Stand der IT-Sicherheit ermitteln & verbessern
Wie steht es um die IT-Sicherheit in Ihrem Unternehmen? Machen Sie sich mit einer Bestandsaufnahme ein realistisches Bild und legen so die Grundlage für Verbesserungen. Welche Ansätze gibt es? Wie priorisieren Sie Wichtigkeit und Aufwand?
Inhalt
- Um was geht es? Senken Sie das Risiko für einen erfolgreichen Cyberangriff!
- Bestandsaufnahme zur IT-Sicherheit in Eigenregie: Worauf müssen Sie achten?
- Ihre Mitarbeiter - der wichtigste Garant für IT-Sicherheit in Ihrem Unternehmen
- Prozesse & IT-Sicherheit: Anwender & IT
- Technologien & IT-Sicherheit
- Selbstcheck: Testen Sie mit wenigen Clicks Ihre IT auf Sicherheitsprobleme
- DIN Spec 27076: IT-Sicherheitsberatung für Klein -und Kleinstunternehmen
Um was geht es? Senken Sie das Risiko für einen erfolgreichen Cyberangriff!
Risiko für erfolgreiche Cyberangriffe steigt
2019 lag der Schaden durch Cyberangriffe bei ca. 100 Mrd. Euro. Seit 2021 hat sich das auf über 200 Mrd. Euro verdoppelt Auch registrierte das Bundeskriminalamt im Jahr 2021 146.363 Cyberdelikte, was zwölf Prozent mehr als 2020 sind.
Hinzu kommen durch eine vermutlich sehr hohe Dunkelziffer nicht erfasste Angriffe und viele erfolgreich abgewehrte Cyberangriffe.
Typische Angriffe sind:
- Websites werden vollautomatisch auf Schwachstellen abgetastet,
- Logins werden ausprobiert,
- Netze auf offene Ports gescannt,
- Mails mit Schadsoftware verschickt.
Ziel der Angreifer ist es z. B.
- Verschlüsselungssoftware zu platzieren für eine Ransomware-Erpressung,
- IT außer Gefecht zu setzen mit massenhaften Anfragen (DDoS)
- oder mit maßgeschneiderten Angriffen (Advanced Persistent Threats) gezielt ausgewählte Unternehmen zu unterwandern.
IT-Sicherheit bedeutet , die Wahrscheinlichkeit für einen erfolgreichen Angriff möglichst gering zu halten.
Voraussetzung dafür ist zu wissen,
- welche Angriffsflächen man bietet und
- wie gut diese gegen Angriffsversuche geschützt sind.
Diesen Status der Unternehmens-IT-Sicherheit zu ermitteln bzw. ihn immer wieder zu aktualisieren ist mit einer Reihe von strukturierten Herangehensweisen möglich. Unter Umständen ist bereits an dieser Stelle ein externer Dienstleister hilfreich.
Welche Methoden gibt es, um eine Bestandsaufnahme IT-Sicherheit zu erstellen?
- Ein guter Ansatz für den grundsätzlichen Einstieg für kleinste bis kleinere Unternehmen ist z. B. DIN Spec 27076: Dabei handelt es sich um einen Leitfaden für die "IT-Sicherheitsberatung für Klein- und Kleinstunternehmen".
- Mit dessen Hilfe kann der Ist-Zustand und die wichtigsten Sicherheitsrisiken ermittelt werden.
- Zudem stellt er Anforderungen an die durchführenden IT-Dienstleister.
- Im Ergebnis erhält das Unternehmen Handlungsempfehlungen.
- Auch für kleinere Unternehmen ist CISIS12, das Compliance-Informations-SIcherheits-Management-System in 12 Schritten gedacht. Die "ISA+ Informations-Sicherheits-Analyse" ist ein Teil davon:
- Über 50 Fragen wird der Stand der IT-Sicherheit im eigenen Unternehmen festgestellt.
- Die Analyse kann auch ohne technische Kenntnisse eigenständig durchgeführt werden.
- Als Dienstleister sind hier "Akkreditierte Berater" aktiv.
- Deutlich aufwändiger sind Normen wie ISO/IEC 27001 oder "ISO 27001-Zertifikat auf Basis von IT-Grundschutz".
