Darum wird Informationssicherheit von kleinen Unternehmen in Deutschland oft unterschätzt
Informationssicherheit ist für alle Unternehmen wichtig, unabhängig von ihrer Größe.
Häufig sind es jedoch die kleinen und mittelständischen Unternehmen in Deutschland, die die Bedeutung von einem soliden Informationssicherheitsmanagement unterschätzen.
Oft fehlt es an Ressourcen, um in die Informationssicherheit zu investieren. Nicht wenige Firmen wähnen sich außerdem in der Illusion, dass sie entweder ein unattraktives Angriffsziel abgeben, ihre Daten nicht wertvoll genug oder ihre Systeme bereits komplex genug seien, um gehackt zu werden. Zu guter Letzt mangelt es teilweise auch am technischen Verständnis bzw. es existieren gewisse Ängste vor der Komplexität bei der Sicherheit in der Informationstechnik.
De facto bleibt jedoch festzuhalten, dass die Informationssicherheit Unternehmen aller Größenordnungen betrifft und ihre Vernachlässigung schwerwiegende Folgen mit sich bringt. Gerade weil kleinere Organisationen aufgrund von schwächeren Sicherheitsmaßnahmen ein beliebtes Ziel für Cyberkriminalität abgeben, ist es uns ein Anliegen, Ihnen die wichtigsten Tipps, die Sie zur Verbesserung Ihrer Informationssicherheit betätigen können, vorzustellen. Lernen Sie die 10 wichtigsten Bereiche kennen, die das meiste zur Abschirmung Ihres Unternehmens vor Cyberangriffen beitragen können.
1.) Die Inventarisierung Ihrer Systeme und Informationen
Die Bestandsaufnahme Ihrer Werte ist der erste Schritt zur Sicherung eines kleinen Unternehmens.
Wenn man weiß, welche Systeme vorhanden sind und wo sie sich befinden, ist es möglich, die Sicherheit der eigenen Umgebung zu erhöhen. Die Inventarisierung sollte alle Geräte und Dienste umfassen, die die Daten von Ihrem Unternehmen verarbeiten (Notebooks, Hostinganbieter, Handys etc.), sowie jede installierte Software (Betriebssysteme, Officeanwendungen etc.). Dieser Prozess kann zeitaufwendig sein, ist aber unerlässlich, um sicherzustellen, dass Sie einen Überblick über Ihre Systeme und die zu schützenden Informationen in Ihrem Unternehmen haben.
Nach Inventarisierung der Software, Hardware und den schützenswerten Informationen, sollten Sie zumindest grob festlegen, wie wichtig die einzelnen Punkte in Ihrer Liste für Ihr Unternehmen sind.
Stellen Sie Überlegungen an, wie sehr bspw. ein Ausfall Ihrer Systeme den Geschäftsbetrieb stören würde.
Ein nicht einsatzfähiges Videokonferenzsystem dürfte für das Unternehmen leichter zu verkraften sein als der Ausfall des Buchhaltungssystems, in dessen Folge keine Rechnungen mehr geschrieben werden können.
Ferner sollten Sie sich auch Gedanken machen, welche Konsequenzen ein Leak (die Offenlegung) von bestimmten Informationen nach sich ziehen würde. Vertrauliche Informationen müssen in der Folge besser geschützt werden und sollten auch als solche erkennbar sein.
Es ist jedoch wichtig, zu beachten, dass einmalige Bestandsaufnahmen nicht ausreichen.
Neue Systeme sollten nach ihrer Anschaffung im Inventar ergänzt werden, weshalb die Arbeitskollegen, die für Neuanschaffungen zuständig sind, entsprechend informiert sein sollten.
2.) Die Verantwortlichkeiten definieren
Wenn es um Informationssicherheit geht, stehen kleine und mittlere Unternehmen vor besonderen Herausforderungen. Ihnen fehlen oft das Know-how, die erfahrenen Arbeitskräfte und die hochkomplexen Sicherheitslösungen größerer Unternehmen. Umso wichtiger ist es für KMUs, zu definieren, welche Funktionen und Verantwortlichkeiten sie für die Sicherheit ihrer IT benötigen.
