Archiv

DatensicherheitDas Unternehmensnetzwerk muss ein Bollwerk sein

Vertragsentwürfe, Kundendaten, Buchhaltung, Produktions-Know-how – auch Ihr Unternehmen verfügt über unzählige Daten! Wie aber steht es um deren Schutz?
erschienen: 24.08.2009

Hier finden Sie die maßgeblichen und bedenkenswerten Punkte in Sachen Netzwerksicherheit. Nutzen Sie die Chance und prüfen Sie sich zu jedem Aspekt selbst, indem Sie die für Sie relevanten Fragestellungen auf Ihr Unternehmen übertragen.

Vernetzte PCs im Unternehmen: Eine sichere Sache

Ob nun Außendienstmitarbeiter, die über das Internet auf das Unternehmensnetz zugreifen, oder der enge Austausch mit Kunden, die aktuelle Informationen wünschen – die Abhängigkeit der Unternehmen von einer funktionierenden IT und sicheren Daten wächst stetig! Entsprechend sind Datenschutz und Netzwerkverfügbarkeit zentrale Anforderungen, wenn es um die Sicherheit der Unternehmens-IT geht. Sie unterstützen Geschäftsprozesse übergreifend und sorgen für einen reibungslosen Ablauf.

Die Informationstechnologie ist aus dem Alltag von Unternehmen nicht mehr wegzudenken. Störungen bei Soft- und Hardware können zu Produktionsausfällen führen, gefolgt von Einnahmeeinbußen und im schlimmsten Fall von Abwanderungen der Kunden.

Die Vernetzung der Arbeitsplätze beschleunigt auch in mittelständischen Unternehmen Prozesse, sorgt für eine effektivere Kundenbetreuung und reibungslose Logistik. Der Anschluss an andere Netzwerke und das Internet verstärkt diese Vorteile noch. Jede Beeinträchtigung des Betriebs eines solchen Unternehmensnetzwerks bedeutet immense Kosten. IT-Security – also Datensicherheit, Datenschutz und Netzwerkverfügbarkeit – muss daher zum Ziel haben, eine möglichst hohe Stabilität zu schaffen.

Aber IT-Sicherheit darf nicht allein den IT-Verantwortlichen überlassen werden! Können Entscheidern Versäumnisse im Hinblick auf die IT-Security nachgewiesen werden, müssen sie mit juristischen Konsequenzen rechnen. Somit muss auch die Geschäftsführung im Unternehmen dafür sorgen, dass Firmen- und Kundendaten vor Missbrauch und Verlust geschützt sind und der Betrieb der IT auf einer soliden Basis steht.

Die dafür nötigen Maßnahmen sind keinesfalls nur technischer Natur. Die Basis eines soliden IT-Betriebs beinhaltet nicht zuletzt das Bewusstsein von Entscheidern und Mitarbeitern für die Notwendigkeit einer funktionierenden IT. Hinzu kommen umfassende organisatorische, betriebliche und rechtliche Maßnahmen, die das Bestehen des Unternehmens angeht. Ausschlaggebend für einen soliden IT-Betrieb sind damit Personalentscheidungen genauso wie auch entsprechende Investitionen in die Informations- und Kommunikationstechnologie.

Überprüfen Sie Ihre IT-Infrastruktur

Unser Netzwerk ist jederzeit verfügbar, da wir zuverlässige Servertechnologien einsetzen

Server sind das Herz jedes Unternehmensnetzes. Auf ihren reibungslosen Betrieb muss daher Verlass sein. Mehr Sicherheit diesbezüglich bieten beispielsweise die Blade-Technologie* und spezielle hochverfügbare Server mit mehrfacher Hardwareredundanz**.

Wir nehmen den Schutz und die Sicherheit unserer Daten sehr ernst und sichern diese auch entsprechend

Weder können Daten unerlaubt verändert noch der Zeitpunkt der Erstellung manipuliert werden. Auch wird dafür gesorgt, dass Daten nicht ausgespäht werden können.

