zukunftssicher obendrein.
Wer richtig beraten und erfolgreich verkaufen will, muss allerdings bei seinen Kunden als Erstes die richtigen Fragen stellen, also eine Bedürfnisabklärung vornehmen. Ein Konzept zur Datensicherheit muss an den Wert der zu schützenden Daten und an die Grösse des Unternehmens angepasst sein. Zu viele Massnahmen sind für KMUs zu teuer und können zu Akzeptanzproblemen bei den Anwendern, also den Mitarbeitenden führen. Zu lasche Massnahmen lassen Sicherheitslücken offen.
Aufpassen und wachsam sein
Ein einfaches Konzept, das für Kleinstunternehmen oder Privatpersonen taugt, empfiehlt das Informatikstrategieorgan Bund ISB auf seiner Website: Daten sichern (Backup), Virenschutz durch geeignete Software, Firewall-Überwachung des Internetdatenverkehrs, alle Software stets aktuell halten (inkl. Sicherheitspatches bei Betriebssystemen) und nicht zu vergessen: aufpassen und wachsam sein.
Komplexere IT-Systeme im Client-Server- Modell mit mehreren Arbeitsplätzen, Storage, Remotezugriff etc. erfordern natürlich eine etwas ausgefeiltere Sicherheitsstrategie. Die Bedrohungen sind vielschichtig und ihnen muss mit ebenso vielschichtigen Abwehrmassnahmen begegnet werden. Zudem ist zu berücksichtigen, dass zum Beispiel ein Anwaltsbüro oder eine medizinische Praxis ein anderes Datensicherheitskonzept benötigt als ein Maler.
Risikoanalyse zuerst
Bevor aber Massnahmen zur Sicherung von IT-Systemen getroffen werden können, muss eine Risikoanalyse gemacht werden. Der falsche Weg ist es, einfach nur schützende Hard- und Software in den Serverraum zu stellen bzw. zu installieren. Das ist kein Ersatz für eine gründliche Risikoanalyse. Denn eine solche berücksichtigt jegliche Gefahren, denen ein Computernetzwerk und die darin enthaltenen Unternehmensdaten ausgesetzt sein können.
Dazu gehören die baulichen Gegebenheiten in den Büroräumlichkeiten und im Serverraum, Bedrohungen von aussen durch Hackerangriffe bzw. Cyberkriminalität jeglicher Ausprägung und Bedrohungen durch Handlungen von Mitarbeitenden. Weiter müssen je nach Sensibilität der Daten zusätzliche Sicherheitsbestimmungen und gesetzliche Vorgaben (z. B. Datenschutz) beachtet werden.
Unfreiwillige Helfer
Gefährdete und damit schützenswerte Unternehmensdaten sind etwa Kosten- und Preiskalkulationen, Finanz- und Buchhaltungsdaten, Vertragsdaten, Personaldaten, Kundendaten und Kundenstamm, Rechte und Entwicklungs-Know-how.
Wer nun glaubt, die grössten Bedrohungen für das Unternehmensnetzwerk und die darin gelagerten Daten würden vor allem ausserhalb des Unternehmens lauern, irrt. Natürlich sind Unternehmensnetzwerke Ziel von externen Angreifern, die versuchen via Malware, Spoofing, Phishing, Pharming oder Vishing, Man-in-the-Middle-Angriffen (auch Snarfing) und Social Engineering Zugang zu Unternehmensdaten zu erlangen, diese zu manipulieren, sie zu zerstören etc. Die Absichten dahinter sind Sabotage, Spionage, Betrug oder Diebstahl.
Obwohl diese Angriffe von aussen initiiert werden, braucht es für den Erfolg eines solchen Angriffs oft die "Mithilfe" eines Insiders, etwa eines Mitarbeiters, der in den seltensten Fällen böswillig, sondern meistens durch Unachtsamkeit oder im guten Glauben, Unternehmensinformationen preisgibt oder Schadsoftware einschleppt.