Best Practice Lösung #1: Das Organigramm
Zuerst sollten Sie Zuständigkeiten festlegen. Das kann man gut mithilfe von Organisationsstrukturen wie dem klassischen Organigramm tun. Ein Organigramm zeigt die verschiedenen Positionen im Unternehmen und wie sie miteinander verbunden sind. Beginnen Sie dies zunächst auf der höchsten Ebene, um dann Position für Position nach unten zu gehen und die einzelnen Positionen definieren.
Best Practice Lösung #2: Die RACI-Matrix
In der RACI-Matrix lassen sich Verantwortlichkeiten für die verschiedenen Aufgaben in der Informationssicherheit klar definieren. Hierzu zählt bspw. die Risikobehandlung oder die Durchführung oder Überwachung von Mitarbeiterschulungen.
Sie entscheiden dann im Rahmen der RACI-Matrix, welche Rolle für jede Aufgabe
- verantwortlich (R - responsible),
- rechenschaftspflichtig (A - accountable),
- zu konsultieren (C - consulted)
- oder informieren (I - informed)
ist.
Kommunizieren Sie die Verantwortlichkeiten der Informationssicherheit
Die besten Maßnahmen nützen jedoch alle nichts, wenn sich die jeweiligen Ansprechpartner oder Verantwortlichen ihrer jeweiligen Verantwortung nicht bewusst sind. Daher ist es unheimlich wichtig, dass die Zuständigkeiten unter den Mitarbeitern auch transparent kommuniziert werden. Indem Sie dafür sorgen, dass jeder seine Verantwortung kennt, können Sie eine starke und effektive Informationssicherheitsstrategie für Ihr Unternehmen entwickeln.
3.) Die Risiken abschätzen
Als Inhaber eines kleinen Unternehmens ist es wichtig, sich der potenziellen Gefahren für Ihr Unternehmen und der Folgen eines erfolgreichen Angriffs bewusst zu sein. Eine der häufigsten Gefahren ist ein Cyberangriff, der zum Verlust vertraulicher Daten, zu finanziellen Verlusten und zur Schädigung des Rufs führen kann.
Weitere Gefährdungen sind der physische Diebstahl oder auch Vandalismus, der zum Verlust von Inventar, zum Verlust des Kundenvertrauens und zu höheren Versicherungsprämien führen kann. Ferner sind kleine Unternehmen häufig Ziel von immer ausgefeilteren Betrugsmaschen, die zu finanziellen Verlusten und zur Gefährdung wichtiger Kundendaten führen können.
Der erste Schritt zur Verbesserung Ihrer Informations- und Cybersicherheit besteht daher darin, die Risiken zu bewerten, denen Sie ausgesetzt sind. Was sind die potenziellen Gefährdungen für Ihr Unternehmen? Was sind die Folgen eines erfolgreichen Angriffs?
Gehen Sie bspw. folgende fiktive Szenarien für Ihren Betrieb durch:
Was können Sie präventiv tun, um das Sicherheitsrisiko von:
- Angriffen durch einen Verschlüsselungstrojaner (Ransomware)
- Wasserschäden oder großflächigen Feuerausbrüchen
- einer Kompromittierung der IT durch den Angriff von einem Hacker
- einem Ausfall des Rechenzentrums
- einem technischen Defekt innerhalb der IT-Infrastruktur
zu senken?
Sobald Sie die Risiken identifiziert haben, können Sie damit beginnen, Maßnahmen zu ergreifen, um diese zu vermindern, zu übertragen (z.B. auf Versicherungen oder externe Dienstleister) oder zu eliminieren. Letzteres ist in der Regel nur möglich, wenn der zugrunde liegende Prozess eliminiert wird.
4.) Die Herstellung eines gewissen Datenschutzniveaus
Ein gewisses Maß an Datenschutz ist entscheidend für die Informationssicherheit jeglicher Organisationen.