Unsere IT-Lösung besteht aus zueinander passenden Komponenten

Aufeinander abgestimmte und voreingestellte Komponenten erleichtern dem IT-Verantwortlichen oder dem Dienstleister die Arbeit, zum Beispiel bei der Integration von Security Gateways (eine Art Sicherheitsschleuse aus einer Kombination von Soft- und Hardware, die das Unternehmensnetz gegen unerwünschten Zugriff und Schadprogramme absichert).

Unsere Hardware basiert auf Industriestandards

Dies erleichtert die Anbindung an die bestehende Infrastruktur und die spätere Skalierung.

Unsere Security Gateways integrieren auch Filialen und mobile Arbeitshilfen wie Notebooks

Ein Sicherheitsgateway steht nach dem Einbau und der Verkabelung schnell zur Verfügung. Es bietet bei sinkenden Administrationskosten ein Mehr an Sicherheit, da es auch standortübergreifend einsetzbar ist.

* Die Blade-Technologie bezeichnet eine spezielle Bauform bei Servern. Dabei werden die einzelnen Komponenten (Blade = Blatt, Klinge, Lamelle) neben- oder übereinander angeordnet und können einzeln entnommen werden.

** Die Hardwareredundanz bezeichnet ein spiegelgleiches Abbild der Hardware, das im Notfall durch Umschaltung die kaputte Hardware ersetzen kann.

Sicherheitsorientierung durch IT-Konzept

Für Entscheider in mittelständischen Unternehmen ist es mehr als höchste Zeit, das Thema IT-Security systematisch anzugehen. Doch noch immer werden viel zu oft die Investitionen in ein konsequentes Sicherheitsmanagements aufgrund des nicht direkt nachvollziehbaren Return of Invest gescheut oder zurückgestellt. Vor dem Hintergrund komplexer werdender, zunehmend internetbasierter Geschäftsprozesse und täglich neu kursierender Viren und Würmer kann dies eine strategische Fehlentscheidung sein.

Letztlich schützt man mit der IT auch das elektronisch verfügbare Betriebskapital in Form von Wissen, Daten, Verträgen, Buchhaltung usw. Wie kann die IT also unternehmensweit gesichert und geschützt werden?

Da die IT in vielen Unternehmen bereits alle Geschäftsprozesse unterstützt, muss ihre Sicherheit ganzheitlich betrachtet und organisiert werden. Die gesamte IT-Infrastruktur muss als Teil eines IT-Sicherheitskonzepts verstanden werden und durch Ausfallsicherheit und Zugriffssicherheit, aber gleichzeitig auch durch Einfachheit gekennzeichnet sein.

Standard schafft Vertrauen

Um die Anforderungen für die Implementierung geeigneter IT-Sicherheitsmechanismen zu spezifizieren, wurde von der ISO* die Norm ISO-27001 geschaffen. Die Einhaltung dieser Anforderungen vorausgesetzt, dokumentieren Unternehmen gerade auch gegenüber Kunden und Partnern die Sicherheit und Qualität ihrer IT-basierten Geschäftsprozesse. Gerade mittelständische Unternehmen verfügen jedoch für die konsequente und effektive Umsetzung eines solchen Konzepts oftmals nicht über genügend eigenes IT-Wissen, geschweige denn über das dafür nötige Personal. Dennoch müssen sie die Risiken für den Geschäftsbetrieb und die Verantwortlichen minimieren und gleichzeitig mit der Gewährleistung von Sicherheit und Verfügbarkeit für eine IT-Infrastruktur zu sorgen, die ihren eigenen Beitrag zur Wertschöpfung des Unternehmens leistet. Daher sollte darüber nachgedacht werden, diesen Bereich gegebenenfalls auszulagern und das externe Fachwissen eines qualifizierten IT-Partners einzukaufen.

* Die ISO ist die Internationale Organisation für Normierung.

Überprüfen Sie Ihr Sicherheitskonzept!

Wir haben den Überblick über die organisatorischen, infrastrukturellen und technischen IT-Sicherheitsvorkehrungen und Maßnahmen im Unternehmen

Das Sicherheitskonzept legt den Rahmen für die Systemsicherheit von Rechnern, Servern und Anwendungen sowie der Telekommunikationsinfrastruktur fest.

