IT-Sicherheit in kleinen und mittelständischen Unternehmen (KMU)

IT-Sicherheit in kleinen und mittelständischen Unternehmen (KMU)

Beitrag aktualisiert am 12.08.2022

Themenwelt Informationssicherheit

IT-Sicherheit in KMU richtig umsetzen

Der Schutz ihrer IT-Sicherheit ist für kleine Unternehmen und Unternehmen des Mittelstands (KMU) ebenso essenziell wie für große Unternehmen. Auch sie verfügen über sensible Daten sowie schützenswertes Know-how, das die Substanz ihres Geschäftsbetriebs ausmacht und das durch Cyberkriminelle gefährdet sein könnte. Mehr noch: Laut des Bundesamts für Sicherheit in der Informationstechnik (BSI) gehören 99 Prozent der Unternehmen in Deutschland zum Mittelstand und deren Leistungsfähigkeit wirkt sich auch auf den öffentlichen Sektor aus.

Trotz spektakulärer Fälle und häufiger Berichterstattung haben viele Unternehmen allerdings schlicht und einfach kein Problembewusstsein für das Thema, weiß Hans-Ulrich Bierhahn, der als betrieblicher Datenschutzbeauftragter für verschiedene Firmen tätig ist.

Sicherheitskonzepte für kleine Unternehmen und den Mittelstand

Ein Problem für kleine und mittelständische Unternehmen sind häufig die Investitionen, die mit IT-Sicherheit und Datenschutz verbunden sind. Doch die Höhe der Finanzmittel ist nicht unbedingt entscheidend. Bevor man für viel Geld eine technische Lösung implementiert, „empfehlen wir "…", erst einmal zu prüfen, ob es nicht auch organisatorische Maßnahmen und Regelungen gibt, die wirksam sind“, sagt Tatjana Brozat, Auditorin für Informationssicherheit.


Das könnte Sie auch interessieren:


 

VdS-Richtlinie für die IT-Sicherheit: die kleine Schwester des ISMS

Ein gut organisierter Informationssicherheitsprozess begrenzt die Risiken, die für Unternehmen in unserer digitalisierten, vernetzten Welt entstehen. Dreh- und Angelpunkt einer sinnvollen IT-Sicherheitsarchitektur ist ein Informationsmanagementsystem (ISMS). „ISMS ist ein großes Wort, aber es muss bei kleineren Unternehmen nicht ein 400-Seiten-Konzept sein wie bei einem Großkonzern“, führt Bierhahn aus. Wichtig ist vielmehr, dass das Sicherheitskonzept eines Unternehmens die zentralen Punkte erfasst.

Kleine und mittelständische Unternehmen können daher auch die VdS-Richtlinie 10000 „Informationssicherheitsmanagementsystem für KMU“ anwenden, die dazu beitragen kann, Risikofaktoren im Unternehmen aufzudecken und zu minimieren."

Die Richtlinie definiert dazu Mindestanforderungen an die IT-Sicherheit in KMU und bietet eine gute Hilfestellung speziell für kleinere Unternehmen, denn sie gibt deutlich an, welche Anforderungen ein Unternehmen umsetzen muss, soll oder kann, um das erforderliche Sicherheitsniveau zu erreichen. Wegen dieser teils verpflichtenden, teils optionalen Anforderungen wird sich die Organisation der Informationssicherheit von Unternehmen zu Unternehmen unterscheiden.

IT-Sicherheit in KMU: personelle Anforderungen

Wie bei einem ISMS ist auch bei Umsetzung der VdS-Richtlinie die Organisation von Verantwortlichkeiten innerhalb des Informationssicherheitsprozesses ein zentraler Punkt. Die Firmenleitung trägt die Gesamtverantwortung für die Informationssicherheit. Das bedeutet, sie muss ein Sicherheitskonzept auf sämtliche Unternehmensstrukturen und -prozesse anwenden sowie ausreichend finanzielle und personelle Ressourcen bereitstellen, um die Umsetzung zu gewährleisten.

Darunter fällt zum Beispiel, ein Informationssicherheitsteam (IST) zu berufen, dem die Firmenleitung selbst vorsteht. Zum IST gehört der Datenschutzbeauftragte, der im Unternehmen bestellt sein muss, sofern mehr als zehn Mitarbeiter beschäftigt sind und personenbezogene Daten verarbeitet werden. Unabhängig von der Größe muss die Geschäftsführung allerdings einen Informationssicherheitsbeauftragten (ISB) ernennen.

Wie in großen Unternehmen ist ebenso in kleineren Unternehmen das Personal ein zentraler Faktor der IT-Sicherheit. Das muss die Firmenleitung bedenken, und zwar bereits vor sowie nach der Einstellung: Bevor ein Bewerber Zugang zu geschäftsrelevanten Informationen erhält, gilt es nämlich zu prüfen, ob er vertrauenswürdig ist, nach Beendigung der Anstellung müssen etwa Zugriffsrechte angepasst werden.

Auch die Mitarbeiter selbst müssen sich bewusst sein, dass sie einen erheblichen Teil zur IT-Sicherheit beitragen, denn sie sind verantwortlich dafür, die Regelungen einzuhalten und etwaige Störungen oder Sicherheitsvorfälle zu melden. Vorsicht ist etwa für Personaler geboten, die Bewerbungsunterlagen per E-Mail bekommen, denn ein betrügerischer Anhang kann zum Beispiel sämtliche Daten auf dem Computer verschlüsseln und dadurch den eigenen Zugriff darauf sperren.

Eine Evaluierung ihrer Geschäftsprozesse und -strukturen sollte also auch den Verantwortlichen in KMU zeigen, wie wichtig es ist, Personal zu beschäftigen, das über die notwendigen Qualifikationen und Wissen um die IT-Sicherheit verfügt.

Zentrale Dokumente eines Sicherheitskonzepts von KMU

Um die IT-Sicherheit im Unternehmen umzusetzen, muss die Unternehmensführung eine Leitlinie zur Informationssicherheit (IS-Leitlinie) beschließen und für alle Mitarbeiter bekannt geben. Zudem ist die Leitlinie jährlich zu prüfen, um auf neue Rahmenbedingungen, Geschäftsziele oder Entwicklungen im Bereich der IT-Sicherheit eingehen zu können.

Die VdS-Richtlinie gibt an, welche Punkte eine Leitlinie für kleine Unternehmen und Unternehmen des Mittelstands zwingend erfüllen muss:

  1. Sicherheitsziele und Stellenwert der Informationssicherheit im Unternehmen definieren.
  2. Positionen für den Informationssicherheitsprozess und die dazugehörigen Aufgaben definieren.
  3. Auf Konsequenzen der Nichtbeachtung hinweisen.

Das BSI empfiehlt, dass eine solche Leitlinie eher knappgehalten werden und 20 Seiten nicht übersteigen sollte.

Ergänzt wird die IS-Leitlinie durch eine Richtlinie für die Informationssicherheit (IS-Richtlinie), um Vorgaben für die IT-Sicherheit im Unternehmen zu konkretisieren. Sie umfasst zum Beispiel grundlegende Nutzungsbedingungen und Verhaltensregeln für alle Mitarbeiter zur Nutzung der IT-Infrastruktur des Unternehmens und setzt auch die Anforderungen an Lieferanten und andere Auftragnehmer fest. Ferner müssen beispielsweise Regelungen zur Datensicherung, Sicherheitsvorfällen und der Nutzung mobiler Datenträger sowie mobiler IT-Systeme darin definiert werden.