IT-Sicherheitskonzepte als strategische Faktoren in Unternehmen

Bei der Etablierung von IT-Sicherheitskonzepten werden häufig bestimmte Fachausdrücke verwendet. Daher ist es sinnvoll, diese zu Beginn voneinander abzugrenzen. IT-Sicherheit wird oft mit Informationssicherheit gleichgesetzt. Obwohl sich beide Begriffe überschneiden, umfassen sie allerdings unterschiedliche Aspekte. Um zu verstehen, was genau IT-Sicherheit meint, ist es sinnvoll, vier Begriffe voneinander abzugrenzen:

1. IT-Sicherheit
2. Informationssicherheit
3. Cyber-Sicherheit bzw. Netzwerksicherheit
4. Datenschutz

Die IT-Sicherheit (auch: IT-Security) als Konzept in Unternehmen oder im privaten Umfeld bezieht sich auf die gesamte Informationstechnik:

• Hardware (z. B. PCs, Server, Drucker, USB-Sticks)
• Mobile Geräte (z. B. Laptops, Tablets und Smartphones)
• Netzwerke (z. B. Unternehmens- oder Heimnetzwerke)
• Betriebssysteme und Software-Anwendungen, Open-Source-Software
• Cloud-Dienste (z. B. Apple iCloud, Google Drive, Microsoft OneDrive)
• Speichern und Übertragen von Daten (z. B. E-Mail, in der Cloud)

Ein IT-Sicherheitskonzept umfasst also den Schutz der IT-Systeme vor Bedrohungen, Angriffen, Manipulationen, Beschädigungen, unrechtmäßigen Zugriffen und Diebstahl. Es beinhaltet zudem die korrekte Funktionsweise und Zuverlässigkeit der genutzten IT.

Die Informationssicherheit ist breiter gefasst als die IT-Sicherheit: Mit der Informationssicherheit sollen analoge wie digitale und personenbezogene wie nicht personenbezogene Daten aller Art geschützt werden:

• Kundendaten
• Rechnungsdaten
• Personaldaten
• Buchhaltungsdaten
• Prozessdaten
• Forschungs- und Entwicklungsdaten

Cyber-Security-Maßnahmen in Firmen ähneln den IT-Sicherheitskonzepten in Unternehmen – mit einem Unterschied: Sie beziehen sich auf den Schutz von IT-Systemen mit einer Verbindung zum Internet.

Datenschutz beschreibt die organisatorischen und technischen Maßnahmen, damit Daten nicht missbraucht werden. Der Umgang mit der Datensicherheit ist für Unternehmen genauso wichtig wie ein IT-Sicherheitskonzept, denn sie müssen in jedem Fall die gesetzlichen Datenschutzvorgaben erfüllen.

Um zu verstehen, wofür man ein Sicherheitskonzept benötigt, gilt es, die wichtigsten Anforderungen zu kennen. IT-Sicherheit, Informationssicherheit, Cyber-Sicherheit und Datenschutz verfolgen alle dieselben Schutzziele:

Warum sind IT-Sicherheitskonzepte für Unternehmen so wichtig? Weil Unternehmen und Selbstständige durch die Digitalisierung der Wirtschaft entsprechend digitaler arbeiten und Geschäftsprozesse virtuell ablaufen. Dabei spielen verschiedene Faktoren eine Rolle:

1. Du arbeitest häufig im Homeoffice, in Business-Hubs oder in einem Coworking-Space.
2. Du nutzt neben dem Desktop-PC weitere mobile Endgeräte, um unterwegs zu arbeiten und auf Unternehmensdaten zuzugreifen.
3. Du tauschst Daten zwischen Mitarbeitern, Kollegen, Kunden, Auftraggebern und Lieferanten überwiegend elektronisch aus.
4. Du nutzt immer mehr Anwendungen und Dienste in der Cloud.

Die Cyber-Bedrohungen nehmen von Jahr zu Jahr an Intensität zu. Durch ein unzureichendes IT-Sicherheitskonzept wird es dadurch nur wahrscheinlicher, irgendwann zum Angriffsziel von Cyber-Attacken zu werden. Die Folgen sind häufig verheerend:

Ein erfolgreicher Cyber-Angriff führt nicht nur dazu, dass Geräte nicht mehr bedienbar sind oder Datenbestände verloren gehen, sondern kann auch einen vollständigen Systemausfall bedeuten. Die Opfer haben darüber hinaus einen immensen finanziellen Schaden, wenn sie z. B. Strafzahlungen aufgrund von Datenverlusten leisten müssen. Außerdem führt eine Kompromittierung oft zu Image- und Vertrauensverlust.