Für den IT-Grundschutz ist in unserem Unternehmen gesorgt

Hilfe bei der Entwicklung des IT-Grundschutzes im Unternehmen bietet der „Leitfaden der IT-Sicherheit“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI): www.bsi.de

Wir sind über die Vor- und Nachteile einzelner Produkte und Marken rund um Security informiert

Mittelständische Betriebe stellen wachsende Anforderungen an ihre IT. Die Auswahl der Security-Lösungen hängt vom speziellen Bedarf des Unternehmens ab.

Der Zugriff auf unsere Unternehmensdaten ist klar geregelt

Sensible Unternehmensdaten dürfen nicht allgemein zugänglich sein. Stattdessen erhalten die Mitarbeiter nur auf jene Daten die Zugriffsberechtigungen, die sie für ihre Arbeit benötigen.

Auch das mobile Arbeiten ist bei uns Teil des IT-Sicherheitskonzepts

In vielen Unternehmen werden die Sicherheitsrisiken, die mit dem zunehmenden Einsatz von mobilen Endgeräten verbunden sind, nicht ausreichend berücksichtigt. Die IT-Sicherheitsstrategie muss auch bei der Anbindung dieser Geräte ans Unternehmensnetz greifen.

Dieser Artikel wurde von der nextbusiness-IT Redaktion erstellt. „nextbusiness-IT – Exzellenz im Mittelstand“ ist eine bundesweite Leitthemenkampagne für den Mittelstand, die unter anderem die „Bibliothek des modernen IT-Wissens“ für den Mittelstand herausgibt. Diese Bibliothek können Sie hier kostenlos anfordern.

Die Minimierung digitaler Geschäftsrisiken ist heute eine zentrale und vor allem komplexe Aufgabenstellung für die Verantwortlichen im Unternehmen. Aktuelle Studien belegen, dass unzureichender Schutz der IT-Infrastruktur mit das bedeutendste Risiko für kleine und mittlere Unternehmen darstellt. Denn dort ist das Bewusstsein für die existenzbedrohenden Gefahren für ihre IT oft nicht ausreichend genug entwickelt.

Und dafür gibt es vielfältige Gründe: Zum einen ist IT-Sicherheit ein Bereich, der mehrdimensional und gleichermaßen komplex ist. Zum anderen wird durch entsprechende Maßnahmen kein sofort bezifferbarer Mehrwert geschaffen. Allerdings ist die Bedeutung der Datensicherheit so groß für die Funktionsfähigkeit des Unternehmens, dass sich Unternehmensleitung und IT-Verantwortliche mit der Problematik auseinandersetzen müssen. Denn der Ausfall des Unternehmensnetzwerkes zum Beispiel durch Virenbefall kann fatale Folgen haben, die vom Imageverlust bis hin zum völligen Betriebsstillstand reichen. Zudem kann das Management für den eingetretenen Schaden sowohl zivil- als auch strafrechtlich haftbar gemacht werden, sofern nicht ausreichende Gegenmaßnahmen installiert waren.

Die Sicherheit der Unternehmens-IT ist ein umfangreiches Projekt, und nicht selten kann ein mittelständisches Unternehmen dessen Umfang alleine nicht bewältigen. Hier empfiehlt es sich, auf die kompetente Hilfe externer IT-Dienstleister zurückzugreifen, die aufgrund ihrer Referenzen und ihrer Angebotskonditionen all die Anforderungen erfüllen, die das Unternehmen selbst nicht alleine bewerkstelligen will und kann.

Beispielhaft seien an dieser Stelle die Einschränkung des Netzwerk-Zugriffs, die saubere Trennung von Intra- und Internet, der Einsatz von Firewalls sowie alle Grundelemente der Netzwerkabsicherung genannt. Die Palette der Gefahrenzonen für Netzwerke ist groß und jeden Tag werden neue Wege gefunden, um Systeme anzugreifen. Schutzmaßnahmen müssen bei jedem Einzelsystem beginnen. Dies gilt es durch Virenschutz, Authentifizierung, Benutzer- und Prozessidentifikation, Firewall, aber auch durch Konfigurations- und Softwaremanagement zu sichern.

