IT-Sicherheitskonzept
Was ist ein IT-Sicherheitskonzept?
Ein IT-Sicherheitskonzept definiert das übergeordnete strategische Ziel, das mit der Einführung eines ISMS (Informationssicherheitssystems) erreicht werden soll. Dabei geht es noch nicht um die konkrete Umsetzung, sondern um die Auswahl der technischen Mittel zum Schutz der Informationen. Außerdem wird festgelegt, welche Standorte oder Prozesse abgesichert werden sollen.
Steht das Grobkonzept, können die Details ausgearbeitet werden. Dazu sind in der Regel verschiedene Analysen notwendig, wie z. B. Analyse der IT-Infrastruktur, die Schwachstellenanalyse oder die Bestandsanalyse.
Diese Analysen dienen dazu, spezifische Richtlinien zu definieren. Diese Richtlinien umfassen Maßnahmen, die in den täglichen Arbeitsabläufen umgesetzt werden sollen. Beispielsweise wird geregelt, welche Firewall-Einstellungen vorzunehmen sind, wie lang Passwörter sein müssen oder ob Smartphones privat genutzt werden dürfen.
Wozu brauchen Maschinenbauer ein IT-Sicherheitskonzept?
Viele Unternehmen aus dem verarbeitenden Gewerbe gehen davon aus, dass eine Cyber-Versicherung einen ausreichenden Schutz für IT-Systeme und Daten gewährleistet. In der Tat kann eine Cyber-Versicherung die finanziellen Schäden, die dem Unternehmen nach einem erfolgten Cybervorfall entstehen, begrenzen. Die tatsächliche Anzahl an Angriffen bleibt jedoch unverändert hoch. Als Präventionsmaßnahme ist eine Cyber-Versicherung daher gänzlich ungeeignet. Sie ist auch kein Ersatz für eine umfassende und durchdachte IT-Sicherheitsstrategie.
Gerade mittelständische Unternehmen im Fertigungssektor sollten sich bewusst sein, dass die wichtigste Basismaßnahme gegen Cyberkriminalität nach wie vor die Investition in geeignete technische und organisatorische Maßnahmen ist, also ein durchdachtes IT-Sicherheitskonzept inklusive Backup-Strategie und Notfallplan.
Produzierende Unternehmen sind aufgrund ihrer sensiblen Daten und ihrer engen Vernetzung mit Geschäftspartnern ein attraktives Ziel für Cyber-Angriffe, insbesondere Zulieferer der Automobilindustrie. Sie müssen große Datenmengen sicher verwalten und sind häufig stark vernetzt.
Anhand einer Risikoanalyse ist es möglich, ein durchdachtes IT-Sicherheitskonzept zu entwickeln und eine erste Absenkung des Risikoniveaus zu erreichen. Die eigentliche Risikominderung erfolgt jedoch erst durch die Umsetzung und das Zusammenwirken von technischen und organisatorischen Maßnahmen, die sich aus den Zielen des IT-Sicherheitskonzeptes ableiten.
Dennoch bleibt ein erhebliches Risiko bestehen, wenn einen durchdachte Notfallplanung fehlt.
Das heißt also:
Erst wenn diese drei Bausteine der IT-Sicherheit – Risikoanalyse, IT-Sicherheitskonzept und Notfallplan – abgearbeitet sind, kann das Restrisiko auf eine Cyber-Versicherung übertragen werden.
Ihr Weg zur IT-Sicherheit: Informationssicherheitsmanagementsysteme
IT-Dokumentation
Basis des Informationssicherheit-Managementsystems (ISMS) ist die IT-Dokumentation. Damit das ISMS ordnungsgemäß funktioniert, müssen Dokumente gelenkt, freigegeben und klassifiziert werden.
Aus Gründen der Vertraulichkeit dürfen das IT-Betriebshandbuch und das IT-Notfallhandbuch nur für berechtigte Personen zugänglich sein. Eine weitere Schlüsselmaßnahme ist, die Dokumente zusätzlich auch in analoger Form an einem sicheren Ort zu verwahren. So sind zentrale Informationen vor einem Hackerangriff geschützt und bleiben zugänglich, auch wenn die Server im Unternehmen zur Abwehr eines Cyberangriffs zeitweise heruntergefahren werden müssen.
Um einen störungsfreien IT-Betrieb zu gewährleisten, ist es gute Praxis, Leitlinien zur Datensicherheit zu veröffentlichen sowie entsprechende Nachweise über deren Einhaltung vorzuhalten. Aufgrund des strukturierten Aufbaus der IT-Dokumentation haben die Leitlinien einen direkten Einfluss auf die geforderten Referenzdokumente der CISIS12.
IT-Sicherheitshandbuch
Vorteile eines Informationssicherheitsmanagementsystemes
Technische Schutzmaßnahmen
Netzwerkabsicherung
Firewall-Architektur & Paketfilter
Monitoring
WLAN-Schutz
E-Mail-Verschlüsselung
Mobile Device Management (MDM)
Typische Funktionen
Vorteile und Nachteile von Mobile Device Management
Mobile Security
Plattformen Android vs. OS
Zugriffskontrolle
Bring your own Device (BYOD)
Telearbeit oder Home-Office nur mit VPN nutzen
Gefahr durch Apps
Organisatorische Schutzmaßnahmen
Management
Risikoanalyse / Schutzbedarfsfeststellung
Individuelle Schulung der Mitarbeiter
Patchmanagement
Backup-Strategie
Notfallplan
Datensparsamkeit
Cloud-Security
Zugangskontrolle für Cloud-Anwendungen
Checkliste welche Maßnahmen Sie bei einem Cloud-Anbieter prüfen sollten
Was DSGVO und HinSchG mit IT-Sicherheit zu tun haben
Hinweisgeberschutzgesetz
Fazit
Austausch: IT-Sicherheit für Logistikunternehmen
Aktuelle Beiträge zur Datensicherheit
Wie Logistikunternehmen von einem ISMS profitieren
So schützen sich Logistiker mit einem Informationssicherheits-Managementsystem (ISMS) vor Hackerangriffen und Cyberattacken.
Beitragsbild: istock.com | ArLawKa AungTun
Datensicherheit, Datenqualität und die Auswirkungen auf den Schutzbedarf
Datensicherheit und Datenqualität sowie die Auswirkungen auf den Schutzbedarf DSGVO – Datenqualität Spätestens mit der Einführung der DSGVO sollte sich
Beitragsbild: (c) Mikhailmishchenko | Dreamstime.com
Steigende Bedrohung durch Cyberangriffe
Um Ihre Datensicherheit / IT-Sicherheit zu verbessen, muss man wissen, wo sich Sicherheitslücken eingeschlichen haben. Eine IT-Risikoanalyse..
Beitragsbild: istock.com | BrianAJackson
Datenspeicherung bei GPS-Tracking
Ist die Datenspeicherung bei GPS-Tracking noch DSGVO-konform umsetzbar? Hier finden Sie mögliche Lösungsansätze.
Beitragsbild: istock.com | kate3155
Wachsende Schäden durch Cyberangriffe im Mittelstand
Mittelständische Unternehmen sind nicht ausreichend vor IT-Risiken geschützt. Defizite gibt es vor allem bei den sogenannten Standardmaßnahmen. Dabei wären doch..
Beitragsbild: istock.com | Eisenlohr
Mit CISIS12 Cyberattacken besser abwehren
Erfahren Sie in unserem Blogbeitrag, wie Sie mit CISIS12 Ihre Daten und Systeme vor Cyberattacken schützen. Der etablierte Standard empfiehlt sich insbesondere für KMU und Kommunen.