Hessenpunkte rot
Infokorb

Mit dem Infokorb können einzelne Artikel gezielt gesammelt werden. Die Daten werden im PDF-Format in den Infokorb gelegt und können anschließend gespeichert und gedruckt werden.

Artikel hinzufügen Artikel hinzufügen
Artikel entfernen Artikel entfernen

Ansprechpartner

Christian Flory
Christian Flory

Schwerpunkte Online-Markt,
Games und Netzwerke


Telefon: 0611 95017-8423

via E-Mail kontaktieren

Was versteht man unter IT-Sicherheit?

IT-Sicherheit wird verstanden als ein Bestandteil der Unternehmenssicherheit. Hierzu gehören u.a. auch Themen wie Gebäude- und Zugangssicherheit, Personalsicherheit, Datenschutz und -sicherheit, Vertrags- und Finanzierungssicherheit sowie Prozesssicherheit. Alle sind dabei mehr oder weniger intensiv untereinander, also auch mit der IT-Sicherheit, gekoppelt.

IT-Sicherheit 

Bestandteile der IT-Sicherheit
Betrachten wir die IT-Sicherheit näher, kann man sie wie folgt untergliedern: Ohne eine gute Passwortpolitik ist ein wirksamer Zugriffschutz kaum möglich. Wo immer es technisch möglich ist, eine Mindestqualität und -aktualisierungsfrequenz für Passwörter vorzuschreiben (etwa in Firmennetzwerken und Betriebssystemen von Einzelrechnern wie Webserver und Laptop), sollte diese Option genutzt werden. Beispielsweise können Passwörter mit mindestens acht Zeichen, darunter mindestens ein Sonderzeichen, durchgesetzt werden, die maximal einen Monat oder 100 Nutzungen lang gültig sind.

Zur Sicherung des Zugriffsschutzes werden Firewalls, Intrusion Detection Systeme und eine detaillierte Nutzerrechtevergabe eingesetzt. Auch beim Datenträgerhandling lassen sich kurz wichtige Punkte ansprechen. Natürlich ist es essenziell, Backups von allen Datenträgern im Unternehmen periodisch zu erstellen, die Frequenz und das Verfahren hierfür hängen jedoch von der Aktualisierungsfrequenz der Daten und ihrer Wichtigkeit für das Unternehmen ab. Bei statischen Websites kann eine monatliche manuelle Sicherung ausreichen, bei eCommerce-Transaktionsdaten kann eine stündliche, automatische, inkrementelle Sicherung erforderlich sein. Diese letzte Sicherungsmethode würde dann nur die Veränderung der letzten Stunde im Datenbestand speichern. Für Firmennetzwerke ohne besondere Anforderungen hat sich ein nächtliches, inkrementelles Backup bewährt. Das Augenmerk sollte aber auf der Frage liegen: „Wie schnell kann ich den letztmöglichen Betriebszustand wiederherstellen?“ Hierfür sind zusätzlich etwa die Verfügbarkeit notfallgeschulter Mitarbeiter, die Verfügbarkeit der Backups und die Gesamtkonzeption der IT-Infrastruktur zu bewerten. Ebenfalls zum Datenträgerhandling gehört die Ausfallsicherheit der Systeme, die zumeist durch unabhängige Stromversorgung (USV) und Redundanz mehrerer Komponenten (z.B. Festplatten) erreicht wird.

Neben Datensicherung ist auch die Datenvernichtung ein wichtiger Aspekt der IT-Sicherheit. Dies gilt sowohl für Ausdrucke von geschäftsrelevanten Daten wie auch für den Verkauf von Hardware. Es wird bspw. bei der Abgabe von Hardware empfohlen die Festplatte auszubauen und physikalisch so zu zerstören, dass die Daten darauf nicht wiederhergestellt werden können. Dieses Vorgehen dient nicht nur dem Schutz Ihrer Betriebsinterna sondern auch allgemeinen Ansprüchen des Datenschutzes.

Datenverschlüsselung empfiehlt sich insbesondere bei mobilen Geräten wie Laptops, Mobile-Phones, USB-Sticks oder externe Festplatten. Darüber hinaus ist Datenverschlüsselung wichtig für vertrauliche Kommunikation wichtiger Informationen per E-Mail oder VPN - auch Datensicherungsbänder oder der firmeninterne Datenverkehr über Luftschnittstellen sollte ausreichend sicher verschlüsselt werden, um von einer Basisvertraulichkeit der eigenen Daten auszugehen. Alle Sicherheitsmaßnahmen können jedoch ausgehebelt werden, wenn die Mitarbeiter nicht ausreichend sensibilisiert und geschult sind. Studien zufolge gehen die meisten Sicherheitsvorfälle von Mitarbeitern aus, sei es aus Vorsatz oder einfach aus Unwissenheit.

 

Auswirkungen von Sicherheitsvorfällen
Zunächst müssen bei Sicherheitsvorfällen die Kosten der Behebung berücksichtigt werden. Das kann sich auf das Einspielen eines selektiven oder kompletten Backups begrenzen, über das händische Überarbeiten aller einzelnen Computer des Unternehmens bis hin zur Neuplanung und -entwicklung von durch Geheimnisverrat kompromittierten Innovationen gehen. In anderen Fällen lässt sich recht direkt ein Umsatzausfall durch das eCommerce- / eBusiness-System errechnen, darüber hinaus Kann ein IT-Problem eines Zulieferers zur Auslistung beim Abnehmer führen. Ein schwerer quantifizierbarer Schaden entsteht möglicherweise durch einen Imageschaden, etwa im Zusammenhang mit der ungewollten Veränderung der eigenen Website-Homepage. Defacement nennt man in der Fachsprache diesen meist von Skript Kiddies verursachten Angriff. Noch ernster muss man die Haftungsproblematik in mehrerlei Hinsicht nehmen: die Geschäftsführung / der Vorstand ist für die Risikovorsorge des Unternehmens gemäß KonTraG verantwortlich, d.h. er ist für die Einrichtung eines Prozesses für die Etablierung der Unternehmenssicherheit einschließlich der IT-Sicherheit verantwortlich und kann für das Fehlen dieses Prozesses persönlich haftbar gemacht werden.

Darüber hinaus ist das Unternehmen verantwortlich, wenn seine IT-Infrastruktur für Angriffe auf andere missbraucht wird und wenn die Infrastruktur nicht revisionsfähig ist, d. h. Besteuerungsgrundlagen nicht nachvollziehbar sind. Im letzten Fall kann dies eine äußerst ungünstige Steuerschätzung zur Folge haben. Wenn man sich den Wert der eigenen unternehmenskritischen Prozesse anschaut und diese mit wohlkalkulierten Maßnahmen absichert, lässt sich also eine sinnvolle Sicherung des Gesamtunternehmens mithilfe der IT-Sicherheit erreichen.

 

Artikel dem Infokorb hinzufügen
  verwandte Themen