Überprüfen Sie Ihre Anforderungen an einen externen Anbieter:

Für unser Unternehmen haben wir den passenden Anbieter bzw. die passende Lösung identifiziert

Dabei gilt es zu berücksichtigen, welches Know-how benötigt wird und wie die Zusammenarbeit konkret aussehen soll. Für den sensiblen Bereich IT-Security sollte man seinem IT-Partner in jedem Fall vertrauen können.

Vorab wurde geklärt, welche unserer Aufgaben ggf. ausgelagert werden sollen

Vor der Suche nach einem Dienstleister steht die Überlegung, ob Teilbereiche der IT-Security und – wenn ja – welche weiterhin intern erledigt und welche besser einem externen Dienstleister übertragen werden sollen.

Bei der Wahl unseres IT-Dienstleisters haben wir auf seine Referenzen geachtet

Das beste Zeugnis für die Leistungsfähigkeit eines IT-Dienstleisters sind Referenzen anderer Kunden. So lässt sich schnell erkennen, in welchen Projekten sich der Dienstleister in der Vergangenheit bewährt hat.

Unser IT-Partner steht wirtschaftlich gut da – das gibt uns Planungssicherheit

Wer sichergehen will, dass sein IT-Dienstleister auch in Zukunft auf dem Markt ist, sollte darauf achten, ein wirtschaftlich gesundes Unternehmen auszuwählen. Das garantiert auch, dass die Finanzmittel für qualifiziertes Personal vorhanden sind.

Wir haben einen Vertrag auf Pauschalbasis mit unserem IT-Partner abgeschlossen

Die monatlich anfallenden Kosten sind somit fix und erlauben eine langfristige Planung.

Verantwortung und Haftung im Blick

Die Verantwortlichkeiten und Haftungsfragen im Innen- und Außenverhältnis müssen geklärt werden, will man sich nicht unwissend in Konflikte mit dem Gesetz bringen. In der Gesetzgebung ist der Umgang mit Daten sowie die Nutzung der IT-Landschaft eines Unternehmens mit umfassenden Bestimmungen versehen. Unter dem Begriff IT-Compliance sind diese gesetzlichen Bestimmungen zusammengefasst.

Zu den Bestimmungen, die der Gesetzgeber zum Umgang mit den eigenen, aber auch mit fremden Daten entwickelt hat, gehören beispielsweise Schutz vor unbefugtem Zugriff und Schutz vor Weitergabe an Dritte, Fristen und Verfahren zur Archivierung von und zum Zugriff auf elektronische Dokumente.

Wie auch im kaufmännischen oder im operativen Unternehmensbereich sind Geschäftsführer, Prokuristen, IT-Leiter oder die Unternehmer selbst für die Einhaltung der Regeln und Verpflichtungen sowie für die Konsequenzen bei Nichteinhaltung verantwortlich. Wichtig ist daher, dass Entscheider über die Durchführung und den Einsatz von IT-Sicherheitsmaßnahmen informiert sind.

Auch ein Mitarbeiter kann zum Sicherheitsbeauftragten der IT ernannt werden, der für alle IT-Projekte die IT-Sicherheit gewährleistet – abgesegnet durch die Führungsebene. Für den Fall, dass – wie häufig in mittelständischen Betrieben – keine personellen Ressourcen für diese Aufgabe vorhanden sind, bietet es sich an, externe Hilfe ins Boot zu holen: Mit einem externen IT-Dienstleister, der vertrauenswürdige Referenzen bietet, kann die Überwachung der IT-Sicherheit ausgelagert werden. Priorität bei der Entscheidung für einen IT-Dienstleister sollte aber sein, dass die IT-Sicherheit des Unternehmens in guten Händen ist: Denn trotz einer Auslagerung der IT-Sicherheit bleibt die Haftungspflicht im Unternehmen. Deshalb sollte die externe IT-Dienstleistung vertraglich festgelegt sein.

