Informationssicherheit

    Einstieg für Unternehmen in das Thema Informationssicherheit

    Bildquelle: pixabay
    Bildquelle: pixabay

     

    Cyber-Sicherheit ist ein großer Begriff, betrifft aber auch das kleinste Unternehmen.

    Zur Cyber-Sicherheit kann in Deutschland nicht nur der Staat beitragen, sondern jedes Unternehmen muss sich hier selbst organisieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt dafür einen Leitfaden für IT-Grundschutz parat, der sich gut für eine erste Auseinandersetzung mit dem Thema Informationssicherung im Unternehmen eignet.

     

    Der Leitfaden bietet einen Einstieg in das Thema Informationssicherheit für kleine Unternehmen und für die Gestaltung praktikabler und zielgruppengerechter Maßnahmen und Lösungsvorschläge. IT-Grundschutz erfordert in Unternehmen eine ganzheitliche Betrachtungsweise, d.h. neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen behandelt.

    Der Leitfaden bietet eine systematische Anleitung für die Erarbeitung von Sicherheitskonzepten und -maßnahmen und zeigt auf, wie es praktisch umgesetzt werden kann. Jegliche Sicherheitsprozesse erfolgen dabei über 3 Schritte:

    • Initiierung
    • Organisation
    • Durchführung

    Was sind z.B. Sicherheitsthemen?

    • Sicherheitsrisiken für das Unternehmen und dessen Informationen
    • Auswirkungen und Kosten im Schadensfall
    • Auswirkung und Kosten auf kritische Geschäftsprozesse
    • Sicherheitsanforderungen aus gesetzlichen und vertraglichen Vorgaben
    • branchentypische Vorgehensweisen
    • der aktuelle Stand in der Informationssicherheit und Handlungsempfehlungen

    Beispiele für Sicherheitsziele:

    • verlässliche Handlungsfähigkeit im Umgang mit Information (Verfügbarkeit, Integrität, Vertraulichkeit)
    • Gewährleistung einer guten Reputation (z.B. im Web)
    • Erhaltung der Technik, Informationen, Arbeitsprozesse, Wissen
    • Einhaltung gesetzlicher Vorgaben
    • Sicherung von Informationswerten

    Maßnahmen sind z.B.:

    • Leitlinien zur Informationssicherheit
    • Sicherheitskonzepte
    • Sicherheitsmaßnahmen (und Tests)
    • Koordination
    • Sicherheitsvorfälle untersuchen
    • Sensibilisierung für Informationssicherheit
    • Dokumentation und Rechenschaftspflicht (Bericht)

    Dabei wird klar, dass Informationssicherheit strikt mit dem Datenschutzprozess verzahnt ist. Der Datenschutz regelt den Umgang mit persönlichen Datengut, Informationssicherheit umfasst die gesamten Informationsabläufe des Unternehmen, incl. aller Plattformen, die dafür genutzt werden.

    Die Informationssicherheit in Betrieben ist Teil der Leitungsebene und muss permanent aufrechterhalten und verbessert werden.

    Leitfaden BSI-Grundschutz siehe unter LInk.

    28.05.19
    E. Langenstein

    Quelle: IHK Stuttgart im Rahmen der Veranstaltungsreihe Informationssicherung im Mittelstand - Vortrag vom Bundesamt für Sicherheit in der Informationstechnik, Büro Süddeutschland im Mai 2019