IT-Sicherheit in KMU

Wie beginnen in kleinen und mittleren Unternehmen?

Was können Sie als Unternehmer oder Geschäftsführer sofort tun, wenn Ihr Geschäft stark von IT abhängt, Sie aber im Hinblick auf die Sicherheit Ihrer EDV-Landschaft nur ein gemischtes Gefühl haben? Der folgende Text zeigt eine Reihe von Maßnahmen auf, die Sie noch heute angehen können, um den aktuellen Zustand zu prüfen und in elementaren Punkten zu verbessern. Sollten bei Ihnen alle diese Dinge bereits umgesetzt sein, so finden Sie am Ende Hinweise, wie Sie das Schutz-Niveau systematisch weiter ausbauen können.

Zielgruppe: Unternehmer, Geschäftsführer, IT-Verantwortliche

Einleitung

Dieser Text richtet sich an kleine und mittlere Unternehmen, die bisher nur einen geringen Fokus auf die Sicherheit ihrer IT hatten und deshalb noch einen geringen Reifegrad aufweisen. Solche Unternehmen zeichnen sich oft durch folgende Merkmale aus:

  • 10 bis 500 Mitarbeiter
  • IT-ferne Branche, z.B. Kunststofferzeugung, Metallbearbeitung
  • Die IT hat im Unternehmen jedoch einen hohen Stellenwert bei der Steuerung der internen Prozesse und bei der Abwicklung von Kundenaufträgen
  • Die IT-Administration wird als Nebenaufgabe wahrgenommen oder ist an einen externen Dienstleister ausgelagert.
  • Die Unternehmen sind aufgrund ihrer Rechtsform oder ihrer Branche keinen strengen Regularien zum Risikomanagement bzw. zum Schutz der IT unterworfen.

In einer solchen Umgebung konzentrieren sich die Aktivitäten häufig darauf, den aktuellen Betrieb der EDV aufrecht zu erhalten. Das ist ein sehr positiver Aspekt, denn damit ist das Handeln der IT stark auf das Geschäft und auf die primäre Wertschöpfung ausgerichtet („Business Alignment der IT“), während in großen Organisationen der IT gerne ein Eigenleben unterstellt wird, das mit dem Kerngeschäft wenig zu tun habe. Als Nachteil dieser Fokussierung ergibt sich jedoch oft, dass den Risiken, denen der IT-Betrieb unterworfen ist, nur unzureichend Aufmerksamkeit geschenkt wird. Damit können solche Unternehmen eher von Cyber-Angriffen oder anderen Ausfällen betroffen sein, woraus sich aufgrund der großen Abhängigkeit zur IT eine schwere Krise entwickeln kann.

Warum wird IT-Sicherheit immer wichtiger?

IT-Risiken lassen sich, wie andere Risiken auch, zweidimensional nach Eintrittswahrscheinlichkeit des Ereignisses und den möglichen schädlichen Auswirkungen bewerten. Je höher die Eintrittswahrscheinlichkeit und/oder je höher die Auswirkungen, desto gravierender ist ein Risiko. Bereits an dieser Betrachtung ist zu erkennen, warum das aktive Management von IT-Risiken in den vergangenen Jahren erheblich an Bedeutung gewonnen hat und auch zukünftig immer wichtiger wird:

Die Eintrittswahrscheinlichkeit für viele IT-Risiken ist z.B. durch folgende Faktoren in den vergangenen Jahren gestiegen:

  • Immer mehr Systeme sind mit dem Internet verbunden und sind somit weltweit erreichbar.
  • Immer mehr Systeme sind miteinander vernetzt. Schadsoftware kann sich damit einfacher verbreiten.
  • Datenträger wie USB-Sticks lassen sich einfach handhaben und können von jedermann in viele Geräte gesteckt werden. Damit kann sich Schadsoftware auch auf Geräte verbreiten, die nicht vernetzt sind.
  • Mit den gestiegenen technischen Möglichkeiten ist die Konfiguration der Systeme komplexer geworden und damit ist auch die Fehleranfälligkeit gewachsen.
  • In sozialen Netzwerken können vielfältige persönliche Daten abgegriffen werden, um sie gezielt für Angriffe auszunutzen (Social Engineering)
  • usw.