Weiterführende Informationen zu wichtigen rechtlichen Bestimmungen für Ihre IT lesen Sie in unserem Whitepaper „IT-Compliance“. Kostenloser Download unter www.nextbusiness-it.de

Überprüfen Sie Ihre Haftungs- und Verantwortungsregelungen

Über die rechtlichen Vorschriften und die technischen Risiken informieren sich die Entscheider in unserem Unternehmen

Geschäftsführung und IT-Verantwortliche können für Versäumnisse bei der IT-Sicherheit und daraus entstandene Schäden haftbar gemacht werden. IT-Sicherheit darf daher nicht erst bei Eintritt eines Schadensfalls zur Chefsache erklärt werden.

Unser Unternehmen hat einen eigenen IT-Sicherheitsbeauftragten

Der IT-Sicherheitsbeauftragte muss an allen Projekten mit IT-Bezug beteiligt sein. Er stellt sicher, dass alle sicherheitsrelevanten Aspekte beachtet werden. Nimmt ein Mitarbeiter diese Aufgabe neben anderen wahr, muss dafür gesorgt sein, dass er dafür ausreichend Zeit zur Verfügung hat.

Unser externer IT-Partner wurde auf Zuverlässigkeit geprüft und erfüllt die Vorgaben unserer Sicherheitsrichtlinien

Zwar lassen sich Aufgaben auslagern, nicht jedoch die Verantwortung. Die Auswahl der IT-Partner muss deshalb wohlüberlegt und gut begründet sein.

Über einen Dienstleistungsvertrag ist der Service des IT-Partners gesichert

Von IT-Partnern erbrachte Dienstleistungen werden über Service Level Agreements (SLA) vertraglich abgesichert. Hier werden eindeutige Verfügbarkeiten und im Störfall garantierte Servicezeiten festgeschrieben.

Unser Sicherheitskonzept ist schriftlich fixiert

Das Sicherheitskonzept muss schriftlich dokumentiert, den Mitarbeitern bekannt gemacht und durchgesetzt werden. Eine schriftliche Dokumentation erleichtert unter anderem das Einarbeiten neuer Mitarbeiter und garantiert, dass auch in Notfällen alle benötigten Informationen zur Verfügung stehen.

Die Haftungsfrage der Unternehmensleitung gegenüber Finanz- und anderen Geschäftspartnern ist nicht zu unterschätzen – so weit, so gut. Doch gerade im Hinblick auf die Gewährleistung reibungsloser Geschäftsabläufe kommt der Sicherheit der Unternehmens-IT und dem Schutz der gespeicherten Daten höchste Bedeutung zu. Manchem Entscheider wird dies erst bei einem Zusammenbruch des Systems bewusst.

Wenn alle Geschäftsabläufe stoppen, da kein Zugriff auf das Netzwerk und die dort verfügbaren Daten erfolgen kann, kommt auf das Unternehmen nicht nur ein erheblicher Kostenaufwand zu, sondern gegebenenfalls auch die Erklärungsnot gegenüber Geschäftspartnern, was mit ihren Daten geschehen ist. Um dem vorzubeugen, müssen Entscheider dafür Sorge tragen, dass sie jederzeit auf den IT-Schadensfall vorbereitet sind. Neben einem Sicherheitskonzept, welches das Unternehmen vordringlich gegen IT-Gefahren von außen sichert, sollte deshalb auch der Ablauf der Datensicherung nach klaren Regeln erfolgen.

Vermeidbar ist der Ernstfall durch die Gewähr des externen Partners, im Notfall schnell Ersatzteile für die Unternehmens-IT liefern zu können. Darüber hinaus sollte festgelegt sein, dass von allen auf dem Server verfügbaren Daten regelmäßig Sicherungskopien erstellt werden, damit immer auf aktuelle Daten zurückgegriffen werden kann.

Diese Sicherungskopien müssen – da sie ja auch vertrauliche Informationen beinhalten – natürlich entsprechend sicher aufbewahrt werden. Auf die Reaktionsschnelligkeit kommt es im Notfall ebenso an: Daher sollte bei der Wahl eines externen IT-Dienstleisters auch das Angebot, außerhalb der gängigen Bürozeiten erreichbar zu sein, eine Rolle spielen! Schlussendlich lassen sich Störungen des Geschäftsablaufes auch versichern – damit wäre die interne Absicherung komplett.