Cyberangriffe kommen in verschiedenen Formen vor:

• Phishing: Gefälschte, aber authentisch wirkende E-Mails enthalten bösartige Links oder Anhänge.
• Ransomware: Gelingt es einem Angreifer, diese Malware-Art auf einem Gerät zu installieren, kann er den Zugriff auf das Gerät unterbinden oder Daten auf dem Gerät verschlüsseln. Für die (angebliche) Freigabe des Geräts oder der Daten wird ein Lösegeld verlangt.
• Man-in-the-Middle-Angriff: Die Kommunikation zwischen zwei Personen per E-Mail wird von einem Dritten abgefangen.
• Potenziell unerwünschte Anwendungen (PUA): Diese Schadsoftware wird mit einer anderen Software unbemerkt heruntergeladen. Ziel ist es, dem Opfer übermäßig viel Werbung anzuzeigen oder Datenbestände über das Surfverhalten des Opfers zu sammeln.
• Malware: Diese bösartigen Programme stehlen persönliche Daten oder die Zugänge zu Geräten. Es gibt verschiedene Malware-Arten, wie Viren, Trojaner, Spyware oder Keylogger.

Die Investition in IT-Sicherheitskonzepte lohnt sich in vielerlei Hinsicht. Behalte bei der Umsetzung von Sicherheitsstandards die folgenden Punkte im Hinterkopf:

1. Du bist optimal vor Bedrohungen geschützt.
2. Du schützt nicht nur Daten, sondern auch dein gesamtes Know-how.
3. Du hältst dank des Sicherheitsmanagements Gesetze und Vorgaben ein.
4. Du sicherst dir die Zufriedenheit und das Vertrauen deiner Kunden.
5. Du vermeidest die Kosten sowie den Stress, Frust und Aufwand eines Sicherheitsvorfalls.

Das Motto der IT-Sicherheit lautet „Agieren und nicht nur reagieren“ - entsprechend handelt es sich um ein vielschichtiges Konzept. Für folgende Unternehmensbereiche ist eine Aktualisierung der IT-Sicherheit relevant:

• Technik (Software, Hardware, Geräte usw.)
• Infrastruktur (z. B. Rechenzentrum, Cloud-Dienste, Netzwerke usw.)
• Organisation (Daten und Dokumente, Überwachung der Sicherheit usw.)
• Personal (Beauftragter für das IT-Sicherheitskonzept usw.)

Eine Firewall oder eine Anti-Viren-Software ist meistens installiert. Aber wie kannst du als Unternehmer deine Cyber-Resilienz erhöhen und weiteren Schutz sicherstellen? Du brauchst kein kompliziertes Information-Security-Management-System. Nutze den folgenden Umsetzungsplan und verbessere dein Sicherheitsniveau mithilfe unserer Experten-Tipps für dein IT-Sicherheitskonzept.

Abgesehen von den Hintergründen und Zielen ist es auch wichtig zu wissen, welche Bestandteile in ein IT-Sicherheitskonzept gehören. Folgende Handlungsempfehlungen solltest du bei der Umsetzung von Sicherheitsrichtlinien berücksichtigen:

• Status quo ermitteln: Führe eine Bestandsanalyse durch. Kläre hierbei, welche Dokumente, Zugriffe und andere Unterlagen überhaupt Schutz benötigen. Die ausgearbeiteten Geltungsbereiche hältst du alle in einer Liste fest.
• Ablauf festlegen: Definiere im Rahmen der IT-Strukturanalyse alle Assets und gliedere diese in Teilbereiche, um die Geschäftsprozesse zu visualisieren.
• Prioritäten setzen: Lege in der Schutzbedarfserstellung fest, welche Bereiche oder Abläufe welches Ausmaß an Schutz benötigen. Priorisiere diese in einem Ranking-System.
• Anforderungen berücksichtigen: Prüfe, welche behördlichen Bestimmungen in Verbindung mit den geplanten Maßnahmen stehen. Bei der Umsetzung eines IT-Sicherheitskonzepts sind die Richtlinien der DSGVO zu berücksichtigen.
• Maßnahmen testen: Führe am Ende eine Risikoanalyse durch, um die realisierten Implementierungen zu prüfen. Kontrolliere genau, ob du die geplanten Sicherheitsziele auch erreicht hast.