Aber auch die potenziellen Auswirkungen von IT-Ausfällen sind in den vergangenen Jahren gewachsen:

  • Immer mehr Prozesse werden elektronisch abgewickelt. Der Ausfall einer zentralen IT-Komponente könnte vielfältige Prozesse beeinträchtigen wie Einkauf, Produktion, Vertrieb und Buchhaltung.
  • Durch die stärkere Vernetzung von Geräten könnte sich eine einmal eingedrungene Schadsoftware großflächig verbreiten und damit viele Bereiche des Unternehmens lähmen.

Hackern und Schadsoftware können somit eine wachsende Zahl von Sicherheitslücken und Möglichkeiten nutzen, wodurch ein erheblicher Schaden entstehen kann. Sollte die IT bisher auch ohne große Anstrengungen im Hinblick auf IT-Sicherheit funktioniert haben, so ist das keine Gewähr für die Zukunft. Im Gegenteil: Die Bedrohungen wachsen kontinuierlich und deshalb sind auch kontinuierliche Anstrengungen bei der IT-Sicherheit notwendig.

Notfallplanung bzw. Business Continuity Management

Ein weiterer wichtiger Faktor ist die Notfallplanung. Auch bei gutem ausgebautem Schutz können IT-Komponenten ausfallen und damit den Ablauf wichtiger Geschäftsprozesse stören bzw. unterbrechen. Dem sollte vorgesorgt werden, weil selbst bei guter Vorbereitung die vollständige Wiederherstellung bestimmter Dienste einen Zeitbedarf von mehreren Tagen generieren kann. Wenn zusätzlich erst noch die notwendigen Informationen zusammengetragen werden müssen, die relevanten Mitarbeiter gerade im Urlaub in Asien sind und aufgrund fehlender Informationen bei der Wiederherstellung Fehler gemacht werden, kann sich ein solcher Ausfall um weitere Tage verlängern, was das Geschäft empfindlich beeinträchtigen kann.

Risikobasierter Ansatz

Da Ressourcen wie Budget und Zeit in den Unternehmen begrenzt sind und ein 100%-Schutz ohnehin nie erreicht werden kann, empfiehlt sich eine risikobasierte Herangehensweise. Anstatt also nach dem Gießkannenprinzip „überall ein bisschen“ zu tun, sollten Sie gezielt an den Stellen ansetzen, die ein hohes Gefährdungspotenzial für Ihr Geschäft haben.

Dafür gibt es gute und bewährte Vorgehensmodelle wie beispielsweise „Leitfaden zur Basis-Absicherung nach IT-Grundschutz“ vom BSI und „BSI-Standard 100-4 Notfallmanagement“, „ISIS12“ vom Bayerischen IT-Sicherheitscluster e.V. oder „Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ vom VdS (alle Links dazu unten). Sie alle haben jedoch einen Nachteil: Sie sehen zunächst nach einem großen Projekt aus. Das wirkt vor allem auf solche KMU abschreckend, die sehr knapp an Ressourcen sind und auch kein Geld für externe Berater ausgeben wollen. Hier ist die Gefahr groß, dass das Thema wieder zur Seite gelegt und gar nichts unternommen wird.

Elementare Schritte

Wir empfehlen eine systematische Herangehensweise nach einem der anerkannten Vorgehensmodelle. Bevor Sie jedoch aus Zeit- oder Ressourcenmangel überhaupt nichts tun, sollten Sie zumindest die nachfolgenden Schritte in Angriff nehmen. Sie können damit sofort beginnen.

