IT-Sicherheit als strategischer Faktor in Unternehmen

Die Arbeitswelt ist längst digital: Sie nutzen Cloud-Speicher, Browser-Anwendungen und mobile Geräte. Sie senden E-Mails und übertragen Daten elektronisch. Gleichzeitig nimmt die Anzahl der Bedrohungen aus dem Internet seit Jahren zu. Trotzdem wird IT-Sicherheit immer noch stiefmütterlich behandelt. Die Gründe sind vielfältig: Häufig fehlt das Bewusstsein für das Thema. Die eigene Gefährdungslage wird falsch eingeschätzt. IT-Sicherheit wird außerdem als zu komplex, zu mühevoll und zu teuer wahrgenommen. Aber IT-Sicherheit lässt sich auch mit einem kleinen Budget und mit wenig Aufwand umsetzen. Welche Faktoren der IT-Sicherheit sind für Unternehmen relevant? Mit unseren Tipps für sofort umsetzbare Maßnahmen schützen Sie Ihr Unternehmen.

Hinweis: Gendergerechte Sprache ist uns wichtig. Daher verwenden wir auf diesem Portal, wann immer möglich, genderneutrale Bezeichnungen. Daneben weichen wir auf das generische Maskulinum aus. Hiermit sind ausdrücklich alle Geschlechter (m/w/d) mitgemeint. Diese Vorgehensweise hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung.

Was bedeutet IT-Sicherheit in Unternehmen?

IT-Sicherheit wird oft mit Informationssicherheit gleichgesetzt. Obwohl sich beide Begriffe überschneiden, umfassen sie grob gesehen jeweils unterschiedliche Aspekte. Um genau zu verstehen, was genau IT-Sicherheit meint, ist es sinnvoll, folgende vier Begriffe voneinander abgrenzen:

  1. IT-Sicherheit
  2. Informationssicherheit
  3. Cyber-Sicherheit
  4. Datenschutz

1. IT-Sicherheit – Definition

Die IT-Sicherheit (auch: IT-Security) bezieht sich auf die gesamte Informationstechnik:

  • Hardware (z. B. PCs, Server, Drucker, USB-Sticks)
  • Mobile Geräte (z. B. Laptops, Tablets und Smartphones)
  • Netzwerke (z. B. Unternehmens- oder Heimnetzwerke)
  • Betriebssysteme und Software-Anwendungen, Open Source Software
  • Cloud-Dienste (z. B. Apple iCloud, Google Drive, Microsoft OneDrive)
  • Speichern und Übertragen von Daten (z. B. E-Mail, in der Cloud)

IT-Sicherheit meint also den Schutz der IT-Systeme vor Bedrohungen, Angriffen, Manipulationen, Beschädigungen, unrechtmäßigen Zugriffen und Diebstahl. Sie umfasst außerdem die korrekte Funktionsweise und Zuverlässigkeit der genutzten IT.

2. Informationssicherheit – Definition

Die Informationssicherheit ist breiter gefasst als die IT-Sicherheit: Mit der Informationssicherheit sollen analoge wie digitale und personenbezogene wie nicht personenbezogene Daten aller Art geschützt werden:

  • Kundendaten
  • Rechnungsdaten
  • Personaldaten
  • Buchhaltungsdaten
  • Prozessdaten
  • Forschungs- und Entwicklungsdaten

3. Cyber-Sicherheit – Definition

Die Cyber-Sicherheit ähnelt der IT-Sicherheit – mit einem Unterschied: Sie bezieht sich auf den Schutz von IT-Systemen mit einer Verbindung zum Internet.

4. Datenschutz – Definition

Datenschutz beschreibt die organisatorischen und technischen Maßnahmen, damit Daten nicht missbraucht werden. Der Datenschutz ist für Unternehmen genauso wichtig wie die IT-Sicherheit, denn sie müssen die gesetzlichen Datenschutzvorgaben erfüllen.

Welche IT-Schutzziele werden verfolgt?

