Cyberangriffe sind an der Tagesordnung und richten große Schäden an. Vor allem im alltäglichen Umgang mit IT-Systemen stellt sich oft eine Routine ein, die von Cyberkriminellen ausgenutzt werden kann. Ein grundsätzliches Verständnis zur Wichtigkeit einer sicheren und funktionierenden Informationstechnik ist im Mittelstand meist vorhanden. Allerdings sind die getroffenen Sicherheitsmaßnahmen oft nicht ausreichend oder es bestehen Lücken bei der Absicherung.
Häufig wird Informationssicherheit mit hohen Kosten und komplexen technischen Fragen verbunden. Das wirkt abschreckend und verhindert eine eingehende Beschäftigung mit der Materie. Mit einem IT-Sicherheitscheck in Anlehnung an den vom Bundesamt für Sicherheit in der Informationstechnik entwickelten IT-Grundschutz haben speziell kleine und mittelständische Unternehmen ein budgetfreundliches Werkzeug an der Hand, um einen bezahlbaren Einstieg in die Verbesserung der Informationssicherheit zu ermöglichen. Der Check und die abgeleiteten Handlungsanweisungen helfen dabei, wichtige Unternehmenswerte, wie z.B. Entwicklungspläne, vertrauliche Informationen und Geschäftsdaten, gegen Diebstahl oder sonstigen Verlust zu schützen. Die Methodik und der Inhalt des IT-Sicherheitschecks wurden von Experten des Instituts für Technologiequalität (ITQ) entwickelt. Diese Vorgehensweise – einen geeigneten Einstieg in die Informationssicherheit zu schaffen und auf Basis der Prüfung das eigene Sicherheitsniveau festzustellen, zu verbessern und aufrechtzuerhalten – hat sich in jahrelanger Praxis vielfach bewährt.
Neben der Prüfung der technischen Voraussetzungen werden auch organisatorische sowie infrastrukturelle Vorgaben geprüft und gemeinsam bedarfsgerechte Maßnahmen ausgewählt, um die Sicherheit zu steigern. Objekte des Sicherheitschecks sind Geschäftsprozesse, Anwendungen, IT-Systeme und betriebsrelevante Räumlichkeiten des Unternehmens.
Oftmals können bereits durch wenig kostenintensive Maßnahmen große Erfolge erzielt und das Sicherheitsniveau des Unternehmens deutlich gesteigert werden. Die Erfahrung hat gezeigt, dass im Mittelstand häufig im organisatorischen Bereich Nachholbedarf besteht und durch eine kurzfristige Umsetzung von Maßnahmen – ohne großen finanziellen Aufwand – viel zur Steigerung der Informationssicherheit beigetragen werden kann.
Nach Durchführung der Prüfung wird der Unternehmensleitung ein Ergebnisbericht übergeben, der den derzeitigen Stand der Informationssicherheit mit dem Idealbild vergleicht. Darauf aufbauend wird ein Katalog mit Maßnahmenempfehlungen zur Verfügung gestellt. Diese zeigen, wie erfasste Mängel beseitigt werden können. Die Reihenfolge der Maßnahmen wird anhand bestehender Risiken und Wirkungsreichweite festgelegt, besonders kritische Mängel werden entsprechend hervorgehoben. Auf Basis des vorgeschlagenen Empfehlungskatalogs können Unternehmen dann die Reihenfolge der Umsetzung selbst bestimmen und wählen, welche Maßnahmen im Betrieb getroffen werden sollen – wobei insbesondere wirtschaftliche Gesichtspunkte abgewogen werden können. Informationssicherheit ist keine einmalige Handlung, sondern als wiederkehrender Prozess zu verstehen. Das avisierte Sicherheitsniveau kann Schritt für Schritt verbessert und jährlich erneut überprüft werden.
Teilen:
