Schluss mit IT-Sorglos

Fast jedes dritte Unternehmen in Deutschland hat in den vergangenen zwei Jahren Angriffe auf seine IT-Systeme verzeichnet, berichtet der Hightech-Verband BITKOM. Dabei wurden gezielt Daten gestohlen oder Schadprogramme eingeschleust. Das Thema IT-Sicherheit steht daher ganz oben auf der Digitalen Agenda.

Sie gelten als größte Gefahr für die Sicherheit von IT-Systemen: Chefs und Mitarbeiter, die allzu sorglos mit eigenen oder fremden Daten hantieren und Maßnahmen für mehr IT-Sicherheit auf die lange Bank schieben. Die Folgen sind zum Teil gravierend, wie Oliver Freitag, Leiter des eBusiness-Lotsen Mainfranken bei der Industrie- und Handelskammer Würzburg-Schweinfurt, bestätigt: „Wer sich zum Beispiel einen Virus einfängt, weil er keinen aktuellen Virenschutz installiert hat, muss damit rechnen, dass die Festplatte zerstört oder Daten geändert werden. Wer dann keine regelmäßige Datensicherung vorgenommen hat, muss sehr viel Zeit und Geld investieren, um alle Daten wiederherzustellen. Ob sich das Vertrauen der Kunden dabei auch wiederherstellen lässt, ist fraglich.“

Eigentlich gibt es keinen Grund dafür, warum immer noch so viele Unternehmen das Thema IT-Sicherheit vernachlässigen, denn der Basisschutz für IT und Daten lässt sich relativ einfach umsetzen. Zu den wichtigsten Maßnahmen gehören:

Virenscanner und Firewall:

Sie gehören zur Grundausstattung beim Schutz gegen Schadsoftware wie Viren, Würmer und Trojaner. Wichtig ist, beim Virenschutz auf ein regelmäßiges Update zu achten.

Unternehmensdaten sichern:

Die tägliche Datensicherung ist ein absolutes Muss. Mit Hilfe spezieller Back-up-Programme lässt sich der Datenbestand mindestens einmal täglich auf einem externen Datenträger sichern. Bei einem Datenverlust können die gespeicherten Daten auf die Unternehmensrechner zurückgespielt werden.

Starke Passwörter:

Sie werden für Computer, mobile Geräte und Accounts auf Social-Media-Plattformen benötigt. Passwörter müssen im regelmäßigen Turnus erneuert werden. Um das nicht zu vergessen, sollte man sich per automatischer Aufforderung daran erinnern lassen.

E-Mail-Anhänge und externe Datenträger:

Absolut tabu ist das Herunterladen und Öffnen von .exe-Dateien, die nicht aus einer bekanntermaßen sicheren Quelle stammen. Sie enthalten meist eine Schadsoftware. Finger weg ebenfalls von Links oder Daten, die auf fragwürdigen Internetseiten angeboten werden. Mittlerweile kann schon der Besuch einer mit Schadsoftware infizierten Website ausreichen, um die Unternehmens-IT in Mitleidenschaft zu ziehen.

Mitarbeiter sensibilisieren:

Jede Mitarbeiterin und jeder Mitarbeiter muss begreifen, dass das IT-System mit seinen Unternehmens- und Kundendaten das "Herz" des Unternehmens ist. Wird dieses System durch Unachtsamkeit gefährdet, können im schlimmsten Fall keine Aufträge mehr ausgeführt werden und Kunden zu Wettbewerbern abwandern. Dieses Risikobewusstsein muss immer wieder aufgefrischt werden: durch regelmäßige Weiterbildungsveranstaltungen und Informationen zur IT-Sicherheit. Empfehlenswert ist auch, alle Regeln zum Umgang mit der Unternehmens-IT in einem Sicherheitskonzept schriftlich festzuhalten. und von allen Beschäftigen im Unternehmen unterschreiben zu lassen.

10 Punkte für einen sicheren Umgang mit Unternehmensdaten

Hier klicken!

Im Rahmen der BMWi-Initiative "IT-Sicherheit in der Wirtschaft" wurde in Zusammenarbeit mit IT-Sicherheitsexperten aus Wirtschaft, Wissenschaft und Verwaltung ein "Zehn-Punkte-Papier" erstellt.

 

Auf sicheren Wegen: Mobiles Arbeiten

Was für Computer und IT im Unternehmen gilt, gilt auch für die Arbeit an mobilen Endgeräten, ob beim Mitarbeiter zu Hause oder unterwegs. Erst recht, wenn es sich um das private Notebook, Tablet oder Smartphone des Mitarbeiters handelt und er „von außen“ auf das Unternehmensnetzwerk zugreifen kann. „Daher sollte die Nutzung mobiler Endgeräte nur dann erlaubt werden, wenn die Geräte genau wie der Computer im Büro mit einem eigenen Grundschutz, einem sicheren Kennwort und einem Virenscanner - auch für Smartphones oder Tablet-PCs - ausgestattet sind“, rät Marco Schuldt von der Geschäftsstelle der Initiative "IT-Sicherheit in der Wirtschaft" beim Bundesministerium für Wirtschaft und Energie.