Damit du in deinem Unternehmen ein ganzheitliches IT-Sicherheitskonzept umsetzt, gilt es, eine Reihe von Vorkehrungen einzuhalten. Du profitierst von den folgenden Maßnahmen:

• Technische Maßnahmen
• Infrastrukturelle Maßnahmen
• Organisatorische Maßnahmen
• Personelle Maßnahmen

Wenn du ein IT-Sicherheitskonzept ausarbeiten möchtest, ist es definitiv sinnvoll, schrittweise vorzugehen. Setze folgende Punkte um, um Beeinträchtigungen auszuschließen:

1. Bewahre deine Kennwörter in einem Passwort-Manager auf.
Ein Password-Safe ist nicht knackbar, da es mit einem Master-Kennwort geschützt ist. (Das Bundesamt für Informationssicherheit empfiehlt auf seinem Internetauftritt die kostenlose Software KeePass.) Denk daran, sichere Kennwörter zu verwenden und diese regelmäßig zu ändern.

2. Nutze die Zwei-Faktor-Authentifizierung.
Sie schützt deine Onlinekonten gleich doppelt: Du gibst nicht nur dein Kennwort ein, sondern musst auch ein weiteres Einmalkennwort eingeben (das dir per E-Mail zugeschickt wird) oder eine generierte, elektronische TAN verwenden (z. B. beim Online-Banking).

3. Nutze eine E-Mail-Verschlüsselung.
Damit kannst du im Sinne des IT-Sicherheitskonzepts sensible Informationen zwischen Sender und Empfänger austauschen. Nachrichten, die ein Verschlüsselungsverfahren durchlaufen, können nicht gelesen werden, selbst wenn sie abgefangen werden. Weise deine Mitarbeiter außerdem darauf hin, unbekannte Mails und vor allem deren Anhänge nicht zu öffnen.

4. Richte deinen Spamfilter besser ein.
Konfiguriere die Einstellungen deines Spamfilters, damit du weniger Phishing- und Junk-Mails erhältst.

5. Verschlüssele deine Festplatte.
Mit einer Verschlüsselungssoftware wie VeraCrypt erstellst du verschlüsselte Container für deine Daten (VeraCrypt wird vom BSI empfohlen).

6. Richte ein VPN ein.
Ein VPN (Virtual Private Network) bietet in deinem IT-Sicherheitskonzept zwei Vorteile: Die Datenübertragung wird verschlüsselt und deine Privatsphäre im Internet geschützt. Ein VPN wird beispielsweise beim Surfen in öffentlichen WLANs empfohlen.

7. Installiere eine gute Anti-Viren-Software.
Eine Anti-Viren-Software wehrt Bedrohungen ab und schützt deine Geräte aktiv gegen Cyberkriminalität. Es gibt kostenlose und kostenpflichtige Sicherheitssoftware. Letztere liefert meist einen höheren Schutz.

8. Richte eine Firewall ein.
Eine Firewall ist – wie die Anti-Viren-Software – eine der Maßnahmen, die so gut wie jedes Unternehmen von Beginn an nutzt. Dennoch sollte dieser Sicherheitsmechanismus nicht vernachlässigt werden und immer auf aktuellem Stand sein.

9. Halte Software, Betriebssystem und Browser aktuell.
Installiere nur Original-Software. Achte darauf, dass du kein Update auslässt: Das ist dein bestes Schwachstellenmanagement! Updates schließen Sicherheitslücken, durch die Hacker auf deine Geräte gelangen.

10. Sichere deine Daten regelmäßig.
Damit du deine Daten auch im schlimmsten Fall nicht verlierst, solltest du regelmäßig Backups vornehmen. Das ist auch unabhängig von deinem IT-Sicherheitskonzept von Vorteil, denn technische Defekte können schließlich auch zu einem Datenverlust führen. 

