Stand der IT-Sicherheit ermitteln & verbessern

Inhalt

• Um was geht es? Senken Sie das Risiko für einen erfolgreichen Cyberangriff!
• Bestandsaufnahme zur IT-Sicherheit in Eigenregie: Worauf müssen Sie achten?
• Ihre Mitarbeiter - der wichtigste Garant für IT-Sicherheit in Ihrem Unternehmen
• Prozesse & IT-Sicherheit: Anwender & IT
• Technologien & IT-Sicherheit
• Selbstcheck: Testen Sie mit wenigen Clicks Ihre IT auf Sicherheitsprobleme
• DIN Spec 27076: IT-Sicherheitsberatung für Klein -und Kleinstunternehmen
  

Um was geht es? Senken Sie das Risiko für einen erfolgreichen Cyberangriff!

Risiko für erfolgreiche Cyberangriffe steigt

2019 lag der Schaden durch Cyberangriffe bei ca. 100 Mrd. Euro. Seit 2021 hat sich das auf über 200 Mrd. Euro verdoppelt Auch registrierte das Bundeskriminalamt im Jahr 2021 146.363 Cyberdelikte, was zwölf Prozent mehr als 2020 sind.

Hinzu kommen durch eine vermutlich sehr hohe Dunkelziffer nicht erfasste Angriffe und viele erfolgreich abgewehrte Cyberangriffe.

Typische Angriffe sind:

• Websites werden vollautomatisch auf Schwachstellen abgetastet,
• Logins werden ausprobiert,
• Netze auf offene Ports gescannt,
• Mails mit Schadsoftware verschickt.

• Verschlüsselungssoftware zu platzieren für eine Ransomware-Erpressung,
• IT außer Gefecht zu setzen mit massenhaften Anfragen (DDoS)
• oder mit maßgeschneiderten Angriffen (Advanced Persistent Threats) gezielt ausgewählte Unternehmen zu unterwandern.

IT-Sicherheit bedeutet , die Wahrscheinlichkeit für einen erfolgreichen Angriff möglichst gering zu halten.

Voraussetzung dafür ist zu wissen,

• welche Angriffsflächen man bietet und
• wie gut diese gegen Angriffsversuche geschützt sind.

Diesen Status der Unternehmens-IT-Sicherheit zu ermitteln bzw. ihn immer wieder zu aktualisieren ist mit einer Reihe von strukturierten Herangehensweisen möglich. Unter Umständen ist bereits an dieser Stelle ein externer Dienstleister hilfreich.

Welche Methoden gibt es, um eine Bestandsaufnahme IT-Sicherheit zu erstellen?

• Ein guter Ansatz für den grundsätzlichen Einstieg für kleinste bis kleinere Unternehmen ist z. B. DIN Spec 27076 : Dabei handelt es sich um einen Leitfaden für die "IT-Sicherheitsberatung für Klein- und Kleinstunternehmen".
  • Mit dessen Hilfe kann der Ist-Zustand und die wichtigsten Sicherheitsrisiken ermittelt werden.
  • Zudem stellt er Anforderungen an die durchführenden IT-Dienstleister.
  • Im Ergebnis erhält das Unternehmen Handlungsempfehlungen.
• Auch für kleinere Unternehmen ist CISIS12, das Compliance-Informations-SIcherheits-Management-System in 12 Schritten gedacht. Die "ISA+ Informations-Sicherheits-Analyse" ist ein Teil davon:
  • Über 50 Fragen wird der Stand der IT-Sicherheit im eigenen Unternehmen festgestellt.
  • Die Analyse kann auch ohne technische Kenntnisse eigenständig durchgeführt werden.
  • Als Dienstleister sind hier "Akkreditierte Berater" aktiv.
• Deutlich aufwändiger sind Normen wie ISO/IEC 27001 oder " ISO 27001-Zertifikat auf Basis von IT-Grundschutz".
• Punktuell können Sie die eigene IT-Sicherheit mit Checklisten wie den folgenden hinterfragen:
  • Acht Tipps des Bayerischen Landesamtes für Datenschutzaufsicht
  • DsiN-Checklisten: Sicheres digitales Arbeiten
• Mit diversen Online-Testangeboten können Sie auch eine Einschätzung für bestimmte technische Einstellungen erhalten: Selbstcheck - Testen Sie mit wenigen Clicks Ihre IT auf Sicherheitsprobleme

Zurück zur Übersicht

Bestandsaufnahme zur IT-Sicherheit in Eigenregie: Worauf müssen Sie achten?

