Artikel erschienen am 08.01.2025
IT & Digitalisierung | IT & Digitalisierung 2025
E-Paper

IT-Sicherheit

– ein Thema für Geschäftsführer

Von Dipl.-Ing. Holger Kämmerer, Braunschweig
Holger Kämmerer
Dipl.-Ing. Holger Kämmerer
Geschäftsführer

Foto: Adobe Stock/ yutthana

Ihre Firmenwagen kommen regelmäßig zum TÜV und zur Inspektion? Ich denke schon – aber wie sieht das bei Ihrer IT aus? Wird Ihre IT regelmäßig überprüft? Und wie gut sind Sie als Führungskraft über den Zustand informiert?

  • Ist die Unternehmens-IT angemessen geschützt?
  • Sind die Systeme auf einem aktuellen und sicheren Stand?
  • Was passiert im Problemfall wie Angriff, Systemausfall oder Datenverlust?
  • Sind entsprechende Sicherheitsrichtlinien vorhanden und die Mitarbeiter darauf geschult?

Diese Fragen sollte jeder Geschäftsführer geregelt haben, denn die Haftungsrisiken werden persönlich. Stand heute: Die technischen Risiken steigen, und die gesetzlichen Anforderungen unter anderem aus der EU-DSGVO und NIS2 verschärfen sich deutlich.

Sicherheit prüfen und bewerten

Security-Checks gibt es in unterschiedlichem Umfang und unterschiedlicher Tiefe. Die Angebote orientieren sich nach dem Schutzbedarf des Unternehmens und bauen inhaltlich in der Regel auf den Vorgaben des BSI auf (Bundesamt für Sicherheit in der Informationstechnik). In einem Auditverfahren werden die bestehenden technischen und organisatorischen Schutzmaßnahmen in Ihrer IT auf den Prüfstand gestellt. Dies kann durch automatisierte Scans Ihrer IT-Umgebung ergänzt werden, die jeden Winkel des Netzwerks durchleuchten und Schwachstellen aufdecken.

Im Audit enthalten sein sollten zum Beispiel:

  • organisatorische Aspekte wie das Sicherheitsmanagement, die Dokumentation und die Prüfung der Sicherheitsverfahren
  • technische Komponenten mit einer Bestandsaufnahme der IT-Infrastruktur
  • der bestehende Schutz vor Schadprogrammen, Firewall und Virenschutz
  • die Sicherheit der IT-Administration: Rechte-Management, Administratorkonten
  • die Vernetzung von Standorten: Sicherheitsrichtlinien und Absicherung von Netzzugängen
  • Authentifizierung für Zugänge via VPN und WLAN
  • Inhaltssicherheit: Webfilter, E-Mail- und Spam-Filter
  • Prozessvorgaben wie Außerbetriebnahme von Datenträgern und Systemen, Kontrolle von Sicherheitsvorgaben
  • Richtlinien für Passwörter und Verschlüsselungen
  • Notfallvorsorge: Systemwiederherstellungszeiten, geschäftliche Auswirkung von IT-Ausfällen
  • Datensicherung: Back-up-Strategie, vor allem aber eine Recovery-Strategie
  • die Sicherheit Ihrer lokalen Infrastruktur: Zutritt zu IT-Systemen und Server-Räumen
  • mobile Endgeräte: Sicherheitsrichtlinien und die Administration mobiler Endgeräte
  • Nutzung externer IT-Leistungen: Technische Absicherung

Als Ergebnis gibt es in der Regel eine Gap-Analyse, die aufzeigt, wo Lücken sind. Besonders übersichtlich wird dies durch eine prozentuale Bewertung des Reifegrades in einzelnen Segmenten. In diesem Beispiel bedeuten 100% eine vollständige Erfüllung der angefragten Kriterien.

Foto: ATD

Bild: Auswertung des ITQ-Checks. Der ITQ-Check ist eine standardisierte Methode, sowohl organisatorische als auch technische Aspekte der IT-Security zu überprüfen.

Bereiten Sie sich darauf vor: Das erste Bild wird erschreckend sein! Lücken gibt es überall, und wir haben noch keine Analyse gesehen, in der alles zu 80 oder gar 100 Prozent erfüllt ist. Das Wichtigste dabei ist, dass Sie als verantwortliche Person jetzt einen Überblick über bestehende Lücken und daraus resultierende Risiken haben und einschätzen können, welche Kritikalität dies bedeutet. Nur so können Sie sinnvoll und wirtschaftlich entscheiden, welches Risiko vertretbar ist und wo Handlungsbedarf besteht.

Risiken erkennen und einschätzen

Hilfreich ist dabei eine Risiko-Analyse. Sie betrachtet alle Prozesse und Einheiten Ihres Unternehmens. Dabei bewertet sie unterschiedliche Risikovektoren, Angriffs- oder Ausfallszenarien und ordnet sie nach der Eintrittswahrscheinlichkeit und dem zu erwartenden Schaden. An dieser Stelle empfiehlt es sich, Sie sind ja gerade im Thema, dass Sie gleich ganz pragmatisch Alarmierungsketten und Workarounds bzw. Notfallpläne dokumentieren. Damit ist dann der aktuelle Status beschrieben und ein erster verbesserter Security-Level erreicht. Sie sind als Verantwortlicher Ihrer Plicht nachgekommen, sich zu informieren und Ihre Erkenntnisse zu dokumentieren.

Was sind aber danach sinnvolle nächste Schritte? In der Regel sind die aus dem Security-Check bzw. der Gap-Analyse empfohlenen Maßnahmen zu viele, um sie alle gleichzeitig umzusetzen.

Eine zielführende Vorgehensweise ist es, nicht nur das Ausmaß der zu schließenden Lücke zu bewerten, sondern auch Aufwand (Budget in Zeit und Geld) und Nutzen (Verbesserung des Status aus der Risikoanalyse) gegenüberzustellen. Mit dieser Priorisierung arbeiten Sie die Projekte Schritt für Schritt ab. Wir empfehlen dabei einfache Projektmanagement-Tools wie den „Planner“, der in Microsoft Teams enthaltenen ist. Dadurch sparen Sie den Overhead komplexer Planungswerkzeuge.

Kommen wir noch einmal zurück auf den TÜV und die Inspektion. Ich persönlich verändere über das Jahr eher nichts an meinem Auto. In der IT sieht das definitiv anders aus, dort verändert sich stetig etwas. Deshalb ist das beschriebene Vorgehen keine einmalige Aktion, sondern ein fortlaufender Prozess. Gute Erfahrungen haben wir mit der Einrichtung eines sogenannten „Security Management Boards“ gemacht. Das Board besteht idealerweise aus einem Vertreter der Geschäftsführung, dem Verantwortlichen aus der internen IT und den relevanten externen Dienstleistern. Dieses Board trifft sich einmal im Quartal, bewertet den aktuellen Umsetzungsstand und entscheidet über die nächsten Schritte.

Den strukturierten, umfassenden Security-Check sollten Sie jährlich durchführen. Damit zeigt er Veränderungen auf, macht aber gleichzeitig eine kontinuierliche Verbesserung des Sicherheitsniveaus sichtbar. Automatisierte Analysen können fortlaufend erfolgen und bei kritischen Lücken auch Alarme auslösen, die ein sofortiges Eingreifen zur Folge haben.

In Summe haben Sie damit die erste Version eines Informationssicherheits-Managementsystems (ISMS) implementiert. So sind Sie auch bestens vorbereitet, sollte es in der Zukunft auch um Themen wie NIS2, TISAX oder eine ISO-Zertifizierung gehen.

 

 

Drucken