IT-Sicherheit, Informationssicherheit, Cyber-Sicherheit und Datenschutz verfolgen alle dieselben IT-Schutzziele:

Darstellung von Tabellen auf Desktop besser lesbar

IT-Schutzziel
IT-SchutzzielErklärung
Schutz der Vertraulichkeit Nur befugte Personen mit entsprechender Berechtigung haben Zugriff auf Informationen, Daten und Systeme.
Schutz der Integrität Informationen und Daten müssen vollständig und richtig sein. Sie dürfen nicht verändert oder verfälscht werden. IT-Systeme müssen korrekt und zuverlässig funktionieren.
Schutz der Verfügbarkeit IT-Systeme, Hardware, Software, Netzwerke usw. sowie Daten und Informationen sind jederzeit und am richtigen (Speicher-)Ort erreichbar und werden wie beabsichtigt genutzt.
Schutz der Authentizität Die Informationen stammen vom angegebenen Absender. Die Quelle der Daten ist echt.
Schutz der Nichtabstreitbarkeit Das Senden und Empfangen von Informationen und Daten kann gegenüber Dritten unabstreitbar nachgewiesen werden.
Schutz der Verbindlichkeit Dieses Ziel kombiniert Authentizität und Nichtabstreitbarkeit. Bei der Anmeldung an einem IT-System muss sich die Identität der Person (z. B. durch eine digitale Signatur) eindeutig zuordnen lassen.
Schutz der Zuverlässigkeit Alle IT-Komponenten und technischen Systeme müssen voll funktionsfähig sein.

Gründe für die Einführung von IT-Sicherheit in Unternehmen

Warum ist die IT-Sicherheit für Unternehmen so wichtig? Weil Unternehmen und Selbstständige zunehmend digitaler arbeiten:

  1. Sie arbeiten häufig im Homeoffice, in Business-Hubs oder in einem Coworking-Space.
  2. Sie nutzen neben dem Desktop-PC weitere mobile Endgeräte, um unterwegs zu arbeiten und auf Unternehmensdaten zuzugreifen.
  3. Sie tauschen Daten zwischen Mitarbeitern, Kollegen, Kunden, Auftraggebern und Lieferanten überwiegend elektronisch aus.
  4. Sie nutzen immer mehr Anwendungen und Dienste in der Cloud.

Unzureichende IT-Sicherheit als Risikofaktor

Die Cyber-Bedrohungen nehmen Jahr für Jahr an Intensität zu. Durch eine unzureichende IT-Sicherheit wird es dadurch nur wahrscheinlicher, irgendwann zum Angriffsziel zu werden. Die Folgen sind häufig verheerend:

Ein erfolgreicher Cyber-Angriff führt nicht nur dazu, dass Geräte nicht mehr bedienbar sind oder Daten verloren gehen. Die Opfer haben einen immensen finanziellen Schaden, wenn sie z. B. Strafzahlungen aufgrund von Datenverlusten leisten müssen. Außerdem führt eine Kompromittierung oft zu Image- und Vertrauensverlust.

Cyberangriffe kommen in verschiedenen Formen vor, unter anderem in diesen:

  • Phishing: Gefälschte, aber authentisch wirkende E-Mails enthalten bösartige Links oder Anhänge.
  • Ransomware: Gelingt es einem Angreifer, diese Malware-Art auf einem Gerät zu installieren, kann er den Zugriff auf das Gerät unterbinden oder Daten auf dem Gerät verschlüsseln. Für die (angebliche) Freigabe des Geräts oder der Daten wird ein Lösegeld verlangt.
  • Man-in-the-Middle-Angriff: Die Kommunikation zwischen zwei Personen per E-Mail wird von einem Dritten abgefangen.
  • Potenziell unerwünschte Anwendungen (PUA): Diese Schadsoftware wird mit einer anderen Software unbemerkt heruntergeladen. Ziel ist es, dem Opfer übermäßig viel Werbung anzuzeigen oder Daten über das Surfverhalten des Opfers zu sammeln.
  • Malware: Diese bösartigen Programme stehlen persönliche Daten oder die Zugänge zu Geräten. Es gibt verschiedene Malware-Arten, wie Viren, Trojaner, Spyware oder Keylogger.

IT-Sicherheit als Wettbewerbsvorteil

Die Investition in IT-Sicherheit lohnt sich:

  1. Sie sind optimal vor Bedrohungen geschützt.
  2. Sie schützen nicht nur Daten, sondern auch Ihr gesamtes Know-how.
  3. Sie halten dank des Sicherheitsmanagements Gesetze und Vorgaben ein.
  4. Sie sichern sich die Zufriedenheit und das Vertrauen Ihrer Kunden.
  5. Sie vermeiden die Kosten sowie den Stress, Frust und Aufwand eines Sicherheitsvorfalls.