Sie möchten die Bestandsaufnahme zur IT-Sicherheit im Unternehmen selbst machen? Dann müssen Sie vor allem drei Punkte im Auge behalten.

• Menschen
  Die Mitarbeiter eines Unternehmens sind oft die erste Verteidigungslinie. Sie können aber auch die größte Schwachstelle sein, wenn sie nicht richtig geschult sind. Mitarbeiter wissen, welche Bedrohungen im Raums tehen und wie man damit umgehen kann. Das umfasst Themen wie z.B. Phishing, sichere Passwortpraktiken und die Erkennung verdächtiger Aktivitäten.
• Prozesse
  Prozesse sind die Verfahren, die ein Unternehmen implementiert, um Abläufe zu gewährleisten. Einerseits sollten Anwender von IT wissen, welche Handlungsoptionen durch Prozessumstellungen z. B. bei einem IT-Ausfall bestehen.
  Andererseits muss es Prozesse zur IT-Sicherheit geben: Das reicht von der Meldung von Sicherheitsvorfällen, die Routineüberprüfung von Sicherheitsprotokollen bis zur Durchführung von Sicherheitsaudits.
• Technologie
  Technologien sind die Werkzeuge und Systeme, die verwendet werden, um ein Unternehmen zu betreiben. Speziell für den Schutz der IT-Infrastruktur gibt es eine ganze Reihe von Technologien die helfen, beispielsweise: Firewalls, Antivirus-Software, Intrusion Detection Systems (IDS), Verschlüsselungsprotokolle.

Ihre Mitarbeiter - der wichtigste Garant für IT-Sicherheit in Ihrem Unternehmen

Bestandsaufnahme: Bieten Sie diese Maßnahmen für Ihre Mitarbeiter an?

• Praktische Verdeutlichung der Risiken, z. b. durch Phishing Simulationen:
  Wenn Mitarbeiter in der Praxis sehen, wie angreiffe aussehen können, prägt sich dies gut ein. Eine Art von Praxisübung ist es, Mitarbeiter betrügerische (Test-)E-Mails zu schicken, die z. B. dazu dienen, sensible Informationen zu erbeuten oder Malware zu verbreiten.
• Schulung und Aufklärung:
  Regelmäßige (ggf. verpflichtende) Schulungen zur IT-Sicherheit sind unerlässlich, um die Mitarbeiter über die neuesten Bedrohungen und Best Practices auf dem Laufenden zu halten. Dies kann Schulungen zu Themen wie Phishing, sichere Passwortpraktiken, Umgang mit sensiblen Daten und mehr umfassen.
• Sicherheitsrichtlinien:
  Das Unternehmen sollte klare und leicht verständliche Sicherheitsrichtlinien haben, die den Mitarbeitern die Erwartungen in Bezug auf die IT-Sicherheit klar machen. Diese Richtlinien sollten regelmäßig überprüft und aktualisiert und den Mitarbeitern zugänglich gemacht werden.
• Sicherheitskultur:
  Die Förderung einer Kultur der Sicherheit, in der die IT-Sicherheit als gemeinsame Verantwortung und nicht nur als Aufgabe der IT-Abteilung angesehen wird, kann die Beteiligung der Mitarbeiter erhöhen. Dies kann durch regelmäßige Kommunikation und Einbeziehung der Sicherheit in die allgemeine Unternehmensstrategie erreicht werden.
• Einfache Meldeprozesse:
  Wenn Mitarbeiter eine potenzielle Sicherheitsbedrohung bemerken, sollten sie diese problemlos melden können. Ein klarer, einfacher und vertraulicher Meldungsprozess kann dazu beitragen, dass mehr Bedrohungen erkannt und adressiert werden.

