Datensicherheit Das Unternehmensnetzwerk muss ein Bollwerk sein

Die Minimierung digitaler Geschäftsrisiken ist heute eine zentrale und vor allem komplexe Aufgabenstellung für die Verantwortlichen im Unternehmen. Aktuelle Studien belegen, dass unzureichender Schutz der IT-Infrastruktur mit das bedeutendste Risiko für kleine und mittlere Unternehmen darstellt. Denn dort ist das Bewusstsein für die existenzbedrohenden Gefahren für ihre IT oft nicht ausreichend genug entwickelt.

Und dafür gibt es vielfältige Gründe: Zum einen ist IT-Sicherheit ein Bereich, der mehrdimensional und gleichermaßen komplex ist. Zum anderen wird durch entsprechende Maßnahmen kein sofort bezifferbarer Mehrwert geschaffen. Allerdings ist die Bedeutung der Datensicherheit so groß für die Funktionsfähigkeit des Unternehmens, dass sich Unternehmensleitung und IT-Verantwortliche mit der Problematik auseinandersetzen müssen. Denn der Ausfall des Unternehmensnetzwerkes zum Beispiel durch Virenbefall kann fatale Folgen haben, die vom Imageverlust bis hin zum völligen Betriebsstillstand reichen. Zudem kann das Management für den eingetretenen Schaden sowohl zivil- als auch strafrechtlich haftbar gemacht werden, sofern nicht ausreichende Gegenmaßnahmen installiert waren.

Die Sicherheit der Unternehmens-IT ist ein umfangreiches Projekt, und nicht selten kann ein mittelständisches Unternehmen dessen Umfang alleine nicht bewältigen. Hier empfiehlt es sich, auf die kompetente Hilfe externer IT-Dienstleister zurückzugreifen, die aufgrund ihrer Referenzen und ihrer Angebotskonditionen all die Anforderungen erfüllen, die das Unternehmen selbst nicht alleine bewerkstelligen will und kann.

Beispielhaft seien an dieser Stelle die Einschränkung des Netzwerk-Zugriffs, die saubere Trennung von Intra- und Internet, der Einsatz von Firewalls sowie alle Grundelemente der Netzwerkabsicherung genannt. Die Palette der Gefahrenzonen für Netzwerke ist groß und jeden Tag werden neue Wege gefunden, um Systeme anzugreifen. Schutzmaßnahmen müssen bei jedem Einzelsystem beginnen. Dies gilt es durch Virenschutz, Authentifizierung, Benutzer- und Prozessidentifikation, Firewall, aber auch durch Konfigurations- und Softwaremanagement zu sichern.

Überprüfen Sie Ihre Anforderungen an einen externen Anbieter:

Für unser Unternehmen haben wir den passenden Anbieter bzw. die passende Lösung identifiziert

Dabei gilt es zu berücksichtigen, welches Know-how benötigt wird und wie die Zusammenarbeit konkret aussehen soll. Für den sensiblen Bereich IT-Security sollte man seinem IT-Partner in jedem Fall vertrauen können.

Vorab wurde geklärt, welche unserer Aufgaben ggf. ausgelagert werden sollen

Vor der Suche nach einem Dienstleister steht die Überlegung, ob Teilbereiche der IT-Security und – wenn ja – welche weiterhin intern erledigt und welche besser einem externen Dienstleister übertragen werden sollen.

Bei der Wahl unseres IT-Dienstleisters haben wir auf seine Referenzen geachtet

Das beste Zeugnis für die Leistungsfähigkeit eines IT-Dienstleisters sind Referenzen anderer Kunden. So lässt sich schnell erkennen, in welchen Projekten sich der Dienstleister in der Vergangenheit bewährt hat.

Unser IT-Partner steht wirtschaftlich gut da – das gibt uns Planungssicherheit

Wer sichergehen will, dass sein IT-Dienstleister auch in Zukunft auf dem Markt ist, sollte darauf achten, ein wirtschaftlich gesundes Unternehmen auszuwählen. Das garantiert auch, dass die Finanzmittel für qualifiziertes Personal vorhanden sind.

Wir haben einen Vertrag auf Pauschalbasis mit unserem IT-Partner abgeschlossen

Die monatlich anfallenden Kosten sind somit fix und erlauben eine langfristige Planung.

