RM: Herr Pastars, Sie plädieren dafür, die IT-Sicherheit im eigenen Unternehmen unbedingt im Blick zu haben. Wie sehr ist das schon im Bewusstsein der Entscheider?
Fabio Pastars: Viele Unternehmensleitungen wissen leider nicht, wie wichtig das Thema IT-Sicherheit für sie ist. Man weiß zwar, dass man sein Netzwerk irgendwie schützen muss, aber es ist nicht klar, was das konkret bedeutet und was für die eigene Unternehmensgröße und Branche angemessen ist. Etwas besser aufgestellt sind Unternehmen, die bereits einen Datenschutzbeauftragten haben, denn der muss natürlich auch immer auf die IT-Sicherheit achten, um insbesondere auch die personenbezogenen Daten zu schützen, was in der Regel alle andere Daten mit einschließt.
RM: Was raten Sie Unternehmen, die ihre IT-Sicherheit verbessern wollen?
FP: Um herauszufinden, was zu tun ist, müssen Sie immer erst einmal eine Bestandsaufnahme des Ist-Zustandes machen. Dazu lassen Sie am besten jemand Externes kommen, der ein Sicherheits-Audit durchführt – und Ihnen als Verantwortlichen gezielt Maßnahmen empfiehlt bzw. bestätigt, was sie bisher richtig gemacht haben.
RM: Wie sieht so ein IT-Sicherheits-Audit aus?
FP: Ein guter Weg ist die Durchführung einer ITQ-Basisprüfung. Die besteht aus einem etwa 120 Fragen umfassenden Katalog, der die gesamte Bandbreite der IT-Sicherheitsmaßnahmen eines mittelständischen Unternehmens abbildet. Dieses Prüfverfahren führen auch wir durch – seit wir vor zwei Jahren begonnen haben, mit dem ITQ-Institut zu kooperieren, das diese IT-Sicherheitsprüfung entwickelt hat. Die Basisprüfung ist für die meisten Unternehmen erst einmal ausreichend. Sie zeigt grobe Handlungsfelder auf – und macht deutlich, bei welchen Themen eventuell mehr in die Tiefe gegangen werden muss.
RM: Wie groß ist der Zeitaufwand für die geprüften Unternehmen?
FP: Bei einer ITQ-Basisprüfung sind wir in der Regel zwischen einem halben und ganzen Tag beim Kunden, um gemeinsam die Fragen durchzuarbeiten. Dazu machen wir eine Sichtprüfung der relevanten Bereiche, wie z.B. des Serverraums. Auf dieser Grundlage erstellen wir einen Bericht. Die sichtbar werdenden Handlungsfelder gehen wir dann in einem zweiten Termin mit dem Kunden durch und empfehlen Maßnahmen und unterstützen bei der richtigen Priorisierung. Der Gesamtaufwand liegt also etwa bei zwei Tagen. Das Ganze könnte sich unserer Meinung nach am Pareto-Prinzip orientieren. Das heißt, man kann mit einem relativ begrenzten Aufwand die allermeisten Ziele erreichen.
RM: Was könnte zu erhöhtem Aufwand führen?
FP: Entscheidend für den erforderlichen Sicherheitsstandard ist häufig die Branche des Unternehmens. Automobilzulieferer bekommen von ihren Auftraggebern z.B. detaillierte Vorgaben zum notwendigen Sicherheitslevel. Und bei einem Pflegedienst oder Krankenhaus sind die zu schützenden Daten sehr viel sensibler als beispielsweise bei vielen Produktionsbetrieben. Ansonsten hängt die Frage nach dem nötigen Sicherheitsstandard vom konkreten Einzelfall ab.
RM:Welche IT-Sicherheitsmaßnahmen führen Sie für Ihre Kunden durch?
FP: Wir unterstützen unsere Kunden gerne mit unseren „Managed Services“, bei denen wir modular den Betrieb einzelner Dienste oder ganzer Infrastrukturen übernehmen und sicherstellen. Das heißt, wenn wir z.B. die Antivirus-Software (Managed Antivirus) organisieren, kümmern wir uns fortlaufend darum, dass die Virenschutz-Software auf allen Rechnern läuft, stets auf dem neuesten Stand ist und dass die Signaturen immer aktuell sind. Ein wichtiger Teil der IT-Sicherheit sind auch Backups. Denn Datenverluste kommen einem Unternehmen unter Umständen teuer zu stehen. Dabei können die Backups sowohl intern beim Kunden abgelegt werden als auch – häufig noch besser – in einer Cloud. Denn wenn im Worst Case einmal das gesamte Unternehmen abbrennt, hat der Kunde zumindest noch alle relevanten Daten für den Neuanfang. Die Online-Backups unserer Kunden speichern wir in unserem Rechenzentrum in Düsseldorf, was zusätzlich Sicherheit gegen totalen Datenverlust gibt.
RM: Was ist darüber hinaus wichtig?
FP: Sehr oft muss die Technik durch organisatorische Maßnahmen flankiert werden – vor allem, indem man Regeln schafft, was man im System darf und was nicht. Es muss klar sein, was ich privat nutzen darf, welche Voraussetzungen es für das Schreiben und Löschen von E-Mails gibt. Dazu gehört auch eine „Passwort-Policy“. Auch müssen die Mitarbeitenden für Sicherheitsfragen sensibilisiert werden. Sie müssen wissen, wie sie mit bestimmten Mails umgehen oder auf Phishing-Anrufe reagieren, worauf sie antworten dürfen und worauf nicht. Dabei ist es natürlich wichtig, die Leute nicht zu gängeln – und trotzdem die notwendigen Sicherheitsstandards einzuhalten.
Zur Sicherheit gehört für uns aber auch, die Hardware immer auf dem neuesten Stand zu halten. Häufig werden Geräte länger gehalten, als es sinnvoll ist. Wenn Sie z.B. einen Server wirklich sieben Jahre nutzen, wie es nach den Abschreibungsregeln bisher vorgesehen war, dann gehen Sie schon mindestens zwei Jahre ins Risiko, weil Sie für das Gerät am Schluss kaum noch Ersatzteile bekommen werden. Wenn Ihnen so ein Server, den Sie für die tägliche Arbeit brauchen, dann ausfällt, sind Sie gezwungen, schnell eine Lösung zu finden, und müssen im Zweifel Kompromisse machen. Besser ist es, Sie handeln rechtzeitig und können die bestmögliche Wahl treffen. Unternehmenskritische Geräte sollten aus Sicherheitsgründen über die gesamte Nutzungsdauer mit einer Garantie versehen sein.
RM: Woran liegt es, dass Unternehmen keine sinnvolle IT-Sicherheitsstrategie fahren?
FP: Leider sind sich viele nicht bewusst, wie wichtig die IT für das Unternehmen ist und dass sie oft der Motor ist, ohne den das Unternehmen kaum handlungsfähig ist. Der wirkliche Stellenwert der IT wird häufig verkannt und daher oft am falschen Ende gespart. Wenn die IT dann ausfällt oder Viren im System sind, gibt es ein unsanftes Erwachen. Dann fallen plötzlich viel höhere Kosten an, als regelmäßig für eine funktionierende IT zu zahlen gewesen wären. IT braucht ein festes Budget in angemessener Höhe. Das zahlt sich langfristig mehr als aus.
RM: Herr Pastars, vielen Dank für das Gespräch!
LEVITECH
Helmholtzstraße 26
41747 Viersen
Ein Porträt des Unternehmens und weitere Informationen zu LEVITECH finden Sie HIER
Teilen: