IT-Sicherheit fängt bei sorgsamem Datenumgang bei jedem Mitarbeiter an/ Beratungsangebot für KMU
(firmenpresse) - Berlin/ Wildau. Die Datenaffäre um Prism, Tempora, XKeyscore hat die deutsche Wirtschaft verunsichert und wachgerüttelt. Die Berichte über Massendatenüberwachung, angezapfte Internet-Knotenpunkte und transatlantische Datenleitungen lassen Unternehmen befürchten, dass durch die ausländischen Geheimdienste nicht nur terroristische Anschläge vorgebeugt und vereitelt werden sollen, sondern möglicherweise auch Betriebsgeheimnisse auf der Spähliste stehen. Damit sehen sie wichtiges deutsches Wissen und Wettbewerbsvorsprung gefährdet.
Daher ist die derzeitige Diskussion für viele ein wichtiger Anstoß, die bis dato vor allem in kleineren und mittelständischen Unternehmen vorherrschende Sorglosigkeit über Bord zu werfen, die eigenen Sicherheitsbestimmungen und -richtlinien im Unternehmen ernsthaft zu hinterfragen und dem bisher auch vielfach erstaunlich laxem Umgang in Fragen der IT-Sicherheit die nötige Aufmerksamkeit zu widmen.
Christian Köhler, Vorstandsvorsitzender des IT-Branchenverbandes Berlin-Brandenburg, SIBB e.V. und IT-Sicherheitsexperte sieht häufige Ursachen für Schäden in diesem Zusammenhang vor allem in der unzureichenden Strategie und mangelndem Personaleinsatz für Informationssicherheit. "Damit einher geht vielfach eine ungenügende bzw. lückenhafte Administration von IT-Systemen durch unsichere Vernetzungen und/ oder Internet-Anbindungen. Der sorglose Umgang mit Passwörtern (besonders beliebt, die oberste Schreibtischschublade oder besser noch das Post.it am Bildschirm) oder Authentisierungsformen und Sicherheitsmechanismen, die unzureichende Wartung von IT-Systemen, die Nutzung fremder Applikationen tun ihr Übriges. Die Grenze zwischen beruflicher und privater Nutzung bei mobilen Geräten verschwimmt zusehends. Datenlecks sind vorprogrammiert, die Vielfalt der Geräte erschweren die einheitliche Administration."
Dabei lassen sich seiner Meinung nach und aus seinem Erfahrungsschatz schöpfend große Teile der Schäden vermeiden: Zuvorderst steht die Sensibilisierung aller Mitarbeiter und die Schulung derer, die an den Schnittstellen des Informationsmanagements arbeiten. Dies betrifft auch die sichere Nutzung mobiler IT-Systeme wie Smart Phones, Tablets oder Nutzer, die in Firmennetzwerken an verschiedenen Computern arbeiten (Roaming User). "So wie das Firmenfahrzeug eine technische Durchsicht erfährt, gilt es, durch verfügbare Sicherheitsupdates auch in der IT-Struktur mögliche Sicherheitslücken auszuschließen," verdeutlicht Köhler die Notwendigkeit ganz plastisch. Die Einhaltung von Gesetzen und Richtlinien im Unternehmen, freiwillige Kodizes tragen wesentlich zur Vermeidung und zum Schutz von Schäden bei. Dies gilt auch in der Zusammenarbeit mit Dritten, sei es durch Systembeteiligung oder durch die Nutzung von Leistungen durch Dritte. Hinterfragen Unternehmen solche Fakten, ist ein großer Schritt zur Infrastruktursicherheit getan, können Software-Schwachstellen ebenso wie Schädigungen durch Schadsoftware aufgedeckt und ausgemerzt werden. Selbst die regelmäßige Datensicherung gehört dazu. Darüber hinaus sollte auch ein IT-Notfallplan zur Sicherung der Geschäftsprozesse Bestandteil der firmeninternen IT-Sicherheit gehören. Wie heute typischerweise ein Betriebsrat, ein Gesundheitsbeauftragter oder Gleichstellungsbeauftragter zum Unternehmen gehört, sollte ein IT-Sicherheitsbeauftragter und Compliance Manager ebenso selbstverständlich in die Managementstrukturen von Unternehmen eingebunden sein.