Für die IT-Sicherheit deines Unternehmens, sollten bestimmte Prozesse, wie das Versenden von Nachrichten verschlüsselt sein. Für die Verbesserung des Schutzniveaus gibt es mehrere Optionen und Standards:

• Eine weit verbreitete Methode bei der Kommunikation ist die sogenannte asymmetrische Verschlüsselung.
• Diese funktioniert mit zwei virtuellen Schlüsseln: dem Public Key, der die Nachricht verschlüsselt, und einem Private Key, den nur der Empfänger besitzt, der sie wieder entschlüsselt.
• Dabei ist der Public Key – also der öffentliche Schlüssel – in einem Zertifikat enthalten, das wiederum Informationen über den Sender einer Nachricht bzw. den Ersteller eines Dokuments enthält.
• Damit du mithilfe dieser Zertifikate auch extern kommunizieren kannst, gibt es Public Key Infrastrukturen (PKI).
• Diese stellen sicher, dass nur vertrauenswürdige Quellen bzw. Empfänger Zugriff auf das entsprechende Zertifikat und somit den Private Key erhalten.
• Auch mittlerweile etablierte Verschlüsselungsalgorithmen, wie RSA – die Daten verschlüsseln, die über das Internet verschickt werden – nutzen oftmals eine Art dieses Schlüsselsystems.

Damit ein Unternehmen beispielsweise ihren Kunden die Sicherheit ihrer Daten garantieren kann, gibt es einen gewissen Standard als Orientierung. Diese festgelegte Norm ist dabei ein Leitfaden für Betriebe, nach dem du deine Maßnahmen in der IT-Sicherheit ausrichten kannst. Die aktuelle Norm trägt den Titel ISO/IEC 27001:2022. Um diese Norm bestmöglich zu erfüllen, gibt es auch das IT-Grundschutz-Kompendium, das jährlich vom BSI, also dem Bundesamt für Sicherheit in der Informationstechnik, veröffentlicht wird. 

Erfüllt dein Unternehmen die Vorgaben dieser Norm, kannst du dir dies vom BSI auch per Zertifikat bestätigen lassen. 

Entscheidend für dein IT-Sicherheitskonzept ist ebenfalls, dass du eine Infrastruktur schaffst, mit deren Hilfe du das jeweilige Netzwerk umsetzen kannst.

1. Richte deinen WLAN-Router ein.
Ändere die Standardeinstellungen deines Routers. Du solltest vor allem das Standardkennwort ändern, da Router meistens mit einem Kennwort vorkonfiguriert werden. Damit könnten sich anderenfalls Angreifer einhacken.

2. Verwende ein Backup-Programm.
Erstelle regelmäßig eine Sicherungskopie (Backup) deiner Daten. Als Backup-System eignet sich unter anderem ein NAS (Network Attached Storage), eine Art externer Mini-PC mit Festplatte. Das NAS sollte nach jeder Datensicherung vom Internet getrennt werden, damit es bei einem Angriff nicht mit infiziert wird. Falls nach einem Angriff deine Daten verschlüsselt sind, besitzt du so eine weitere Kopie.

3. Sichere Mobilgeräte vor Verlust und unzulässigem Zugriff.
Laptops und Smartphones sollten immer kennwortgeschützt sein. Arbeitest du viel unterwegs, kannst du dein Gerät mit Notebook-Schlössern vor Diebstahl schützen. Sichtschutzfolien für Laptops verhindern, dass Dritte „mitlesen“.

Führe eine IT-Sicherheitsanalyse durch. Das bedeutet, dass du zunächst protokollierst, welche und wie viele Geräte und Daten du an welchen Orten besitzt. Damit erhältst du einen ersten Überblick und die Basis für dein IT-Sicherheitskonzept. Halte fest, welche Schutzmaßnahmen bereits umgesetzt wurden. Als weitere Orientierungshilfe bietet das BSI außerdem den IT-Grundschutz als Leitfaden an.

Wenn du ein IT-Sicherheitskonzept erstellst, solltest du nicht nur die rein technischen Aspekte in deine Überlegungen einbeziehen, sondern auch personelle Voraussetzungen schaffen.

1. Richte für jeden Mitarbeiter und für jedes Gerät ein eigenes Benutzerkonto mit den entsprechenden Rechten ein.
Richte zusätzlich eine Benutzerrechte-Verwaltung ein. Wenn Malware einen PC infiziert, besitzt diese automatisch die Rechte des jeweiligen Benutzers. Deshalb sollte nicht jeder Mitarbeiter Administratorrechte haben.