Hierbei ist es unerheblich ob Sie Ihr Datenschutzmanagementsystem eigenhändig, mit einem internen oder einem externen Datenschutzbeauftragten pflegen. Indem Sie Maßnahmen ergreifen, um sicherzustellen, dass die insbesondere personenbezogenen Daten ordnungsgemäß gesichert sind, können Unternehmen das Risiko von Datenschutzverletzungen und Gefährdungen der Informationssicherheit durch Cyber-Kriminelle verringern.
Die Datensparsamkeit
Das Horten von Daten kann nicht nur in Form von Speicher- und Verarbeitungsgebühren kostspielig sein, sondern auch die Wahrscheinlichkeit erhöhen, Ziel eines Cyberangriffs zu werden. Genau hier setzt das Konzept der Datenminimierung an. Indem Sie sicherstellen, dass nur die notwendige Menge an Daten erfasst und gespeichert wird, können Sie Ihr Risikoprofil minimieren und Ihr Unternehmen vor potenziellen Cyber-Bedrohungen schützen.
Natürlich ist es nicht immer möglich, die Erfassung von Daten ganz zu vermeiden. Aber wenn Sie sich genau überlegen, welche Daten Sie sammeln, und Sicherheitsmaßnahmen zum Schutz dieser Daten ergreifen, können Sie einen großen Beitrag zur IT-Sicherheit Ihres Betriebs leisten.
Der Einsatz eines Rollen- und Berechtigungskonzepts
Ein gutes Informationssicherheitskonzept wird für kleine Unternehmen immer wichtiger.
Es gibt viele Möglichkeiten, wie Daten ausspioniert von einem Hacker oder gestohlen werden können, und es ist entscheidend, dass Unternehmen Maßnahmen zur Protektion ihrer Informationen ergreifen.
In der Praxis greift man hierzu in der Regel auf ein ausgeklügeltes Rollen- und Berechtigungskonzept zurück. Dieses legt fest, wer auf welche Daten Zugriff hat und wie diese genutzt werden können.
So wie ein Praktikant in der realen Welt in der Regel keinen Zugang zu einem Tresor benötigt, braucht auch nicht jeder Auszubildende Zugriff auf alle Buchhaltungs-, Lieferanten- oder gar Kundendaten.
Indem sie sorgfältig kontrollieren, wer Zugang zu welchen Informationen hat, können Unternehmen das Risiko von einem Informationssicherheitsvorfall drastisch reduzieren und ihre wertvollsten Vermögenswerte und IT Komponenten schützen.
5.) Regelmäßige Software-Updates
Eine der besten Möglichkeiten, Ihren Computer zu schützen, besteht darin, Ihre Software regelmäßig auf dem neuesten Stand zu halten. Software-Updates enthalten oft Sicherheits-Patches, die verhindern können, dass sich Hacker Zugang zu Ihrem System verschaffen. Außerdem kann aktualisierte Software neue Funktionen bieten und die Leistung verbessern. Auch wenn es verlockend sein mag, Aktualisierungen aufzuschieben, ist es wichtig, Ihr System auf dem neuesten Stand zu halten, um online sicher zu sein.
Zum Glück lässt sich die meiste moderne Software so einstellen, dass sie automatisch aktualisiert wird, sodass Sie nicht daran denken müssen, dies selbst zu tun. Wichtig hierbei, dass neue Updates auf Kompatibilität zu den vorhandenen Systemen geprüft werden.
6.) IT-Sicherheit – Firewalls, Virenscanner, Passwörter, Verschlüsselung & Mobilgeräte
Ein weiterer wichtiger Schritt, um die IT-Sicherheit für kleine und mittlere Betriebe zu verbessern, ist die Umsetzung grundlegender IT-Security- bzw. IT-Sicherheitsmaßnahmen. Dazu gehören die Installation einer Firewall, der Einsatz einer Antivirensoftware, die Verwendung sicherer Passwörter und die Verschlüsselung wichtiger, sensibler Daten.