Hier finden Sie Tipps, um Mitarbeiter und Mitarbeiterinnen beim Thema Informationssicherheit mit ins Boot zu holen:

• BSI: 3 Tipps für mehr IT-Sicherheits-Awareness
• BSI: Problembewusstsein und sicheres Verhalten
• Bayern Innovativ: "Awareness-Kampagne Cybersecurity – Sicherheitsbewusstsein der Mitarbeitenden stärken"
• Allianz für Cybersicherheit: Awareness-Poster „Psychotricks und Phishing-Maschen“
• European Union Agency for Cybersecurity: "material for raising information security awareness"
• IT Business: Die 10 Phasen der Security Awareness

Seminare findet man z. B. auf https://wis.ihk.de mit dem Stichwort "awareness".

Zurück zur Übersicht

Prozesse & IT-Sicherheit: Anwender & IT

Sind diese Prozesse zur IT-Sicherheit in Ihrem Unternehmen implementiert?

• Richtlinien und Verfahren:
  Prozesse helfen, klare Richtlinien und Verfahren für verschiedene Aspekte der IT-Sicherheit festzulegen. Dies kann die Nutzung von Geräten und Software, den Zugriff auf Netzwerke und Daten, die Passworterstellung und -verwaltung und viele andere Bereiche umfassen.
• IT-Notfallplan:
  Es ist wichtig, Prozesse für den Umgang mit Sicherheitsvorfällen zu haben. Diese Prozesse legen fest, wer in solchen Fällen benachrichtigt wird, welche Schritte unternommen werden, um den Vorfall zu untersuchen und zu beheben, und wie das Unternehmen aus dem Vorfall lernen kann, um zukünftige Vorfälle zu verhindern.
• Risikomanagement:
  Prozesse helfen dabei, das Risikomanagement in der IT-Sicherheit zu systematisieren. Dies umfasst die Identifizierung und Bewertung von Risiken, die Entscheidung, wie diese Risiken gehandhabt werden sollen (z.B. durch Verminderung oder Akzeptanz), und die kontinuierliche Überwachung und Überprüfung der Risiken.
• Kontinuierliche Verbesserung:
  Gute Sicherheitsprozesse umfassen Mechanismen für eine kontinuierliche Verbesserung. Dies kann regelmäßige Überprüfungen und Aktualisierungen der Sicherheitsmaßnahmen, Audits und Penetrationstests, Feedback und Lernen aus Sicherheitsvorfällen und vieles mehr beinhalten.

Zurück zur Übersicht

Technologien & IT-Sicherheit

Technologien sind Werkzeuge, um Ihre IT gegen Cyberangriffe zu sichern. Manches kann durch öffentlich verfügbare Schnelltests über Onlineanwendungen überprüft werden, manches durch die interne Begutachtung.

Setzen Sie diese Technologien bei sich im Unternehmen ein?

• Firewalls und Intrusion Detection Systems (IDS):
  
• Diese Tools helfen, das Netzwerk des Unternehmens zu schützen, indem sie den Datenverkehr überwachen und versuchen, schädliche Aktivitäten zu erkennen und zu blockieren.
• Antivirus- und Anti-Malware-Software:
  Diese Programme helfen, schädliche Software zu erkennen und zu entfernen, die in das System gelangen könnte.
• Verschlüsselung:
  Sowohl abgelegte wie transportierte Daten können durch Verschlüsselung vor unberechtigen Zugriffen geschützt werden.
• Zwei-Faktor-Authentifizierung (2FA):
  Benutzer müssen eine zweite Form der Identifikation bereitstellen, um auf Systeme oder Daten zuzugreifen.
• Sicherheitsinformationen und Ereignismanagement (SIEM):
  SIEM-Tools sammeln und analysieren Sicherheitsdaten aus dem gesamten Unternehmen, um Bedrohungen zu erkennen und schnelle Reaktionen zu ermöglichen.
• Datensicherung und Disaster Recovery:
  Regelmäßige Datensicherungen werden durchgeführt und Mechanismen stehen zur Verfügung, um Daten im Falle eines Verlustes oder einer Beschädigung wiederherzustellen.
  weitere Informationen siehe hier
• Endpunktschutz:
  Endpunktschutztechnologien sichern Geräte wie Laptops, Desktops und mobile Geräte, die Zugang zum Unternehmensnetzwerk haben.