Überprüfen Sie Ihre Schadensfall-Vorsorge

Bei Bedarf kann unser IT-Partner schnell Ersatz für Hard- und Software beschaffen

Der Ausfall der Unternehmens-IT kann enorme Kosten verursachen, ganz zu schweigen von einem möglichen Imageschaden. Der IT-Partner sollte daher in der Lage sein, Probleme rasch zu beseitigen.

Die Sicherung unserer Daten erfolgt in festgelegter Regelmäßigkeit

Das Erstellen von Sicherheitskopien muss automatisch und nach einem klar definierten Schema erfolgen, sodass auch nach einem plötzlichen Datenverlust aktuelle Daten zur Verfügung stehen.

Auch die Sicherheit der Datenkopien ist gewährleistet

Die Sicherungskopien müssen vor Diebstahl und Zerstörung durch andere äußere Einflüsse wie Wasser oder Feuer geschützt sein.

Unser IT-Partner bietet schnellen Service vor Ort

Störungen, die zu hohen wirtschaftlichen Einbußen führen können, müssen schnell behoben werden – auch außerhalb der normalen Geschäftszeiten.

Wir sind gegen einen IT-Ausfall versichert

Eine Störung der IT kann zum vorübergehenden Ausfall von Anlagen und Maschinen führen. Dadurch entstehende Einnahmeverluste werden von einer Betriebsunterbrechungsversicherung abgedeckt.

Kleines Sicherheits-Einmaleins

Neben den Großbereichen wie Sicherheitskonzeption, Haftungsverantwortung und der Vorsorge für einen Ausfall Ihrer IT gibt es darüber hinaus grundlegende Punkte, die in einem Unternehmen als Fundament der Sicherheitswahrung auch an die Mitarbeiter weitergegeben werden sollten.

Denn die Ansprüche an einen wirksamen Datenschutz sowie dessen Komplexität werden zukünftig weiter steigen. Gut also, wenn die Mitarbeiter die Bedeutung dieses Themas begreifen und ihrerseits alles tun, um das Gefahrenpotenzial zu reduzieren.

Verantwortungsbereiche auf einen Blick

Mitarbeiter, grundlegender Verantwortungsbereich:

  • starke Passwörter (Mischung von Klein- und Großbuchstaben, Ziffern und Sonderzeichen)
  • Software-Installation nur durch autorisierte Mitarbeiter (dann Sicherheitsvorschriften des IT-Verantwortlichen beachten)
  • Die Datenspeicherung sollte mit Medien erfolgen, die einen physikalischen Schreibschutz bieten – das Speichermedium kann also mechanisch gegen Veränderung der Inhalte gesichert werden, im Gegensatz zum digitalen Schreibschutz, der mit Passworteingabe o. Ä. arbeitet
  • regelmäßige, umfassende Sicherungskopien der Daten erstellen (Back-ups)

IT-Administration, weiterführender Verantwortungsbereich

  • Merkmale wie Servicegewährleistung des Herstellers bei Sicherheitsproblemen, Sicherheitsüberprüfung des Quellcodes oder auch die freie Verfügbarkeit des Quellcodes helfen bei der Wahl eines sicheren Betriebssystems
  • das Betriebssystem in der Minimalausführung installieren
  • regelmäßig relevante oder vom Hersteller empfohlene Updates zur Behebung von Sicherheitslücken (Patches) installieren
  • für alle Programme und Dateien an Nutzer nur minimale Rechte vergeben
  • regelmäßiges Überprüfen von Dateien oder Programmen auf Veränderungen hin
  • regelmäßig die Protokolldateien kontrollieren

Dieser Artikel wurde von der nextbusiness-IT Redaktion erstellt. „nextbusiness-IT – Exzellenz im Mittelstand“ ist eine bundesweite Leitthemenkampagne für den Mittelstand, die unter anderem die „Bibliothek des modernen IT-Wissens“ für den Mittelstand herausgibt.