2. Sensibilisiere deine Mitarbeiter für IT-Sicherheit.
Du kannst deine Mitarbeiter informieren, aber auch in Schulungen schicken. Suche nach Angeboten neutraler Anbieter einer Beratung zur IT-Sicherheit oder einem IT-Security-Dienstleister. Dabei gibt es sogenannte Phishing-Simulationen, die deine Mitarbeiter praxisnah für den Ernstfall vorbereiten. So fällt es deinen Mitarbeitern zukünftig leichter, Bedrohungen zu erkennen und entsprechend zu meiden.

3. Ernenne einen IT-Sicherheitsbeauftragten.
Wähle ggf. einen Mitarbeiter aus, der sich um die fortlaufende Betreuung des IT-Sicherheitskonzepts kümmert und dieses kontinuierlich begleitet.

4. Protokolliere Regeln zum Arbeiten unterwegs oder im Homeoffice.
Lege fest, wie mobile Geräte zum Arbeiten genutzt werden dürfen. Zum Beispiel kannst du die Nutzung öffentlicher WLANs verbieten.

5. Etabliere einen Notfallplan.
Solltest du trotz der ganzen Maßnahmen in eine missliche Lage geraten, empfiehlt es sich, einen Notfallplan, also einen Leitfaden, für dich und deine Mitarbeiter parat zu haben. Das BSI rät dabei beispielsweise zu folgenden Maßnahmen: 

• Den IT-Notfall so schnell wie möglich dem IT-Sicherheitsbeauftragten melden und ruhig bleiben. 
• Angaben zur meldenden Person und dem betroffenen System machen. 
• Welche Arbeit wurde gerade in welcher Form gearbeitet? 
• Welche Beobachtungen suggerieren eine Bedrohung der IT-Sicherheit? 
• Welches System ist betroffen und wo ist dieses zu finden? 
• Die Arbeit sofort einstellen und, wenn möglich, Beobachtungen notieren und nur nach Anweisung den Sicherheitsbeauftragten vorgehen. 

An dieser Stelle kannst du auch auf Softwarelösungen zurückgreifen, denn es gibt Programme, die die Infrastruktur deiner IT automatisch erfassen und deinen Notfallplan so zu jeder Zeit aktuell halten.

Eine einfache Möglichkeit, dein IT-Sicherheitskonzept aktuell zu halten, ohne dass ein Mitarbeiter eingreifen muss, sind automatische Updates, Backups oder Protokolle.

• Diese müssen meist nur einmalig bestätigt bzw. eingerichtet werden und laufen, im Optimalfall, unbemerkt im Hintergrund.
• Außerdem gibt es, wie erwähnt, Software, die dir dabei hilft, die Struktur deiner IT zu erfassen und Risiken dabei so schnell wie möglich auszumerzen.
• Ein komplett automatisiertes Sicherheitssystem ohne manuelles Eingreifen ist aber, zumindest zum aktuellen Zeitpunkt, noch nicht möglich.

Der Sicherheitscheck: Wie gut ist die IT- und Computersicherheit deines Unternehmens? Um das zu beantworten, stellst du dir folgende Fragen:

• Welche Hardware und Software setze ich ein? Wie sind sie geschützt?
• Wer hat Zugang zu meinem Büro oder Arbeitsplatz?
• Wie sieht die Zugangskontrolle zu meinem Büro/Arbeitsplatz und zu meinen Geräten aus?
• Haben alle Gerätenutzer ein Benutzerkonto, individuelle Benutzerrechte und ein sicheres Kennwort?
• Wie sicher sind meine Kennwörter? Wann habe ich sie zum letzten Mal geändert?
• Wie und wo bewahre ich meine Kennwörter auf?
• Wie steht es um die Datensicherheit? Welche Daten erfasse, speichere und übertrage ich? Wo speichere ich sie?
• Muss ich die Norm 27001 ISO oder andere Sicherheitsgesetze erfüllen, die einen IT-Grundschutz fordern?
• Habe ich ein Konzept für meine Datensicherung?
• Wie gut bin ich vor Cyberangriffen geschützt?
• Kennen meine Mitarbeiter die Gefahren von Cyberangriffen und Social Engineering?
• Gibt es einen (aktuellen) Notfallplan bei Ausfällen?
• Ist eine Diebstahlsicherung von Mobilgeräten vorhanden?