Handlungsempfehlung: Sensible Daten des Unternehmens separieren und abschotten
Daten mit hohem Schutzbedarf, zu denen auch Entwicklungs-, Forschungs- oder Patentdaten zählen, gehören nicht auf mobile Systeme. Die Erziehung zur Datensparsamkeit und das Einführen von Verhaltensregeln im Datenumgang im Betrieb können wesentlich zur Sicherheit beitragen (inkl. Absicherung von Verzeichnissen und Verzeichnisdiensten).
Die Nutzung qualifizierter nationaler Cloud-Dienste-Anbieter und Rechenzentren-Betreiber, die bspw. nach TÜV Level 4 oder gemäß ISO 27001 auf Basis von IT-Grundschutz zertifiziert sind, sorgen für sichere Datentransporte und -archivierung nach europäischem und deutschem Recht. Damit verbunden ist auch der Einsatz von Technologie deutscher oder europäischer Anbieter (je nach Schutzbedarf zugelassen bzw. zertifiziert, bspw. nach Common Criteria). Sie erlauben es, Lösungen einzusetzen, die dem Bundesdatenschutzgesetz bzw. dem Fernmeldegeheimnis entsprechen. Im klassischen B2B ? Verkehr können E-MailVerschlüsselungsverfahren wie zum Beispiel Chiasmus, GGP4WIN, SMIME zusätzlich Sicherheit gewährleisten. Remote-/Fernwartungszugänge sowie B2B-Direktvernetzung bzw. über Internet gilt es, gesondert zu sichern.
Um besonders sensible Daten eines Unternehmens zu schützen, "sollen diese `Kronjuwelen´ in gesonderten Sicherheitszonen nur begrenzt Zugangs- und Zugriffsberechtigten zur Verfügung stehen. Regelmäßige Sicherheits-Scans und Penetrationstests (sogenannte simulierte Hackerangriffe) müssen in Betriebsabläufe integriert werden, " rät Christian Köhler weiter. Er empfiehlt zudem "künftige Ausschreibungen und Vergaben für Neuentwicklungen bei Produktionsverfahren und Steuerungssystemen mit Blick auf nationale Expertise bzw. die Einhaltung von Konformitätsanforderungen zu prüfen und zu berücksichtigen. Mit all diesen überschaubaren Maßnahmen können auch KMU´s, die Etats für die Informationstechnik in der Regel nur in kleinem Maße planen, große Wirkungen erzielen!"
Unterstützungsangebote nutzen
Kleine und mittelständische Unternehmen in Berlin und Brandenburg, die im Bereich der IT-Sicherheit Beratungs- und Unterstützungsbedarf zu allen in den letzten Wochen aufgekommenen Fragen haben, können über den SIBB e.V. umfangreiche Vernetzungsangebote nutzen. Insbesondere das auf dieses Thema spezialisierte SIBB FORUM IT-Security steht hierbei als Gesprächspartner zur Verfügung. Forensprecher Christian Stuchlik berichtet aktuell von einer erhöhten Anzahl von Anfragen aus allen Bereichen der Wirtschaft, aber auch von Kommunen und Netzwerkpartnern: "Der Informationsbedarf ist nach wie vor sehr hoch, vielen ist das Gefährdungspotential im Zuge der Datenaffäre erst so richtig bewusst geworden. Damit einher geht auch eine gewisse Verunsicherung. Der Kontakt zu unserem IT-Sicherheits-Forum ist in diesen Fällen ein richtiger Schritt ? wir geben Handlungsempfehlungen und wichtige Anleitung zur Abhilfe und Selbsthilfe." Eine erste Checkliste bietet das SIBB Forum IT-Security zum Download unter http://www.sibb.de/sibb-forum-it-security.html?&no_cache=1 an.