WLAN und Bluetooth sollten nur dann aktiviert werden, wenn diese Verbindungen gerade benötigt werden. Werden Firmendaten verschickt, sollten Mitarbeiter ausschließlich WLAN-Verbindungen nutzen, die über WPA2 oder zumindest WPA (Wi-Fi Protected Access) verschlüsselt sind. Risiken entstehen aber bereits, wenn Firmendaten auf die Privatgeräte von Beschäftigten übertragen werden. Am besten ist eine mit VPN (Virtual Private Network) verschlüsselte Verbindung, die beim Internet-Provider des Unternehmens beantragt werden kann. So die Empfehlungen des BMWi-Leitfadens "Firmendaten. Wie sicher ist Ihr Unternehmen?". Und beim Verlust von Geräten? Auch dafür gibt es eine Lösung: Die Daten lassen sich aus der Ferne sperren oder löschen.

Nicht nur Freunde: Social-Media

Ebenso wie Privatpersonen sollten auch Unternehmerinnen und Unternehmer vorsichtig im Umgang mit Social-Media sein. Die wichtigste Regel lautet: Betriebliches und Privates strikt trennen. Bemerkungen über Unternehmensinterna oder über Kollegen sollten in den privaten Socia-Media-Accounts der Mitarbeiter tabu sein. Auch das muss - wie alle Verhaltensweisen, die der IT-Sicherheit dienen - immer wieder kommuniziert werden.

Ein weiterer Punkt betrifft die „Lebensdauer“ und Sicherheit der Daten: Einträge auf Social-Media-Plattformen bleiben oft auch nach der Löschung auf den Servern der Social-Media-Betreiber gespeichert. Ein Blick in die Datenschutzerklärungen lohnt sich daher. Klar ist: Der Firmenaccount in jedem Social-Media-Kanal muss durch ein eigenes starkes Passwort geschützt werden.


IT-Sicherheitskonzept aufbauen

Orientieren Sie sich beim Aufbau Ihres IT-Sicherheitskonzepts an den folgenden Fragen:

1.) Welche Daten müssen geschützt werden?
Dabei kann unter Umständen auch eine Rangfolge von wichtigen bis hin zu weniger wichtigen Daten erstellt werden.

2.) Mit welchen Endgeräten arbeitet die Unternehmens-IT?
Listen Sie alle Rechner, Smartphones, Tablets und Notebooks auf, auch die ihrer Mitarbeiter, sofern diese dort auch Unternehmensdaten empfangen.

3.) Welche technischen Sicherheitsvorkehrungen gibt es für jedes Endgerät?
Lassen Sie sich durch einen IT-Dienstleister unterstützen. Erste Hilfestellung bieten auch die eBusiness-Lotsen.

4.) Welche Sicherheitsvorkehrungen müssen beim Umgang mit den jeweiligen Endgeräten vereinbart werden?
Sorgen Sie dafür, dass Sie selbst und Ihre Mitarbeiter ein IT-Risikobewusstsein entwickeln. Datenverlust oder -manipulation "von Außen" aber auch durch fahrlässiges Handeln innerhalb des Unternehmens, gefährden den Bestand des Unternehmens und seiner Arbeitsplätze.

5.) Wer ist für die kontinuierliche Betreuung der IT-Sicherheit verantwortlich?
Das kann eine Mitarbeiterin oder ein Mitarbeiter sein, der sich mehr als die anderen mit dem Thema auskennt. Auf jeden Fall überlegenswert: einen Dienstleister beauftragen, der die IT-Sicherheit technisch auf dem aktuellen Stand hält.

IT-Sicherheitsnavigator

Hier klicken!

Der IT-Sicherheitsnavigator hilft Unternehmen, herstellerneutrale Initiativen und Hilfsangebote zu finden.

 

Externe Hilfe: IT-Dienstleister

IT-Dienstleister gibt es mittlerweile viele. Ob Hardware- und Softwarespezialisten oder Cloud-Anbieter. Nur: Welcher ist empfehlenswert? Wer passt zum Unternehmen? Orientierungshilfe vor Ort bieten die eBusiness-Lotsen der BMWi-Initiative "eKompetenz-Netzwerk für Unternehmen". Sie stehen kleinen und mittleren Unternehmen bundesweit mit praxisnahen IT-Informationen zur Verfügung. Die eBusiness-Lotsen sind zwar zur Anbieterneutralität verpflichtet und dürfen keinen Dienstleister empfehlen - gemeinsam mit dem Unternehmen können sie aber klären, welche Anforderungen der IT-Dienstleister erfüllen sollte.

Weitere Informationen

Ende