IT-Sicherheit und Notfallplanung zur Chefsache erklären
Machen Sie den Mitarbeitern klar, dass dies wichtige Themen sind, die jeden betreffen. Bekräftigen Sie das regelmäßig in Besprechungen.

Interne IT bzw. externe IT-Dienstleister einbeziehen
Machen Sie deutlich, dass Sie IT-Sicherheit und Notfallplanung zu den wesentlichen Aufgaben gehört und stellen Sie Verbindlichkeit her. Nehmen Sie es in die interne Stellenbeschreibung auf. Erweitern Sie den Vertrag mit externen IT-Dienstleistern um diese Punkte.

Inventarisieren Sie Ihren IT-Bestand
Vergeben Sie für jedes Gerät wie Server, Rechner, externe Festplatte eine eindeutige Nummer, die sichtbar auf dem Gerät befestigt wird. Führen Sie den Bestand in einer Excel-Liste oder in einer darauf spezialisierten Anwendung und protokollieren Sie Veränderungen. Sie können Ihre IT nur steuern, wenn Sie wissen, was Ihre IT umfasst.

Plan des Netzwerks
Lassen Sie von der IT oder vom IT-Dienstleister einen Plan Ihres Netzwerks erstellen. Auf diese Weise wird erkennbar, welche Teile wie miteinander kommunizieren können. Aktualisieren Sie den Plan mindestens jährlich.

Verzeichnis der Anwendungen
Erstellen Sie ein Verzeichnis der IT-Anwendungen, die in Ihrem Unternehmen genutzt werden, z.B. Mail, Office, Produktionsplanung.

Verzeichnis der Geschäftsprozesse
Erstellen Sie ein Verzeichnis der für Ihr Geschäft relevanten Prozesse im Unternehmen, z.B. Beschaffung, Vertrieb, Auftragsabwicklung, Buchhaltung usw. Ordnen Sie zu, welche Anwendungen für jeden Prozess benötigt werden.

Kritische IT-Komponenten
Identifizieren Sie aus den so zusammengetragenen Informationen die IT-Komponenten, die für Ihr Geschäft besonders wichtig sind.

Physikalische Sicherheit
Erfassen Sie alle Räumlichkeiten und Plätze, in denen sich IT-Geräte befinden und bewerten Sie sie im Hinblick auf die Gefahren durch Feuer, Wasser, Hitze, Kälte, Staub und Verschmutzung, Einbruch usw. Besonders Standorte von Servern und anderen zentralen Komponenten sollten besonders geschützt sein.

Konfiguration der Arbeitsplatzrechner
IT-Anwender sollten immer nur die minimal notwendigen Rechte auf ihren Computern haben. Sie sollten nicht Administrator sein, sie sollten keine Software installieren dürfen, die Ausführung von Makros in Office-Programmen sollten sofern möglich deaktiviert sein. Der Rechner sollte sich nach einer gewissen Zeit der Inaktivität selbst sperren. Das Betriebssystem sollte vom Hersteller noch gewartet werden und Updates sollten selbstständig gezogen werden.