Verantwortung und Haftung im Blick

Die Verantwortlichkeiten und Haftungsfragen im Innen- und Außenverhältnis müssen geklärt werden, will man sich nicht unwissend in Konflikte mit dem Gesetz bringen. In der Gesetzgebung ist der Umgang mit Daten sowie die Nutzung der IT-Landschaft eines Unternehmens mit umfassenden Bestimmungen versehen. Unter dem Begriff IT-Compliance sind diese gesetzlichen Bestimmungen zusammengefasst.

Zu den Bestimmungen, die der Gesetzgeber zum Umgang mit den eigenen, aber auch mit fremden Daten entwickelt hat, gehören beispielsweise Schutz vor unbefugtem Zugriff und Schutz vor Weitergabe an Dritte, Fristen und Verfahren zur Archivierung von und zum Zugriff auf elektronische Dokumente.

Wie auch im kaufmännischen oder im operativen Unternehmensbereich sind Geschäftsführer, Prokuristen, IT-Leiter oder die Unternehmer selbst für die Einhaltung der Regeln und Verpflichtungen sowie für die Konsequenzen bei Nichteinhaltung verantwortlich. Wichtig ist daher, dass Entscheider über die Durchführung und den Einsatz von IT-Sicherheitsmaßnahmen informiert sind.

Auch ein Mitarbeiter kann zum Sicherheitsbeauftragten der IT ernannt werden, der für alle IT-Projekte die IT-Sicherheit gewährleistet – abgesegnet durch die Führungsebene. Für den Fall, dass – wie häufig in mittelständischen Betrieben – keine personellen Ressourcen für diese Aufgabe vorhanden sind, bietet es sich an, externe Hilfe ins Boot zu holen: Mit einem externen IT-Dienstleister, der vertrauenswürdige Referenzen bietet, kann die Überwachung der IT-Sicherheit ausgelagert werden. Priorität bei der Entscheidung für einen IT-Dienstleister sollte aber sein, dass die IT-Sicherheit des Unternehmens in guten Händen ist: Denn trotz einer Auslagerung der IT-Sicherheit bleibt die Haftungspflicht im Unternehmen. Deshalb sollte die externe IT-Dienstleistung vertraglich festgelegt sein.

Weiterführende Informationen zu wichtigen rechtlichen Bestimmungen für Ihre IT lesen Sie in unserem Whitepaper „IT-Compliance“. Kostenloser Download unter www.nextbusiness-it.de

Überprüfen Sie Ihre Haftungs- und Verantwortungsregelungen

Über die rechtlichen Vorschriften und die technischen Risiken informieren sich die Entscheider in unserem Unternehmen

Geschäftsführung und IT-Verantwortliche können für Versäumnisse bei der IT-Sicherheit und daraus entstandene Schäden haftbar gemacht werden. IT-Sicherheit darf daher nicht erst bei Eintritt eines Schadensfalls zur Chefsache erklärt werden.

Unser Unternehmen hat einen eigenen IT-Sicherheitsbeauftragten

Der IT-Sicherheitsbeauftragte muss an allen Projekten mit IT-Bezug beteiligt sein. Er stellt sicher, dass alle sicherheitsrelevanten Aspekte beachtet werden. Nimmt ein Mitarbeiter diese Aufgabe neben anderen wahr, muss dafür gesorgt sein, dass er dafür ausreichend Zeit zur Verfügung hat.

Unser externer IT-Partner wurde auf Zuverlässigkeit geprüft und erfüllt die Vorgaben unserer Sicherheitsrichtlinien

Zwar lassen sich Aufgaben auslagern, nicht jedoch die Verantwortung. Die Auswahl der IT-Partner muss deshalb wohlüberlegt und gut begründet sein.

Über einen Dienstleistungsvertrag ist der Service des IT-Partners gesichert

Von IT-Partnern erbrachte Dienstleistungen werden über Service Level Agreements (SLA) vertraglich abgesichert. Hier werden eindeutige Verfügbarkeiten und im Störfall garantierte Servicezeiten festgeschrieben.

Unser Sicherheitskonzept ist schriftlich fixiert

Das Sicherheitskonzept muss schriftlich dokumentiert, den Mitarbeitern bekannt gemacht und durchgesetzt werden. Eine schriftliche Dokumentation erleichtert unter anderem das Einarbeiten neuer Mitarbeiter und garantiert, dass auch in Notfällen alle benötigten Informationen zur Verfügung stehen.