Für welche Unternehmensbereiche ist IT-Sicherheit relevant?

Das Motto der IT-Sicherheit lautet „Agieren und nicht nur reagieren“, daher ist sie mehrschichtig. Für diese Unternehmensbereiche ist IT-Sicherheit relevant:

  • Technik (Software, Hardware, Geräte usw.)
  • Infrastruktur (z. B. Rechenzentrum, Cloud-Dienste, Netzwerke usw.)
  • Organisation (Daten und Dokumente, Überwachung der Sicherheit usw.)
  • Personal (IT-Sicherheitsbeauftragter usw.)

Wie können Sie die IT-Sicherheit Ihres Unternehmens erhöhen?

Eine Firewall oder eine Anti-Viren-Software sind meistens installiert. Aber wie können Sie als Unternehmer Ihre Cyber-Resilienz erhöhen? Sie brauchen kein kompliziertes Information-Security-Management-System. Nutzen Sie den folgenden Umsetzungsplan und verbessern Sie Ihr Sicherheitsniveau.

Technische Maßnahmen für Ihre IT-Sicherheit

1. Bewahren Sie Ihre Kennwörter in einem Password-Manager auf.
Ein Keyword-Safe ist nicht knackbar, da es mit einem Master-Kennwort geschützt ist. (Das Bundesamt für Informationssicherheit empfiehlt auf seinem Internetauftritt die kostenlose Software Keepass.) Denken Sie daran, sichere Kennwörter zu verwenden und sie regelmäßig zu ändern.

2. Nutzen Sie die Zwei-Faktor-Authentifizierung.
Sie schützt Ihre Onlinekonten gleich doppelt: Sie geben nicht nur Ihr Kennwort ein, sondern müssen auch ein weiteres Einmalkennwort eingeben (das Ihnen per E-Mail zugeschickt wird) oder eine generierte, elektronische TAN verwenden (z. B. beim Online-Banking).

3. Nutzen Sie eine E-Mail-Verschlüsselung.
Damit können Sie sensible Informationen zwischen Sender und Empfänger austauschen. Ihre Nachrichten können nicht gelesen werden, selbst wenn sie abgefangen werden.

4. Richten Sie Ihren Spam-Filter besser ein.
Konfigurieren Sie die Einstellungen Ihres Spam-Filters, damit Sie weniger Phishing- und Junk-Mails erhalten.

5. Verschlüsseln Sie Ihre Festplatte.
Mit einer Verschlüsselungssoftware wie VeraCrypt erstellen Sie verschlüsselte Container für Ihre Daten. (VeraCrypt wird vom BSI empfohlen.)

6. Richten Sie ein VPN ein.
Ein VPN (Virtual Private Network) bietet zwei Vorteile: Die Datenübertragung wird verschlüsselt und Ihre Privatsphäre im Internet geschützt. Ein VPN wird beispielsweise beim Surfen in öffentlichen WLANs empfohlen.

7. Installieren Sie eine gute Anti-Viren-Software.
Anti-Viren-Software wehrt Bedrohungen ab und schützt aktiv Ihre Geräte. Es gibt kostenlose und kostenpflichtige Sicherheitssoftware. Letztere liefert meist einen höheren Schutz.

8. Halten Sie Software, Betriebssystem und Browser aktuell.
Installieren Sie nur Original-Software. Achten Sie darauf, dass Sie kein Update auslassen: Das ist Ihr bestes Schwachstellenmanagement! Updates schließen Sicherheitslücken, durch die Hacker auf Ihre Geräte gelangen.

Infrastrukturelle Maßnahmen für Ihre IT-Sicherheit

1. Richten Sie Ihren WLAN-Router ein.
Ändern Sie die Standardeinstellungen Ihres Routers. Sie sollten vor allem das Standardkennwort ändern, da Router meistens mit einem Kennwort vorkonfiguriert werden. Damit könnten sich anderenfalls Angreifer einhacken.

2. Verwenden Sie ein Backup-Programm.
Erstellen Sie regelmäßig eine Sicherungskopie (Backup) Ihrer Daten. Als Backup-System eignet sich unter anderem ein NAS (Network Attached Storage), eine Art externer Mini-PC mit Festplatte. Das NAS sollte nach jeder Datensicherung vom Internet getrennt werden, damit es bei einem Angriff nicht mit infiziert wird. Falls nach einem Angriff Ihre Daten verschlüsselt sind, besitzen Sie so eine weitere Kopie.