Auch das BMWi hat im Rahmen der Task Force "IT-Sicherheit in der Wirtschaft" ein abgestimmtes "Zehn-Punkte-Papier" mit allgemeinen Handlungsempfehlungen für einen sicheren Umgang mit Unternehmensdaten im Internet veröffentlicht: http://www.it-sicherheit-in-der-wirtschaft.de/IT-Sicherheit/Navigation/meldungen,did=587442.html
Ãœber den IT-Branchenverband SIBB e. V.
Der SIBB e. V. ist der ICT-Branchenverband der Hauptstadtregion. Er vertritt die Interessen vornehmlich mittelständischer ICT-Hersteller- und Dienstleistungsunternehmen gegenüber Politik, Wirtschaft und Gesellschaft. Der Verband ist Partner und Dienstleister der regionalen Unternehmen und vernetzt die ICT-Wirtschaft mit anderen Branchen und untereinander länderübergreifend. Ziel des SIBB ist die Entwicklung und Schärfung der Wahrnehmung Berlin-Brandenburgs als eine der innovativsten und erfolgreichsten ICT-Regionen Deutschlands. Mitgliedsunternehmen partizipieren unter anderem von der Vernetzung mit branchenübergreifenden Wirtschafts- und Industriezweigen, Fach- und Weiterbildungsveranstaltungen, Netzwerk- oder After-Work -Treffen sowie einem speziellen Benefit-Programm bei Lieferanten und Dienstleistern.
Ãœber SIBB region
SIBB region betreut, vernetzt und unterstützt als integraler Bestandteil des SIBB e. V., dem ICT-Branchenverband der Hauptstadtregion, Unternehmen der ICT - Branche im Flächenland Brandenburg. Das Netzwerk SIBB region wird vom Ministerium für Wirtschaft und Europaangelegenheiten des Landes Brandenburg im Rahmen der Gemeinschaftsaufgabe "Verbesserung der regionalen Wirtschaftsstruktur" (GRW) aus Mitteln des Bundes und des Landes Brandenburg gefördert.
www.sibb.de
Die ICT-Hauptstadtregion Berlin-Brandenburg
Über 7.300 Unternehmen der Hauptstadtregion Berlin-Brandenburg bieten national und international Produkte und Dienstleistungen im gesamten Spektrum der IT und digitalen Bandbreite an. Mehr als 63.000 hochqualifizierte Fachkräfte optimieren Geschäftsprozesse, installieren, warten und pflegen IT-Systeme für Produktion, Dienstleistung, Handel, Handwerk und öffentliche Verwaltungen.
In der IT-bezogenen Forschung gehört die Region zur Weltklasse. Dazu tragen z.B. das Hasso-Plattner-Institut für Softwaresystemtechnik in Potsdam, die sieben Fraunhofer Institute, das Ferdinand-Braun-Institut für Höchstfrequenztechnik, das Konrad-Zuse-Zentrum in Berlin sowie das Institut für Mikroelektronik in Frankfurt (Oder) bei.
Die ICT-Industrie der Hauptstadtregion gehört aufgrund ihrer positiven Beschäftigungsentwicklung zu den zukunftsweisenden Wachstumsbranchen der Hauptstadtregion. Dank herausragender Potenziale hat sich in Berlin und Brandenburg eine international beachtete Gründerszene entwickelt. Ein miteinander verflochtenes Netzwerk aus Start-Ups, Business Angels und institutionellen Unterstützern sorgt für lebhafte Gründertätigkeit, die durch Venture Capital aus aller Welt finanziert wird. Besonders auf den Gebieten Breitbandkommunikation, Software / IT-Sicherheit, E-Business, Mobilität/Navigation und Digitale Medien verfügt Berlin-Brandenburg über umfangreiche Potenziale.
Schulzenstraße 4, 14532 Stahnsdorf