Zurück zur Übersicht

Selbstcheck: Testen Sie mit wenigen Clicks Ihre IT auf Sicherheitsprobleme

Mit diversen Checks kann man die IT-Sicherheit in punktuellen Bereichen testen:

Diese und ähnliche Online-Testangeboten liefern Hinweise auf ggf. mögliche Verbesserungen. Für die Entscheidung, ob und wie man diese durchführt ist allerdings die genaue Kenntnis der Zusammenhänge und Praxis nötig. Dieses KnowHow ist oft nicht im Unternehmen, aber beim jeweils zuständigen Dienstleister vorhanden sein.

DIN Spec 27076: IT-Sicherheitsberatung für Klein -und Kleinstunternehmen

Das Konzept für die "IT-Sicherheitsberatung für Klein -und Kleinstunternehmen" - DIN Spec 27076:2023-05 - wurde von den Initiativen " mIT Standard sicher" und " IT-Sicherheit in der Wirtschaft / Mittelstand digital" mit zahlreichen Unternehmen erarbeitet.

Ziel ist es, den Beratungsprozess zwischen einem IT-Sicherheitsdienstler und einem Unternehmen zu verbessern.

Praxis-Tipp:
Laden Sie sich die DIN SPEC 27076 als IT-Dienstleistern oder weiterer Interessierter beim Beuth-Verlag nach vorhergehender Anmeldung kostenfrei herunter.
Sie erhalten dadurch die Rahmenbedingungen als auch eine Reihe von Fragen, die Sie - auch zunächst ohne externe Mitwirkung - für sich begutachten können. Daraus ergeben sich bereits erste Erkenntnisse, wie die eigene IT-Sicherheit verbessert werden könnte.

Tipp: Seine volle Wirkung kann dieser Ansatz aber erst entfalten, wenn darauf spezialisierte Experten dieses Instrument anwenden.

Wie funktioniert DIN Spec 27076 im Detail?

• Es werden diverse Anforderungen an die durchführenden IT-Dienstleister definiert. Neben Praxiserfahrungen und Referenzprojekten ist die erfolgreiche Teilnahme an einer Schulung zu DIN Spec 27076 gefordert.
• Die IT-Sicherheitsberatung setzt die sehr aktive Teilnahme des zu beratenden Unternehmens voraus. Das umfasst insbesondere die Bereitstellung und ggf. Recherche von Informationen als auch die Teilanahme ausnahmslos aller verantwortlicher Mitarbeiter oder involvierter Dienstleister.
• Die Erhebung des Ist-Zustandes ist als Gepräch konzipiert, in dem ein Katalog mit 27 Anforderungen durchgearbeitet wird. Dessen Fragen beziehen sich auf
  • Organisation & Sensibilisierung
  • Identitäts- und Berechtigungsmanagement
  • Datensicherung
  • Patch- und Änderungsmanagement
  • Schutz vor Schadprogrammen
  • IT-Systeme und Netzwerke
• Der IT-Dienstleister erstellt aufgrund des Ist-Zustandes einen Ergebnisbericht, darin finden sich:
  • Zusammenfassung der wichtigsten Erkenntnisse
  • Auflistung der 27 Anforderungen inkl. des erreichten Statuswert und dessen Begründung sowie Handlungsempfehlungen
  • Für das Unternehmen relevante Förderprogramme.

Sie möchten einen externen Dienstleister einschalten, um Ihre IT-Sicherheit zu überprüfen? Informieren Sie sich, wie Sie am besten einen geeigneten Dienstleister suchen und vertraglich binden.

Zurück zur Übersicht