- Punktuell können Sie die eigene IT-Sicherheit mit Checklisten wie den folgenden hinterfragen:
- Mit diversen Online-Testangeboten können Sie auch eine Einschätzung für bestimmte technische Einstellungen erhalten: Selbstcheck - Testen Sie mit wenigen Clicks Ihre IT auf Sicherheitsprobleme
Bestandsaufnahme zur IT-Sicherheit in Eigenregie: Worauf müssen Sie achten?
Sie möchten die Bestandsaufnahme zur IT-Sicherheit im Unternehmen selbst machen? Dann müssen Sie vor allem drei Punkte im Auge behalten.
- Menschen
Die Mitarbeiter eines Unternehmens sind oft die erste Verteidigungslinie. Sie können aber auch die größte Schwachstelle sein, wenn sie nicht richtig geschult sind. Mitarbeiter wissen, welche Bedrohungen im Raums tehen und wie man damit umgehen kann. Das umfasst Themen wie z.B. Phishing, sichere Passwortpraktiken und die Erkennung verdächtiger Aktivitäten. - Prozesse
Prozesse sind die Verfahren, die ein Unternehmen implementiert, um Abläufe zu gewährleisten. Einerseits sollten Anwender von IT wissen, welche Handlungsoptionen durch Prozessumstellungen z. B. bei einem IT-Ausfall bestehen.
Andererseits muss es Prozesse zur IT-Sicherheit geben: Das reicht von der Meldung von Sicherheitsvorfällen, die Routineüberprüfung von Sicherheitsprotokollen bis zur Durchführung von Sicherheitsaudits. - Technologie
Technologien sind die Werkzeuge und Systeme, die verwendet werden, um ein Unternehmen zu betreiben. Speziell für den Schutz der IT-Infrastruktur gibt es eine ganze Reihe von Technologien die helfen, beispielsweise: Firewalls, Antivirus-Software, Intrusion Detection Systems (IDS), Verschlüsselungsprotokolle.
Ihre Mitarbeiter - der wichtigste Garant für IT-Sicherheit in Ihrem Unternehmen
Bestandsaufnahme: Bieten Sie diese Maßnahmen für Ihre Mitarbeiter an?
- Praktische Verdeutlichung der Risiken, z. b. durch Phishing Simulationen:
Wenn Mitarbeiter in der Praxis sehen, wie angreiffe aussehen können, prägt sich dies gut ein. Eine Art von Praxisübung ist es, Mitarbeiter betrügerische (Test-)E-Mails zu schicken, die z. B. dazu dienen, sensible Informationen zu erbeuten oder Malware zu verbreiten. - Schulung und Aufklärung:
Regelmäßige (ggf. verpflichtende) Schulungen zur IT-Sicherheit sind unerlässlich, um die Mitarbeiter über die neuesten Bedrohungen und Best Practices auf dem Laufenden zu halten. Dies kann Schulungen zu Themen wie Phishing, sichere Passwortpraktiken, Umgang mit sensiblen Daten und mehr umfassen. - Sicherheitsrichtlinien:
Das Unternehmen sollte klare und leicht verständliche Sicherheitsrichtlinien haben, die den Mitarbeitern die Erwartungen in Bezug auf die IT-Sicherheit klar machen. Diese Richtlinien sollten regelmäßig überprüft und aktualisiert und den Mitarbeitern zugänglich gemacht werden. - Sicherheitskultur:
Die Förderung einer Kultur der Sicherheit, in der die IT-Sicherheit als gemeinsame Verantwortung und nicht nur als Aufgabe der IT-Abteilung angesehen wird, kann die Beteiligung der Mitarbeiter erhöhen. Dies kann durch regelmäßige Kommunikation und Einbeziehung der Sicherheit in die allgemeine Unternehmensstrategie erreicht werden. - Einfache Meldeprozesse:
Wenn Mitarbeiter eine potenzielle Sicherheitsbedrohung bemerken, sollten sie diese problemlos melden können. Ein klarer, einfacher und vertraulicher Meldungsprozess kann dazu beitragen, dass mehr Bedrohungen erkannt und adressiert werden.