Sicherung der Daten
Sorgen Sie für eine regelmäßige Datensicherung, denn das ist der wirksamste Schutz vor Schäden durch Viren und Trojaner. Dabei dürfen die Daten allerdings nicht nur einfach auf einen anderen Server im Netz gespiegelt werden, denn dieser wäre von Schädlingen gleichermaßen betroffen. Am besten ist eine Sicherung, die danach physikalisch vom Unternehmensnetz getrennt wird, zum Beispiel eine Bandsicherung oder eine Festplatte, die nach erfolgter Sicherung abgezogen und an einen sicheren Ort gebracht wird. Außerdem sollten immer mehrere Sicherungsgenerationen aufbewahrt werden, da sich manche Schädlinge nach der Infektion zunächst eine Zeit lang schlafend stellen, bevor sie aktiv werden. Wenn Sie nur zwei Sicherungsmedien im täglichen Wechsel verwenden, wären Ihre Sicherungen u.U. wertlos. Wenden Sie stattdessen ein gestaffeltes Verfahren an, z.B. mit sechs Medien für tägliche Sicherungen, die jeweils am gleichen Wochentag der darauf folgenden Woche überschrieben werden. Und einem weiteren Satz von Medien, die jeweils am siebenten Tag der Woche verwendet werden, aber mehrere Wochen (z.B. drei Monate) aufbewahrt werden, bevor sie überschrieben werden. Da diese Sicherungen nur einmal pro Woche gemacht werden, ist auch eher ein zusätzlicher Aufwand vertretbar, um diese Medien an einem besonders sicheren Ort zu verwahren, z.B. in einem Bankschließfach. Ganz wichtig sind wiederkehrende Tests, ob die Sicherungen vollständig sind und sie sich auch wieder einspielen lassen. Ansonsten würde man sich auf dieses wesentliche Element blind verlassen und erst im Ernstfall feststellen, ob es tatsächlich funktioniert – dann kann es aber zu spät sein.

Sicherung der Anwendungen
Programme sollten ebenfalls gesichert werden, denn auch sie müssen neu installiert werden können. Das betrifft insbesondere spezielle bzw. proprietäre Anwendungen, die anders als beispielsweise Office-Software nicht sofort bezogen werden können. Sollten keine Installationsmedien vorliegen, so muss die Platte geklont und an einem sicheren Ort aufbewahrt werden. Auch sollten Lizenzschlüssel zu erworbener Software im schnellen Zugriff sein.

Notfallplan
Erstellen Sie einen Notfallplan für mögliche Störfälle und aktualisieren Sie ihn mindestens jährlich. Halten Sie den Notfallplan ausgedruckt bereit, damit er auch bei gestörter IT nutzbar ist. Sie können bei KonBriefing.com eine Word-Vorlage für einen IT-Notfallplan herunterladen (kostenlos, keine Anmeldung erforderlich)

Vertreter
Ein IT-Störfall kann auch eintreten, wenn Ihr IT-Verantwortlicher oder Ihr One-Man-IT-Dienstleister gerade 2 Wochen auf Kreuzfahrt in der Karibik ist. Stellen Sie deshalb sicher, dass es zu jedem Zeitpunkt einen Ansprechpartner gibt.

Richtlinien für Mitarbeiter
Machen Sie Ihren Mitarbeitern klare Vorgaben, wie sie die Firmen-IT zu nutzen haben, was zulässig und was unzulässig ist. Erlassen Sie dazu Richtlinien und lassen Sie sich deren Kenntnisnahme bestätigen. Solche Richtlinien können beispielsweise enthalten …

  • Keine Weitergabe von Kennwörtern
  • Sperren von Rechnern beim Verlassen des Arbeitsplatzes
  • Installation von Software nur mit Erlaubnis
  • Ausschließliche Nutzung von firmeneigenen Datenträgern wie USB-Sticks
  • Umgang mit mobilen Datenträgern
  • Private Nutzung des Firmenrechners
  • Nutzung privater Endgeräte im Firmennetz
  • Verantwortlichkeit für Datensicherung
  • Verhalten bei auffälligem Verhalten und Auftreten von Schadsoftware

Die Richtlinien sollten so beschaffen sein, dass sie bei der täglichen Arbeit auch einhaltbar sind. Andernfalls besteht die Gefahr, dass sie missachtet werden oder dass Umgehungslösungen erdacht werden.

