IT Sicherheitskonzept für kleine Unternehmen

Viele Verantwortliche in kleinen und mittleren Unternehmen kennen zwar ihre Verpflichtungen in Bezug auf Datenschutz und IT-Sicherheit, aber mit der Umsetzung hapert es.

Für IT-Sicherheit muss auch in kleinen Unternehmen die Geschäftsleitung sorgen und ein entsprechendes Konzept erarbeiten.

Das Kriminologische Forschungsinstitut Niedersachsen e.V. (KFN), das Forschungszentrum L3S der Leibniz Universität Hannover und der Technischen Universität Braunschweig haben im Juni 2020 die Ergebnisse einer deutschlandweiten Umfrage zum Thema Cyberangriffe veröffentlicht.

Dabei zeigte sich Folgendes:

  • Die IT-Sicherheit erhält in vielen Unternehmen noch nicht die notwendige Aufmerksamkeit, um auf bestehende Risiken wie Cyberkriminalität angemessen zu reagieren.
  • Innovative und rentable Geschäftsideen oder Daten machen Unternehmen für potenzielle Angreifer zusätzlich attraktiv.
  • Kleinere Unternehmen sind durch fehlende Ressourcen bezüglich IT-Sicherheit in der Regel schlechter organisiert als größere und entsprechend leichter anzugreifen.

Es gibt nicht nur Cyberspionage im Internet, auch Angestellte des Unternehmens begehen solche Delikte. Der Trick, eine persönliche Beziehung zum Zweck der Industriespionage zu führen, kommt keineswegs nur in Romanen vor.

Das Bundesministerium für Wirtschaft und Energie (BMWi) meldete im August 2020, dass 41 % der Unternehmen ab zehn Beschäftigten in Deutschland innerhalb eines Jahres mindestens von einem Cyberangriff betroffen waren. Das ergab eine repräsentative Befragung bei 5000 Unternehmen. Angriffsarten waren: Phishing (22 %) und Schadsoftwareangriffe, hauptsächlich Ransomware (13 %), Spyware (11 %) und sonstige Schadsoftware (21 %).

Datenschutz: IT-Sicherheitskonzept für kleine und mittlere Unternehmen (KMU)

Im Dezember 2018 wurde vom BMWi eine Förderbekanntmachung der Initiative „IT-Sicherheit in der Wirtschaft“ publiziert. Diese erweitert die seit 2011 existierende Initiative „IT-Sicherheit in der Wirtschaft“ des BMWi und unterstützt vor allem KMU darin, mit konkreten Maßnahmen ihre IT-Sicherheit zu verbessern.

Inzwischen hat man eine Transferstelle IT-Sicherheit in der Wirtschaft eingerichtet. Sie vermittelt Angebote zum Thema IT-Sicherheit und unterstützt kleine und mittlere Unternehmen, Handwerksbetriebe und Selbstständige bei deren Umsetzung. Seit Juli 2020 wird eine Befragung zur Entwicklung einer Weiterbildungsplattform „IT-Sicherheit“ durchgeführt.

Das Ziel des Projekts „KMU. Einfach Sicher.“ ist es, kleine und mittlere Unternehmen (KMU) in die Lage zu versetzen, ihre IT-Sicherheit eigenständig zu verbessern. Da viele Unternehmen über zu wenig Zeit, Geld und Know-how für ein effizientes Sicherheitsmanagement verfügen, wird eine kostenlose Weiterbildungsplattform für KMU entwickelt. Eine Risikoanalyse sowie Schulungsmodule mit individuell auf den Bedarf der Lernenden ausgerichteten Inhalten werden bald auf der Plattform zu finden sein.

Der Steuerkreis der Initiative „IT-Sicherheit in der Wirtschaft“ wurde im März 2019 erstmals einberufen. Er setzt sich aus IT-Sicherheitsexperten aus Wirtschaft, Wissenschaft und Verwaltung zusammen. Als Lenkungsgremium berät der Steuerkreis die Initiative, liefert Impulse und unterstützt sie dabei, IT-Sicherheitsmaßnahmen bekannter zu machen und umzusetzen.

Weitere Ziele der Initiative „IT-Sicherheit in der Wirtschaft“ sind:

  • Sensibilisierung und Unterstützung von KMU und Handwerk beim Thema IT-Sicherheit,
  • Stärkung von Wettbewerbs- und Innovationsfähigkeit von KMU durch den sicheren Einsatz digitalisierter Prozesse und Geschäftsmodelle,
  • Förderung technologischer, organisatorischer und arbeitsgestaltender Sicherheitskompetenzen,
  • Erhöhung des IT-Sicherheitsniveaus in KMU.

IT-Sicherheitskonzept für kleine Unternehmen erstellen

Für Sicherheitskonzepte im IT-Bericht ist grundsätzlich die Unternehmensleitung zuständig. Für die Erarbeitung sollte diese sich von internen oder externen IT-Fachleuten beraten lassen.

Vorschriften über IT-Sicherheit enthält die EU-Datenschutz-Grundverordnung. Die Verantwortlichen müssen sicherstellen, dass die Verarbeitung gemäß der DSGVO erfolgt und wenn nötig überprüft und aktualisiert werden (Art. 24, Abs. 1 DSGVO). Vorschriften über Sicherheit der Verarbeitung gibt es auch in Art. 25 DSGVO und Art. 32 DSGVO. Wichtig: Die Maßnahmen müssen nachweisbar sein.

Dies gilt nicht nur für Unternehmen, sondern auch für Vereine oder andere soziale Organisationen oder Medien. Deren Verantwortliche müssen also dieselben Sicherheitsmaßnahmen ergreifen wie die Unternehmer.

Die Broschüre des BMWi „IT-Sicherheitsmanagement in kleinen und mittleren Unternehmen“ enthält Empfehlungen für kleinere und mittlere Unternehmen über Datensicherung.

Die Unternehmer sollten nicht davor zurückschrecken, Cyber-Delikte anzuzeigen. Dafür stehen die zentralen Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen der Länder zur Verfügung.

Checkliste IT-Sicherheitskonzept  für kleine Unternehmen:

  • Schutzvorschriften der DSGVO beachten,
  • Vorschriften zur Aufbewahrung von Daten beachten,
  • Sicherheitskonzept erstellen, das ist Aufgabe der Geschäftsleitung in Zusammenarbeit mit IT-Fachleuten,
  • Ziele und Sicherheitsstrategie beschreiben,
  • Sanktionierung bei Verstößen gegen die Richtlinie festlegen,
  • regelmäßige Überprüfung von Sicherheitsmaßnahmen,
  • Schulungs- und Weiterbildungsmaßnahmen,
  • Verantwortliche für die IT-Sicherheit und deren genaue Funktion benennen,
  • Daten auf einem haltbaren Medium aufbewahren,
  • Datenbestand auf den Rechnern in möglichst wenigen Ordnern in einer klaren Struktur organisieren,
  • Verschlüsselungs- und Scanmaßnahmen treffen.

Weitere interessante Artikel:

Vorbereitung eines IT Audit

Cyber Risiken: Versicherung bietet Schutz

Cyber Risiken: Versicherung bietet Schutz

Schlagworte zum Thema:  IT-Sicherheit, IT-Recht, IT-Infrastruktur