Die Einbindung einer Firewall
Eine Firewall ist ein Netzwerksicherheitssystem, das den ein- und ausgehenden Netzwerkverkehr anhand vorgegebener Sicherheitsregeln überwacht und kontrolliert.
Firewalls stehen in der Regel zwischen Ihrem privaten Netzwerk und dem Internet, prüft den Datenverkehr zu und von Ihrem Netzwerk und blockiert alles, was nicht den Sicherheitskriterien entspricht. Auf diese Weise schützt eine Firewall Ihre Daten und Systeme vor bösartigen Angriffen und den darauffolgenden Schwierigkeiten wie zum Beispiel Systemausfälle oder Industriespionage.
In den meisten Fällen handelt es sich bei einer Firewall um Software, die auf einem Server oder Router installiert ist. Es kann sich aber auch um ein Hardware-Gerät handeln, z. B. um eine spezielle Appliance. Firewalls verwenden verschiedene Techniken zur Kontrolle des Datenverkehrs, darunter Paketfilterung, Application-Level-Gateway, Stateful Inspection und Circuit-Level-Gateway. Bei der Konfiguration einer Firewall müssen Sie die Art des Datenverkehrs berücksichtigen, den Sie zulassen oder blockieren möchten, sowie das erforderliche Niveau zur IT-Sicherheit.
Die Nutzung einer Antivirensoftware
Antivirensoftware hilft, Ihren Computer vor Malware, Viren und anderer bösartiger Software zu schützen. Sie kann auch verhindern, dass Sie versehentlich schädliche Software herunterladen oder installieren. Ebenso kann so mancher Virenscanner Ihre Privatsphäre schützen, indem er Spyware und andere unerwünschte Programme blockiert.
Es ist kein Geheimnis, dass Antivirensoftware ihre Grenzen hat. Obwohl sie eines der wichtigsten Werkzeuge zur IT-Sicherheit Ihres Computers vor Schadsoftware ist, ist sie nicht narrensicher. Tatsächlich gibt es mehrere Möglichkeiten, wie Trojaner und Viren den Virenschutz umgehen können. Eine gängige Methode besteht darin, Schwachstellen im Betriebssystem oder in anderer auf dem Computer installierter Software auszunutzen. (Daher ist es wichtig, stets neue Updates und Patches zu installieren!) Jede Antivirensoftware kann ferner auch lediglich vor den ihr bekannten Gefahren schützen, was bei der stetigen Weiterentwicklung vorhandener Schadsoftware auch seine Grenzen hat.
Überdies ist so manches Schadprogramm so konzipiert, dass es speziell auf Virenscanner abzielt und diese deaktiviert. Aus all diesen Gründen ist es wichtig zu verstehen, dass Antivirensoftware allein für Ihre IT-Sicherheit nicht ausreicht, um Ihre Netzwerke vor allen Bedrohungen zu schützen. Sie sollte viel mehr als Teil eines umfassenden Informationssicherheitskonzepts eingesetzt werden.
Die Nutzung starker Passwörter
Eine der wichtigsten Möglichkeiten, die Informationssicherheit in kleinen Unternehmen zu erhöhen, ist die Verwendung sicherer Passwörter.
Ein sicheres Passwort ist mindestens acht Zeichen lang und enthält eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen. Außerdem sollte es für jedes Konto einmalig sein.
Wenn Sie dasselbe Passwort für mehrere Konten verwenden, steigt die Gefahr, dass es missbraucht wird, erheblich.
Um sich das Merken und die Verwendung sicherer Passwörter zu erleichtern, verwenden viele Menschen Passwort-Manager. Diese Programme generieren und speichern Passwörter, die oft verschlüsselt werden, um sie vor Datenmissbrauch zu bewahren. Sie können auch dabei helfen, Passwörter zu erstellen, die alle Kriterien für ein sicheres Passwort erfüllen.
Die Verschlüsselung von Daten bzw. Datenübertragungen
Bei der Datenverschlüsselung werden lesbare Daten in ein unlesbares Format umgewandelt.