Bewusstsein bei den Mitarbeitern schaffen
Sorgen Sie dafür, dass Ihre Mitarbeiter eigene Kompetenz auf dem Gebiet der IT-Sicherheit erlangen. Dafür gibt es zahlreiche Online-Schulungen, die über das Internet absolviert werden können. Die Teilnahme wird für jeden Mitarbeiter verpflichtend gemacht und dokumentiert. In solchen Trainings wird beispielsweise auf Merkmale von Phishing-Mails hingewiesen oder Vorschläge für komplexe aber trotzdem leicht merkbare Passwörter gemacht.
Siehe auch: Awareness-Poster IT-Sicherheit

Wirksamkeit überprüfen
Sorgen Sie durch wiederkehrende Kontrollen dafür, dass die Richtlinien eingehalten werden und dass die Maßnahmen greifen. Machen Sie beispielsweise darauf aufmerksam, wenn Rechner bei Abwesenheit nicht gesperrt wurden. Prüfen Sie, ob auf Windows-Rechnern aktuelle Updates sind. Lassen Sie sich demonstrieren, dass bei einer Sicherung tatsächlich alle relevanten Daten gesichert wurden und sich die Sicherung wieder einspielen lässt. Prüfen Sie, ob der Server-Raum abgesperrt ist usw.

Informationen zu Bedrohungen
Verschaffen Sie sich fortlaufend Informationen zu aktuellen Bedrohungen und machen Sie sich dadurch immer wieder bewusst, dass es sich um eine reale Gefahr handelt, die auch Ihr Unternehmen treffen kann. In der lokalen Zeitung wird häufiger über Einbruchsserien in Gartenlauben berichtet als über Cyber-Angriffe. Trotzdem gibt es die Cyber-Angriffe und sie sind in ihren Auswirkungen viel gravierender.
Vorschlag: heise Security https://www.heise.de/security/

Weitere Schritte

Wenn Sie die oben aufgeführten Maßnahmen beherzigen, dann ist Ihre Unternehmens-IT keineswegs sicher. Sie sind nur ein Stückchen weiter, als wenn Sie gar nichts machen würden. Wir empfehlen deshalb, das Thema systematisch mit einem bewährten Vorgehensmodell anzugehen. Davon gibt es schlanke Varianten, die speziell auf die Bedürfnisse kleiner Organisationen zugeschnitten sind, wie beispielsweise ISIS12.

Zusammen mit Ihrer IT bzw. Ihrem IT-Dienstleister sollten Sie auch längerfristige Themen angehen und planen. Dazu gehört beispielsweise die Migration von proprietären Altanwendungen, bevor diese nicht mehr wartbar oder lauffähig sind. Und die verstärkte Nutzung von Cloud-Angeboten, um selbst weniger Software betreiben zu müssen.

Links

Isis12 – InformationsSicherheitsmanagementSystem in 12 Schritten
https://isis12.it-sicherheitscluster.de/

Leitfaden zur Basis-Absicherung nach IT-Grundschutz
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.html

BSI-Standard 100-4: Notfallmanagement
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard04/ITGStandard04_node.html

VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), Anforderungen
https://shop.vds.de/de/produkt/vds-10000/

Du bist KMU?

Dann vernetzen Sie sich mit uns!

Sind Sie Unternehmer, Geschäftsführer oder Verantwortlicher (*) in einem kleinen oder mittelständischen Unternehmen? Dann schreiben Sie uns über Ihre Sorgen und Nöte im Bereich IT-Sicherheit, Compliance und Datenschutz. Ihr Feedback hilft, die passenden Inhalte bereitzustellen und Einfluss auf Anbieter von Produkten und Dienstleistungen zu nehmen.

Schreiben Sie uns eine Mail: Kontakt

(*) Wir meinen natürlich immer alle Geschlechter

Bert Kondruß, Geschäftsführer KonBriefing Research

Bert Kondruß
Senior Analyst

Bert ist Senior Analyst bei KonBriefing.com. Nach dem Studium der Elektrotechnik und Abschluss als Diplom-Ingenieur ist er seit über 30 Jahren in verschiedenen Fach- und Führungspositionen in der IT tätig. Seine Fokusthemen sind Compliance und IT-Sicherheit. Bert lebt in der Region Stuttgart