Hier finden Sie Tipps, um Mitarbeiter und Mitarbeiterinnen beim Thema Informationssicherheit mit ins Boot zu holen:
- BSI: 3 Tipps für mehr IT-Sicherheits-Awareness
- BSI: Problembewusstsein und sicheres Verhalten
- Bayern Innovativ: "Awareness-Kampagne Cybersecurity – Sicherheitsbewusstsein der Mitarbeitenden stärken"
- Allianz für Cybersicherheit: Awareness-Poster „Psychotricks und Phishing-Maschen“
- European Union Agency for Cybersecurity: "material for raising information security awareness"
- IT Business: Die 10 Phasen der Security Awareness
Seminare findet man z. B. auf https://wis.ihk.de mit dem Stichwort "awareness".
Prozesse & IT-Sicherheit: Anwender & IT
Sind diese Prozesse zur IT-Sicherheit in Ihrem Unternehmen implementiert?
- Richtlinien und Verfahren:
Prozesse helfen, klare Richtlinien und Verfahren für verschiedene Aspekte der IT-Sicherheit festzulegen. Dies kann die Nutzung von Geräten und Software, den Zugriff auf Netzwerke und Daten, die Passworterstellung und -verwaltung und viele andere Bereiche umfassen. - IT-Notfallplan:
Es ist wichtig, Prozesse für den Umgang mit Sicherheitsvorfällen zu haben. Diese Prozesse legen fest, wer in solchen Fällen benachrichtigt wird, welche Schritte unternommen werden, um den Vorfall zu untersuchen und zu beheben, und wie das Unternehmen aus dem Vorfall lernen kann, um zukünftige Vorfälle zu verhindern. - Risikomanagement:
Prozesse helfen dabei, das Risikomanagement in der IT-Sicherheit zu systematisieren. Dies umfasst die Identifizierung und Bewertung von Risiken, die Entscheidung, wie diese Risiken gehandhabt werden sollen (z.B. durch Verminderung oder Akzeptanz), und die kontinuierliche Überwachung und Überprüfung der Risiken. - Kontinuierliche Verbesserung:
Gute Sicherheitsprozesse umfassen Mechanismen für eine kontinuierliche Verbesserung. Dies kann regelmäßige Überprüfungen und Aktualisierungen der Sicherheitsmaßnahmen, Audits und Penetrationstests, Feedback und Lernen aus Sicherheitsvorfällen und vieles mehr beinhalten.
Technologien & IT-Sicherheit
Technologien sind Werkzeuge, um Ihre IT gegen Cyberangriffe zu sichern. Manches kann durch öffentlich verfügbare Schnelltests über Onlineanwendungen überprüft werden, manches durch die interne Begutachtung.
Setzen Sie diese Technologien bei sich im Unternehmen ein?
- Firewalls und Intrusion Detection Systems (IDS):
- Diese Tools helfen, das Netzwerk des Unternehmens zu schützen, indem sie den Datenverkehr überwachen und versuchen, schädliche Aktivitäten zu erkennen und zu blockieren.
- Antivirus- und Anti-Malware-Software:
Diese Programme helfen, schädliche Software zu erkennen und zu entfernen, die in das System gelangen könnte. - Verschlüsselung:
Sowohl abgelegte wie transportierte Daten können durch Verschlüsselung vor unberechtigen Zugriffen geschützt werden. - Zwei-Faktor-Authentifizierung (2FA):
Benutzer müssen eine zweite Form der Identifikation bereitstellen, um auf Systeme oder Daten zuzugreifen. - Sicherheitsinformationen und Ereignismanagement (SIEM):
SIEM-Tools sammeln und analysieren Sicherheitsdaten aus dem gesamten Unternehmen, um Bedrohungen zu erkennen und schnelle Reaktionen zu ermöglichen. - Datensicherung und Disaster Recovery:
Regelmäßige Datensicherungen werden durchgeführt und Mechanismen stehen zur Verfügung, um Daten im Falle eines Verlustes oder einer Beschädigung wiederherzustellen.
weitere Informationen siehe hier - Endpunktschutz:
Endpunktschutztechnologien sichern Geräte wie Laptops, Desktops und mobile Geräte, die Zugang zum Unternehmensnetzwerk haben.
Selbstcheck: Testen Sie mit wenigen Clicks Ihre IT auf Sicherheitsprobleme
Mit diversen Checks kann man die IT-Sicherheit in punktuellen Bereichen testen:
Diese und ähnliche Online-Testangeboten liefern Hinweise auf ggf. mögliche Verbesserungen. Für die Entscheidung, ob und wie man diese durchführt ist allerdings die genaue Kenntnis der Zusammenhänge und Praxis nötig. Dieses KnowHow ist oft nicht im Unternehmen, aber beim jeweils zuständigen Dienstleister vorhanden sein.
