IT-Sicherheitskonzept für kleine Unternehmen

Viele Verantwortliche in KMU kennen zwar ihre Verpflichtungen in Bezug auf Datenschutz und IT-Sicherheit, aber mit der Umsetzung hapert es. Die deutschen Sicherheitsbehörden warnen angesichts der Zuspitzung des Krieges in der Ukraine vor Cyberangriffen, besonders im Bereich der kritischen Infrastruktur.

Für IT-Sicherheit muss auch in kleinen Unternehmen die Geschäftsleitung sorgen und ein entsprechendes Konzept erarbeiten.

IT-Sicherheit und KMU: Studien, Projekte und Leitfäden

Die US-Behörde National Security Agency (NSA) hat gerade einen neuen Leitfaden für die Sicherung von IT-Netzwerken vor Cyberangriffen veröffentlicht. Der Bericht mit dem Titel „Cybersecurity Technical Report (CTR): Network Infrastructure Security Guidance“ steht allen Netzwerkadministratoren und CIOs kostenlos zur Verfügung, um ihre Netzwerke vor Cyberangriffen zu schützen.

Das Kriminologische Forschungsinstitut Niedersachsen e.V. (KFN), das Forschungszentrum L3S der Leibniz Universität Hannover und der Technischen Universität Braunschweig haben im Juni 2020 die Ergebnisse einer deutschlandweiten Umfrage zum Thema Cyberangriffe veröffentlicht.

Dabei zeigte sich Folgendes:

  • Die IT-Sicherheit erhält in vielen Unternehmen noch nicht die notwendige Aufmerksamkeit, um auf bestehende Risiken wie Cyberkriminalität angemessen zu reagieren.
  • Innovative und rentable Geschäftsideen oder Daten machen Unternehmen für potenzielle Angreifer zusätzlich attraktiv.
  • Kleinere Unternehmen sind durch fehlende Ressourcen bezüglich IT-Sicherheit in der Regel schlechter organisiert als größere und entsprechend leichter anzugreifen.

Es gibt nicht nur Cyberspionage im Internet, auch Angestellte des Unternehmens begehen solche Delikte. Der Trick, eine persönliche Beziehung zum Zweck der Industriespionage zu führen, kommt keineswegs nur in Romanen vor.

Eine Folgebefragung wurde 2021 publiziert. Insbesondere Angriffe mit Schadsoftware und Phishing nahmen im letzten Jahr sehr deutlich zu, während die IT-Sicherheit von Unternehmen durch die Corona-Krise beeinträchtigt wurde. 60 % der 635 im Jahr 2020 erneut befragten Unternehmen mussten innerhalb eines Jahres auf mindestens einen Cyberangriff reagieren. Damit stieg die Betroffenheit innerhalb eines Jahres im Vergleich zur ersten Befragung (2018/19) bei den teilnehmenden Unternehmen um 10 Prozentpunkte. Homeoffice und die Nutzung privater Hard- und Software erhöhen das Risiko von Phishing deutlich und auch die Angriffe mit Schadsoftware. Zudem wirkte sich vor allem bei Unternehmen mit angespannter wirtschaftlicher Situation die Corona-Krise nach Einschätzung der Befragten häufig negativ auf die IT-Sicherheit aus. Die Anzeigequote bleibt weiterhin sehr gering. Nur jedes zwölfte betroffene Unternehmen (8,5 %) zeigte den berichteten schwerwiegendsten Cyberangriff der letzten zwölf Monate an. Die Fallzahlen der Polizeilichen Kriminalstatistik (PKS) enthalten also nur einen Bruchteil des tatsächlichen Ausmaßes.

Auch wenn grundlegende technische IT-Sicherheitsmaßnahmen, wie Firewall, regelmäßige Backups, aktuelle Antivirensoftware und regelmäßige Sicherheitsupdates und Patches mittlerweile in fast allen Unternehmen zum Einsatz kommen, ließen sich große Unterschiede hinsichtlich des Reifegrades solcher Maßnahmen feststellen. Zwar setzen z.B. 98 % der Unternehmen aktuelle Antivirensoftware ein, allerdings nutzt jedes achte Unternehmen (12 %) lediglich die Grundfunktionalität der verwendeten Software. Das mit den Befragungsdaten entwickelte Tool CARE bietet insbesondere kleinen und mittleren Unternehmen eine individuelle Risikoeinschätzung und gibt Handlungsempfehlungen zur Verbesserung der IT-Sicherheit.

Das Bundesministerium für Wirtschaft und Energie (BMWi) meldete im August 2020, dass 41 % der Unternehmen ab zehn Beschäftigten in Deutschland innerhalb eines Jahres mindestens von einem Cyberangriff betroffen waren. Das ergab eine repräsentative Befragung bei 5000 Unternehmen. Angriffsarten waren: Phishing (22 %) und Schadsoftwareangriffe, hauptsächlich Ransomware (13 %), Spyware (11 %) und sonstige Schadsoftware (21 %).

