Einstiege in die IT-Sicherheit für KMU
19. Juni 2024
Verfasst von Julia Schreiber
Bild: © Dayne Topkin - unsplash.com
858 Seiten umfasst das aktuelle IT-Grundschutz-Kompendium beim BSI – keine Frage, IT-Sicherheit ist mittlerweile sehr umfassend. Doch ist Cybersicherheit zu komplex für kleine und mittelständische Unternehmen? Es gibt neben dem BSI-Kompendium eine Vielzahl an Quellen, um sich zu informieren: Fachzeitschriften und Bücher, Veröffentlichungen von Branchenverbänden oder Hinweise von IT-Experten bergen ein breites Wissen.
Die Herausforderung ist somit weniger, dieses Wissen zu finden, als es für Unternehmen mit beschränkten personellen und finanziellen Ressourcen in eine handhabbare Form zu bringen.
Gutes, aber umfassendes Nachschlagewerk: der IT-Grundschutz des BSI
Zwei Fragen sind besonders wichtig: Wurden alle relevanten Aspekte der IT-Sicherheit bedacht? Wie sicher ist das Unternehmen vor Cyberangriffen? Um auf den IT-Grundschutz des BSI zurückzukommen: Dieser liefert Orientierung für eine verbesserte Informationssicherheit. Er listet elementare Gefährdungen und verweist auf zentrale Prozess- sowie Systembausteine, die Unternehmen berücksichtigen sollten. Zu den Prozessbausteinen des BSI gehören zum Beispiel ein Identitäts- und Berechtigungsmanagement, die Sensibilisierung der Mitarbeitenden zur Informationssicherheit oder Konzepte zum Vernichten und Löschen von Daten. Systembausteine beziehen sich auf Apps, auf die Infrastruktur und auf IT-Systeme wie Server, Clients oder Netzkomponenten. Auf sieben Seiten wird beispielsweise der sichere Einsatz von Routern und Switches skizziert, außerdem deren Gefährdungslage sowie Basis-Anforderungen an die Konfiguration zusammengefasst.
Wer sich die Zeit nehmen kann, auf 858 Seiten Anforderungen und Empfehlungen nachzulesen, findet einen guten Einstieg. Wem dies zu umfassend ist, für den sind Zertifizierungen möglicherweise ein besserer Weg für mehr IT-Sicherheit im Unternehmen. Zertifizierungen helfen, eine systematische Übersicht über konkrete Schwachstellen zu bekommen. Auch etablieren sie oftmals Prozesse, um die eigene Organisation systematisch vor Bedrohungen der Informationssicherheit zu schützen.
Zertifizierungen zur IT-Sicherheit: Alternativen zur ISO 27001
Eine der bekanntesten Zertifizierungen ist die ISO 27001 zu Anforderungen von Informationssicherheitsmanagementsystemen (ISMS). Meist unterstützen externe Sachverständige bei der Vorbereitung und Durchführung. Zielgruppe sind Unternehmen, die ein umfassendes ISMS implementieren und regelmäßig überprüfen möchten. Für kleinere und mittelständische Unternehmen stellt sich aufgrund der Komplexität der ISO 27001 schnell die Frage, ob der Nutzen dieser Zertifizierung die hohen Kosten und den großen Aufwand rechtfertigt.
Weniger aufwändig ist die ITQ-Basisprüfung. Sie ist eine kostengünstige Möglichkeit, grundlegende IT-Sicherheitsstandards im Unternehmen nachzuweisen und das Sicherheitsbewusstsein zu stärken. Kleineren und mittelständischen Unternehmen bietet sie einen einfachen Einstieg in die Informationssicherheit.
Informationssicherheit mit der ITQ-Basisprüfung
Die Prüfkategorien der ITQ-Basisprüfung orientieren sich stark am BSI-Grundschutz und sind zugleich praxisnah auf die Bedürfnisse von KMU ausgerichtet. Anhand von 126 Fragen aus 16 Prüfgruppen analysiert ein Auditor die technischen und organisatorischen Risiken für das Unternehmen. Die Prüfgruppen umfassen Themen wie:
- Gibt es eine Informationssicherheitsleitlinie?
- Existiert eine Richtlinie zur Löschung und Vernichtung von Daten?
- Gibt es einen Notfallplan?
- Gibt es ein Offline-Backup? Gibt es eine unveränderliche Datensicherung?
- Ist der Serverraum abschließbar?
- Sind die Arbeitsplätze sicherheitskonform? Gibt es eine Richtlinie zur Internetnutzung?
- Gibt es eine Multi-Faktor-Authentifizierung?
Auf Grundlage dieser Informationen aus Fragebogen sowie einem mündlichen Interview leiten sich konkrete Handlungsempfehlungen ab, die der auditierende IT-Dienstleister in einem schriftlichen Abschlussbericht dokumentiert. So werden schrittweise die Voraussetzungen für einen sicheren IT-Betrieb geschaffen.
Mit erfolgreichem Abschluss der Zertifizierung erhält des auditierte Unternehmen ein Prüfsiegel. Dieses sendet ein starkes Signal an Kunden, Partner oder auch Cyberversicherer, dass IT-Sicherheit im Unternehmen gemessen und überprüft wird.
Egal ob Nachschlagewerk oder Zertifizierung – für Unternehmen jeglicher Größenordnung ist es wichtig, IT-Sicherheit als Prozess im Unternehmen zu verankern. Gerne unterstützen wir Sie mit einer ITQ-Basisprüfung und machen den IT-Sicherheitscheck für Ihr Unternehmen. Nehmen Sie gerne unverbindlich mit uns Kontakt auf!