Diese hilft dabei, Informationen vor dem Zugriff Unbefugter zu schützen. Es gibt verschiedene Arten der Datenverschlüsselung, darunter HTTPS, E-Mail-Verschlüsselung und Dokumentenverschlüsselung. Jede Art der Verschlüsselung hat ihr jeweiliges Einsatzgebiet.
So wird HTTPS (oder auch TLS-Verschlüsselung) in der Regel zur Verschlüsselung des Internetverkehrs verwendet, während die E-Mail-Verschlüsselung zum Bewahren der E-Mail-Kommunikation vor fremden Zugriffen eingesetzt werden kann.
Die Verschlüsselung von Dokumenten wird häufig zum Schutz sensibler oder vertraulicher Informationen, z.B. in Office- oder PDF-Dokumenten eingesetzt. Ob eine Verschlüsselung sinnvoll oder gar notwendig ist, ergibt sich bspw. aus der Risikoanalyse.
Schutz von Mobilgeräten
Mit Ausbreitung des mobilen Arbeitens steigt auch der Bedarf an Sicherheit für das Arbeiten abseits des Büros. Mobilgeräte sollten von der IT-Abteilung voreingestellt werden, hierbei sollten nötige Mechanismen zur Förderung der IT-Sicherheit (wie z.B. der oben genannte Passwortmanager oder ein Antivirenprogramm) aktiviert werden. Im Home-Office empfiehlt sich darüber hinaus die Nutzung eines VPN.
7.) Regeln und Notfallpläne in einem Sicherheitskonzept dokumentieren
Um sicherzustellen, dass Ihr Unternehmen im Falle eines Sicherheitsvorfalls vorbereitet ist, ist es wichtig, Ihre Regeln und Sicherheitsverfahren in einem Notfallplan zu dokumentieren. Dieser Plan sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass er auf dem neuesten Stand ist.
Ein Notfallplan hilft Firmen, für den Worst Case (wie z.B. einem Stromausfall) vorbereitet zu sein, sodass Sie und Ihre Kollegen genauestens wissen, wie Sie im Fall des Falles vorzugehen haben.
Der Notfallplan sollte klare Anweisungen enthalten, wer für welche Aufgaben zuständig ist, welche Meldeketten einzuhalten sind, sowie Kontaktinformationen für alle relevanten Parteien (z.B. IT-Dienstleister oder zu kontaktierende Behörden). Ebenso sollte der Plan Checklisten mit den Maßnahmen enthalten, die im Falle eines Vorfalls zu treffen sind, sowie die Standorte aller relevanten Unterlagen. Notfallpläne sollten sowohl digital als auch physisch vor Ort vorliegen. Mit einem gut definierten Notfallplan können Unternehmen sicherstellen, dass ihre Informationssicherheit auch in den schwierigsten Situationen gewährleistet ist oder die reguläre Funktion der IT schnellstmöglich wiederhergestellt werden kann.
8.) Die regelmäßige Erstellung von Backups
Es ist kein Geheimnis, dass Datenverlust eine der größten Sicherheitsbedrohungen für KMUs in der BRD darstellt. Eine Studie zur Cyber-Sicherheit vor der Pandemie aus 2019 hat ergeben, dass nahezu 60 % aller von einem Datenverlust bzw. Cyberangriff betroffenen Betriebe innerhalb von 6 Monaten nach dem Angriff auf ihre IT-Systeme pleite sind. Mit dem gewaltigen Schub, den die Digitalisierung durch die Pandemie erhalten hat, dürfte diese Zahl noch weitaus höher sein. Bei einem so hohen Risiko für die eigene Organisation ist schnell klar, dass regelmäßige Backups für jede Einrichtung unerlässlich sind.