Im Dezember 2018 wurde vom BMWi eine Förderbekanntmachung der Initiative „IT-Sicherheit in der Wirtschaft“ publiziert. Diese erweitert die seit 2011 existierende Initiative „IT-Sicherheit in der Wirtschaft“ des BMWi und unterstützt vor allem KMU darin, mit konkreten Maßnahmen ihre IT-Sicherheit zu verbessern.

Inzwischen hat man eine Transferstelle IT-Sicherheit in der Wirtschaft eingerichtet. Sie vermittelt Angebote zum Thema IT-Sicherheit und unterstützt kleine und mittlere Unternehmen, Handwerksbetriebe und Selbstständige bei deren Umsetzung.

Die vom Bundesministerium für Wirtschaft und Energie (BMWi) beauftrage Studie "IT-Sicherheit für die Industrie 4.0" bietet erstmals eine integrierte Analyse rechtlicher, organisatorischer und technischer Aspekte. In der Studie, die sich unter anderem an Mittelstandsunternehmen wendet, wird Folgendes empfohlen: Die konsequente Etablierung eines guten Basisschutzes in Betrieben mit Hilfe heute verfügbarer Sicherheitstechnologien als wichtige Voraussetzung zur Partizipation an Industrie 4.0.

Das Ziel des Projekts „KMU. Einfach Sicher.“ ist es, kleine und mittlere Unternehmen (KMU) in die Lage zu versetzen, ihre IT-Sicherheit eigenständig zu verbessern. Da viele Unternehmen über zu wenig Zeit, Geld und Know-how für ein effizientes Sicherheitsmanagement verfügen, wird eine kostenlose Weiterbildungsplattform für KMU entwickelt. Einige Weiterbildungsangebote stehen schon kostenlos zur Verfügung, weitere werden vorbereitet.

Der Steuerkreis der Initiative „IT-Sicherheit in der Wirtschaft“ wurde im März 2019 erstmals einberufen. Er setzt sich aus IT-Sicherheitsexperten aus Wirtschaft, Wissenschaft und Verwaltung zusammen. Als Lenkungsgremium berät der Steuerkreis die Initiative, liefert Impulse und unterstützt sie dabei, IT-Sicherheitsmaßnahmen bekannter zu machen und umzusetzen.

Weitere Ziele der Initiative „IT-Sicherheit in der Wirtschaft“ sind:

  • Sensibilisierung und Unterstützung von KMU und Handwerk beim Thema IT-Sicherheit,
  • Stärkung von Wettbewerbs- und Innovationsfähigkeit von KMU durch den sicheren Einsatz digitalisierter Prozesse und Geschäftsmodelle,
  • Förderung technologischer, organisatorischer und arbeitsgestaltender Sicherheitskompetenzen,
  • Erhöhung des IT-Sicherheitsniveaus in KMU.

IT-Sicherheitskonzept für kleine Unternehmen erstellen

Für Sicherheitskonzepte im IT-Bericht ist grundsätzlich die Unternehmensleitung zuständig. Für die Erarbeitung sollte diese sich von internen oder externen IT-Fachleuten beraten lassen.

Vorschriften über IT-Sicherheit enthält die EU-Datenschutz-Grundverordnung. Die Verantwortlichen müssen sicherstellen, dass die Verarbeitung gemäß der DSGVO erfolgt und wenn nötig überprüft und aktualisiert werden (Art. 24, Abs. 1 DSGVO). Vorschriften über Sicherheit der Verarbeitung gibt es auch in Art. 25 DSGVO und Art. 32 DSGVO. Wichtig: Die Maßnahmen müssen nachweisbar sein.

Dies gilt nicht nur für Unternehmen, sondern auch für Vereine oder andere soziale Organisationen oder Medien. Deren Verantwortliche müssen also dieselben Sicherheitsmaßnahmen ergreifen wie die Unternehmer.

WICHTIG:

Die Unternehmer sollten nicht davor zurückschrecken, Cyber-Delikte anzuzeigen. Dafür stehen die zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen der Länder zur Verfügung.

Checkliste IT-Sicherheitskonzept  für kleine Unternehmen

  • Schutzvorschriften der DSGVO beachten.
  • Vorschriften zur Aufbewahrung von Daten beachten.
  • Sicherheitskonzept erstellen, das ist Aufgabe der Geschäftsleitung in Zusammenarbeit mit IT-Fachleuten!
  • Ziele und Sicherheitsstrategie beschreiben.
  • Sanktionierung bei Verstößen gegen die Richtlinie festlegen.
  • Regelmäßige Überprüfung von Sicherheitsmaßnahmen und Anpassung an laufende Bedürfnisse.
  • Verantwortliche für die IT-Sicherheit und deren genaue Funktion benennen.
  • Daten auf einem haltbaren Medium aufbewahren.
  • Datenbestand auf den Rechnern in möglichst wenigen Ordnern in einer klaren Struktur organisieren.
  • Verschlüsselungs- und Scanmaßnahmen treffen.
  • Schulungs- und Weiterbildungsmaßnahmen.

Weitere interessante Artikel:

Vorbereitung eines IT Audit

Cyber Risiken: Versicherung bietet Schutz

Schlagworte zum Thema:  IT-Sicherheit, IT-Recht, IT-Infrastruktur