Ganzheitliches Konzept zur Datensicherheit
Zu einem Konzept für die Datensicherheit gehört natürlich immer die regelmässige Sicherung der Unternehmensdaten auf einem räumlich vom Unternehmensnetz trennbaren bzw. getrennten Speichermedium. Zugriffskontrollen, Verschlüsselung der Daten, die Sicherheit der verarbeitenden Systeme sind weitere Massnahmen, die umgesetzt werden müssen. Um Daten zu schützen, müssen diese zudem klassifiziert werden, und für diese Schutzklassen sind Regeln nötig. Die Daten müssen ausserdem geschützt werden, egal wo sie sich befinden (auch auf Festplatten mobiler Geräte). Die Nutzung von Speichermedien muss überwacht werden. Es dürfen etwa nur geschützte und autorisierte USB-Sticks an Geschäfts-PCs verwendet werden. Für die Benutzung von Schnittstellen und externen Speichermedien wie USB, Firewire, Bluetooth, WLAN, DVD/CD-Brenner muss es zudem klare Nutzungsszenarien geben, die mit technischen Massnahmen durchgesetzt werden müssen.
Technische Massnahmen sind aber nur ein Teil eines Datensicherheitskonzepts. Ebenso wichtig sind personelle und organisatorische Massnahmen. Dazu gehört auch, dass das Bewusstsein für die Notwendigkeit eines Datensicherheitskonzepts auf Geschäftsleitungsebene geschaffen werden muss. Kompetenzen, Rechte, Pflichten und auch Verbote müssen den Administratoren und IT-Nutzern bekannt sein und in schriftlicher Form vorliegen.
Fazit
Datensicherheit umfasst gesetzliche und organisatorische Bestimmungen und technische Massnahmen, mit denen die unberechtigte Speicherung, Verarbeitung und Weitergabe von Unternehmensdaten verhindert werden sollen. Eine griffige Strategie, Unternehmensdaten sicher zu verwalten, beinhaltet immer, dass Risiken genau identifiziert werden. Umweltrisiken, Risiken in der Unternehmensorganisation, Risiken im Zusammenhang mit Datenverlust und -manipulation, das Risiko eines Systemausfalls sowie der Einbezug des Faktors Mensch sind für eine ganzheitliche IT-Sicherheitsberatung unerlässlich.
Datensicherheit im KMU - Bedürfnisabklärung
1. Gibt es im Unternehmen verbindliche Richtlinien zur Nutzung der IT durch die Mitarbeiter und wird die Umsetzung und Einhaltung dieser Richtlinien regelmässig überprüft?
2. Gibt es genaue Anweisungen für Administratoren im Umgang mit Unternehmensdaten?
3. Gibt es eine Firewall?
a. Werden Internetnutzung und der E-Mail-Verkehr überwacht?
b. Werden Protokolle und Logdateien ausgewertet?
4. Werden eingeschränkte Benutzerrechte verwendet?
5. Ist die gesamte eingesetzte Software aktuell?
6. Sind aktive Inhalte wie Makros, Plug-ins etc. deaktiviert?
7. Werden für die Datensicherheit Hardware- und Softwareprodukte verschiedener Hersteller eingesetzt (Diversifikation)?
8. Werden sensible Daten verschlüsselt?
9. Gibt es einen Virenschutz?
10. Gibt es ein regelmässiges Back-up?
a. Welche Daten werden gesichert?
b. Wann wird gesichert?
c. Wer ist für die Sicherung verantwortlich?
d. Wie werden die Daten gesichert?
e. Wohin werden die Daten gesichert?
f. Wo werden Sicherungs medien aufbewahrt?
g. Gibt es ein Desaster-Recovery-Szenario?
Kanton Zürich will zum KI-Innovationsstandort werden
Schweizer CISOs fühlen sich in der Führungsetage nicht verstanden
Personalisierte Medizin mit bestmöglichem Datenschutz
Update: Amazon bestreitet Datenleck
Wo Barrierefreiheit erlebt und gemeinsam gefördert werden soll
EU-Kommission eröffnet Verfahren gegen Meta
Dominik Strub-Tiedt wird Partner bei Sieber & Partners
Youtuber basteln Destillanzug genau wie in Dune ... naja, fast
KI bietet Übersicht über Produktbewertungen