Es gibt verschiedene Möglichkeiten, Backups zu erstellen, und die beste Lösung hängt von der Größe und den Anforderungen Ihrer Firma ab. Es gibt jedoch ein paar allgemeine Best Practices, die alle Betriebe befolgen sollten. Zunächst ist es wichtig, mehrere Backups an verschiedenen Orten (zum Beispiel, aber bitte nicht ausschließlich Cloud-Computing) zu erstellen. Auf diese Weise können Sie bei einem Ausfall einer Sicherheitskopie immer noch auf andere zurückgreifen. Zweitens ist es wichtig, Ihre Backups regelmäßig zu testen, um sicherzustellen, dass die Wiederherstellung Ihrer Daten ordnungsgemäß funktioniert. Und schließlich sollten Sie Ihre Backups nach Möglichkeit offline halten. So können Sie sie vor Ransomware und anderen Cyberangriffen schützen.
Aber welche Arten von Daten sollten Sie sichern? Hier sind einige Beispiele:
Abrechnungs- und Buchhaltungsdaten:
Diese Daten sind natürlich für jeden Betrieb wichtig. Wenn Sie den Überblick über Ihre Finanzen verlieren, kann es (insbesondere bei der zehnjährigen Aufbewahrungspflicht von Belegen in Deutschland) sehr schwierig sein, wieder auf Kurs zu kommen. Sicherungskopien Ihrer Rechnungs- und Buchhaltungsdaten können Ihnen helfen, sich im Falle eines Ausfalls schneller zu erholen.
Kunden- und Lieferantendaten:
Die Kenntnis Ihrer Kunden und Lieferanten ist für den Betrieb Ihre Firma unerlässlich. Wenn Sie diese Informationen verlieren, kann es schwierig sein, den Kontakt zu ihnen wiederherzustellen. Die Sicherung Ihrer Kunden- und Lieferantendaten kann helfen, diese Art von Unterbrechung zu verhindern.
Unternehmens-Know-how:
Die täglichen Geschäftsabläufe beruhen oft auf dem kollektiven Know-how Ihrer Beschäftigten darüber, wie sie ihre Aufgaben erledigen. Wenn dieses Wissen verloren geht, ist es schwer zu ersetzen, daher ist es wichtig, es zu sichern.
Ihre Website:
Der Verlust Ihrer Website kann für ein kleines Unternehmen katastrophale Folgen haben. Wenn Sie keine Sicherungskopie haben, kann es sehr schwierig (und teuer) sein, sie wieder zum Laufen zu bringen. Vergewissern Sie sich, dass Sie aktuelle Sicherungskopien Ihrer Website haben, damit Sie sie schnell wiederherstellen können, wenn etwas schiefgeht.
9.) Mitarbeiterinnen und Mitarbeiter schulen
Die Schulung der Arbeitskollegen in bewährten Sicherheitspraktiken ist für jede Organisation unerlässlich, da die meisten Versuche, die Informationssicherheit zu gefährden, von unbedarften Benutzern ausgehen.
Es ist wichtig, dass jeder, der Zugang zu Ihrer IT hat, weiß, wie man sie sicher hält.
Geschulte Arbeitnehmer verwenden sichere Passwörter, öffnen keine Links oder E-Mail Anhänge, mit denen sie nicht gerechnet haben und befolgen andere bewährte Verfahren, um ein gewisses Maß an Datensicherheit und Datenschutz zu gewährleisten.
Es gibt viele Möglichkeiten, Mitarbeiter in Sachen Cybersicherheit zu schulen, z. B. Online-Kurse, persönliche Schulungen oder sogar Simulationen. Es ist wichtig, Ihre Schulungsmethode zu wählen, die den Anforderungen Ihrer Einrichtung entspricht. Lesen Sie hier mehr über die Unterschiede zwischen den verschiedenen Schulungsformen und wie Sie die geeignete Form auswählen. Informationssicherheitsschulungen für die Belegschaft sollten ein kontinuierlicher Prozess bei der Sicherstellung der Informationssicherheit in kleinen Unternehmen sein, kein einmaliges Ereignis. Schließlich ist es wichtig, die Mitarbeiter über die neuesten Sicherheitslücken, Sicherheitsverfahren und Best Practices auf dem Laufenden zu halten.