- Wie steht es um die AntiSpam-Einstellungen Ihrer Domain? Testen über mailtower.app
- Ist Ihre E-Mail in Hackerdateien? Beim Hasso-Plattner-Institut für Digital Engineering gGmbH testen
- Ist Ihre E-Mail in Hackerdateien? Auf haveibeenpwned.com testen
- BSI: Nutzen Sie die E-Mail wirklich sicher?
- BSI: Verschlüsselung mit Software
- sec-o-mat.de: Erstellung und Umsetzung von TISiM-Aktionsplänen
- BSI: Informationssicherheit mit System - Der IT-Grundschutz des BSI
- Sicherheitstool-Mittelstand - SiToM: Status der IT-Sicherheit im Unternehmen erfassen, bewerten und verbessern
- Security Consulter: Self Check Tool von heise Security und techconsult
- Der DsiN-Cloud-Scout: Überblick zu sicherheitsrelevanten Fragen und Vorteile von Cloudlösungen in 10-15 Minuten
- Sicherheits-Barometer: Deutschland sicher im Netz
- Sicherheitsrisiken erkennen mit dem Sicherheitskompass der Polizeilichen Kriminalprävention der Länder und des Bundes
DIN Spec 27076: IT-Sicherheitsberatung für Klein -und Kleinstunternehmen
Das Konzept für die "IT-Sicherheitsberatung für Klein -und Kleinstunternehmen" - DIN Spec 27076:2023-05 - wurde von den Initiativen "mIT Standard sicher" und "IT-Sicherheit in der Wirtschaft / Mittelstand digital" mit zahlreichen Unternehmen erarbeitet.
Ziel ist es, den Beratungsprozess zwischen einem IT-Sicherheitsdienstler und einem Unternehmen zu verbessern.
Praxis-Tipp:
Laden Sie sich die DIN SPEC 27076 als IT-Dienstleistern oder weiterer Interessierter beim Beuth-Verlag nach vorhergehender Anmeldung kostenfrei herunter.
Sie erhalten dadurch die Rahmenbedingungen als auch eine Reihe von Fragen, die Sie - auch zunächst ohne externe Mitwirkung - für sich begutachten können. Daraus ergeben sich bereits erste Erkenntnisse, wie die eigene IT-Sicherheit verbessert werden könnte.
Tipp: Seine volle Wirkung kann dieser Ansatz aber erst entfalten, wenn darauf spezialisierte Experten dieses Instrument anwenden.
Wie funktioniert DIN Spec 27076 im Detail?
- Es werden diverse Anforderungen an die durchführenden IT-Dienstleister definiert. Neben Praxiserfahrungen und Referenzprojekten ist die erfolgreiche Teilnahme an einer Schulung zu DIN Spec 27076 gefordert.
- Die IT-Sicherheitsberatung setzt die sehr aktive Teilnahme des zu beratenden Unternehmens voraus. Das umfasst insbesondere die Bereitstellung und ggf. Recherche von Informationen als auch die Teilanahme ausnahmslos aller verantwortlicher Mitarbeiter oder involvierter Dienstleister.
- Die Erhebung des Ist-Zustandes ist als Gepräch konzipiert, in dem ein Katalog mit 27 Anforderungen durchgearbeitet wird. Dessen Fragen beziehen sich auf
- Organisation & Sensibilisierung
- Identitäts- und Berechtigungsmanagement
- Datensicherung
- Patch- und Änderungsmanagement
- Schutz vor Schadprogrammen
- IT-Systeme und Netzwerke
- Der IT-Dienstleister erstellt aufgrund des Ist-Zustandes einen Ergebnisbericht, darin finden sich:
- Zusammenfassung der wichtigsten Erkenntnisse
- Auflistung der 27 Anforderungen inkl. des erreichten Statuswert und dessen Begründung sowie Handlungsempfehlungen
- Für das Unternehmen relevante Förderprogramme.
Sie möchten einen externen Dienstleister einschalten, um Ihre IT-Sicherheit zu überprüfen? Informieren Sie sich, wie Sie am besten einen geeigneten Dienstleister suchen und vertraglich binden.