3. Sichern Sie Mobilgeräte vor Verlust und unzulässigem Zugriff.
Laptops und Smartphones sollte immer kennwortgeschützt sein. Arbeiten Sie viel unterwegs, können Sie Ihr Gerät mit Notebook-Schlössern vor Diebstahl schützen. Sichtschutzfolien für Laptops verhindern, dass Dritte „mitlesen“.

Organisatorische Maßnahme für Ihre IT-Sicherheit

Führen Sie eine IT-Sicherheitsanalyse durch. Das bedeutet, dass Sie zunächst protokollieren, welche und wie viele Geräte und Daten Sie an welchen Orten besitzen. Damit erhalten Sie einen ersten Überblick und die Basis für Ihr IT-Sicherheitskonzept. Halten Sie fest, welche Schutzmaßnahmen bereits umgesetzt wurden.

Tipp

Die Analyse in einer Liste dokumentieren

Protokollieren Sie Ihre Analyse stichpunktartig in einer Tabellenkalkulation. Das vereinfacht später alle weiteren Kontrollen Ihres Sicherheitsniveaus.

Personelle Maßnahmen für Ihre IT-Sicherheit

1. Richten Sie für jeden Mitarbeiter und für jedes Gerät ein eigenes Benutzerkonto mit den entsprechenden Rechten ein.
Richten Sie außerdem eine Benutzerrechte-Verwaltung ein. Wenn Malware einen PC infiziert, besitzt die Malware automatisch die Rechte des jeweiligen Benutzers. Deshalb sollte nicht jeder Mitarbeiter Administratorrechte haben.

2. Sensibilisieren Sie Ihre Mitarbeiter für IT-Sicherheit.
Sie können Ihre Mitarbeiter informieren, aber auch in Schulungen schicken. Suchen Sie nach Angeboten neutraler Anbieter oder IT-Security-Dienstleister.

3. Ernennen Sie einen IT-Sicherheitsbeauftragten.
Wählen Sie ggf. einen Mitarbeiter aus, der sich um die IT-Sicherheit kümmert und sie nachverfolgt.

4. Protokollieren Sie Regeln zum Arbeiten unterwegs oder im Homeoffice.
Legen Sie fest, wie mobile Geräte zum Arbeiten genutzt werden dürfen. Zum Beispiel können Sie die Nutzung öffentlicher WLANs verbieten.

Tipps zur Gestaltung und Umsetzung zeitgemäßer Sicherheitsprozesse in Unternehmen

Wie gut ist die IT- und Computersicherheit Ihres Unternehmens? Um diese Frage zu beantworten, stellen Sie sich folgende Fragen:

  • Welche Hardware und Software setze ich ein? Wie sind sie geschützt?
  • Wer hat Zugang zu meinem Büro oder Arbeitsplatz?
  • Wie sieht die Zugangskontrolle zu meinem Büro/Arbeitsplatz und zu meinen Geräten aus?
  • Haben alle Gerätenutzer ein Benutzerkonto, individuelle Benutzerrechte und ein sicheres Kennwort?
  • Wie sicher sind meine Kennwörter? Wann habe ich sie zum letzten Mal geändert?
  • Wie und wo bewahre ich meine Kennwörter auf?
  • Wie steht es um die Datensicherheit? Welche Daten erfasse, speichere und übertrage ich? Wo speichere ich sie?
  • Muss ich die Norm 27001 ISO oder andere Sicherheitsgesetze erfüllen, die einen IT-Grundschutz fordern?
  • Habe ich ein Konzept für meine Datensicherung?
  • Wie gut bin ich vor Cyberangriffen geschützt?
  • Kennen meine Mitarbeiter die Gefahren von Cyberangriffen und Social Engineering?
  • Gibt es einen (aktuellen) Notfallplan bei Ausfällen?
  • Ist eine Diebstahlsicherung von Mobilgeräten vorhanden?

Fazit

IT-Sicherheit ist keine einmalige Sache

IT-Sicherheit ist mehrschichtig und ein kontinuierlicher Prozess. Aber mit mehreren Bausteinen und Maßnahmen, die schnell umzusetzen sind, können Sie auch ohne Detailwissen das Sicherheitsniveau in Ihrem Unternehmen deutlich erhöhen.