10.) Bleiben Sie auf dem Laufenden
Für kleine und mittelständische Unternehmen ist es wichtig, stets über die neuesten Gefährdungen in Bezug zur Informationssicherheit auf dem Laufenden zu bleiben. Auch wenn es als gewaltige Aufgabe erscheinen mag, gibt es einige einfache Möglichkeiten:
- 1Befolgen Sie zunächst die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI bietet Sicherheitskonzepte (u.a. den sogenannten BSI IT Grundschutz), Hilfen und Anleitungen zu einer Vielzahl von Themen im Kontext der Informationssicherheit, und seine Website ist eine hervorragende Ressource für KMUs.
- 2Behalten Sie die aktuelle Berichterstattung im Auge. Viele Organisationen und Institutionen haben in den letzten Jahren öffentlichkeitswirksame IT-Sicherheitsvorfälle erlitten, sodass es wichtig ist, über die Entwicklungen in der Welt der Informationssicherheit auf dem Laufenden zu bleiben.
- 3Schließlich sollten Sie Inhalte in Form von Podcasts und Newslettern aus vertrauenswürdigen Quellen konsumieren. So bietet beispielsweise ithemes, der Hersteller eines Sicherheitsplugins für WordPress, einen wöchentlichen Newsletter, den Vulnerability Report, an. Dieser Report enthält aktuelle Sicherheitslücken in beliebten Plugins, Themes und WordPress selbst. Suchen Sie nach Content und Fachmagazinen, die für Ihren Fall Sinn ergeben und werfen Sie auch einen Blick auf benachbarte Themen, wie z.B. dem Datenschutz und der Informationssicherheit allgemein. Bekannte Portale sind bspw. Heise oder Golem. Ebenso fasst das kostenfreie exkulpaper die wichtigsten Meldungen aus den Bereichen Datenschutz, Informationssicherheit, Arbeitssicherheit und Geldwäscheprävention übersichtlich für Sie zusammen.
Wenn Sie diese einfachen Tipps befolgen, können Sie sicherstellen, dass Ihre Firma über die neuesten Gefahren in der Informationssicherheit auf dem Laufenden bleibt. Dies hilft Ihnen im Zweifelsfall schnell reagieren zu können, um den Schaden durch einen Informationssicherheitsvorfall eingrenzen oder sogar gänzlich abwenden zu können.
Zusammenfassung
Zusammenfassend lässt sich feststellen, dass KMU die Informationssicherheit ernst nehmen müssen, auch wenn sie hier vor vielen Herausforderungen stehen. Sie verfügen möglicherweise nicht über die gleichen Ressourcen und das Know-how wie größere Betriebe und sind daher anfälliger für Cyberangriffe. Die meisten der hier vorgestellten Schritte sind relativ niedrigschwellig, auch wenn sie in der Summe hier auf den ersten Blick überfordern mögen.
Gehen Sie die Punkte einzeln durch und legen Sie die Reihenfolge darüber fest, mit welcher Priorisierung jeder Punkt in Ihrer Firma umgesetzt werden soll. Keine der vorgestellten Maßnahmen ist abschließend und für sich perfekt. Vielmehr ist es die Summe der Maßnahmen, und ihre Anpassungen auf die spezifischen Bedürfnisse Ihrer Firma, die dafür sorgen, dass sie widerstandsfähige IT-Systeme unterhalten können. Wenn Sie Fragen haben oder Unterstützung benötigen, zögern Sie nicht, uns zu kontaktieren.
Wir bieten Ihnen alles von der einfachen Beratung und Umsetzung diverser Maßnahmen, über die Mitarbeitersensibilisierung im eLearning, automatisierten Pentests (also Stresstests zur Simulation von Angriffen) bis zur Stellung von Informationssicherheitsbeauftragten und dem Aufbau eines Informationssicherheitsmanagementsystems (z.B. nach ISO 27001 oder TISAX®).
Matand Kaumba
