Warum ist es so wichtig, viel Wert auf eine gute IT-Security zu legen?
Die Arbeitswelt hat sich gerade auch bei kleinen und mittleren Unternehmen stark verändert. Die Kommunikation intern und extern, die Auftragsbearbeitung oder das Rechnungswesen - all diese Dinge sind ohne IT kaum noch denkbar. Wenn es da nicht reibungslos läuft, kann es den Betriebsablauf empfindlich stören. Ein Unternehmen wird bei mangelnder IT-Sicherheit angreifbar.
Reicht es als kleines Unternehmen nicht, wenn regelmäßig eine Datensicherung durchgeführt wird?
Datensicherung, eine Backup-Strategie und eine aktuelle Firewall sind elementar in der IT-Sicherheit, egal wie groß oder klein ein Unternehmen ist. Durch mobiles Arbeiten und Homeoffice steigen die Anforderungen, denn Mitarbeiter greifen über das Internet auf Unternehmensdaten zu. Immer mehr mobile Geräte, auch aus dem privaten Bereich, werden als Client für die Verarbeitung von Firmendaten verwendet. Die (oft ungeschützte) Nutzung dieser Geräte ermöglicht es Hackern einfacher, in Unternehmensnetzwerke einzubrechen. Bei rund einem Drittel der angegriffenen Unternehmen gab es im Jahr 2021 ernsthafte Schäden durch Hackerangriffe. Also: Es braucht heutzutage mehr als Datensicherung und Firewall. Es bedarf so genannter Endpunkt-Sicherheit auf jedem Client, eine Übertragungsverschlüsselung, gesicherte Netzwerke und aufmerksame Mitarbeiter zum Schutz der sensiblen Unternehmensdaten und um den Anforderungen der DSGVO nachzukommen.
Wie gehe ich denn als Verantwortlicher eines kleinen Unternehmens mit den Gefahren um, wenn ich keinen IT-Verantwortlichen im Haus habe?
Der beste Schutz vor Cyber-Gefahren ist eine Systemumgebung, in der Sicherheitsmaßnahmen konsequent umgesetzt sind. Kleine und mittlere Unternehmen (KMU) verlassen sich normalerweise dabei auf die Expertise ihrer Systemhäuser. Das jeweilige Vorgehen der Systembetreuer bei der Schaffung einer sicheren IT-Infrastruktur kann jedoch sehr individuell, wenig standardisiert und kaum überprüfbar sein. Eine Zertifizierung der IT-Infrastruktur nach BSI-Grundschutz bzw. ISO-270001 würde mehr Sicherheit bieten, ist aber sehr aufwändig und für KMU kaum zu leisten.
Ich habe mich deshalb für den Maßnahmenkatalog Unified Security Cert+ entschieden. Er bietet genau die Lösung, dass der bestehenden IT-Schutzgrad signifikant erhöht und auch in kleineren Umgebungen leist- und finanzierbar wird. Alle notwendige Systemumgebungen werden klar definiert und erforderliche, aber überschaubare Sicherheitsmaßnahmen formuliert. Bei der Zertifizierung werden u.a. die Bereiche Netzwerksicherheit, Notfall und Dokumentation bewertet. Ein Bewertungssystem, das nach Bronze, Silber bzw. Gold differenziert, gibt Aufschluss über die Umsetzung und damit über den erreichten Schutzgrad.
Warum sollte ein Unternehmen sich diesem Bewertungssystem unterziehen?
Dies bringt ungemein Transparenz! Die Prozesse, Anforderungen und Richtlinien von Unified Security Cert+ sind vollständig auditierbar. Damit erhält der Unternehmensverantwortliche einen Nachweis über das erreichte IT-Schutzlevel durch nachprüfbare Standards. Dies kann sich positiv auf z. B. IT-Versicherungen und Kreditabschlüsse auswirken. Außerdem kann bei einem Betreuerwechsel auf einem gut dokumentierten, hohen Sicherheitslevel weitergearbeitet werden.
Zusätzlich werden im Rahmen der Unified Security Cert+ – Zertifizierung - nebenbei - eine ganze Reihe technisch-organisatorischer Maßnahmen (TOMs) umgesetzt, die die EU-DSGVO für die Sicherheit der Verarbeitung von personenbezogenen Daten fordert.
Herr Pesch, Sie sind zertifizierter Cert+-Auditor und können dadurch eine zusätzliche Dienstleistung mit nachhaltigem Mehrwert anbieten. Können Unternehmen diese Leistung denn auch nutzen, die nicht zu Ihren Kunden gehören?
Absolut. Wir überprüfen fremde IT-Umgebungen und bieten eine unabhängige Sicherheitsbewertung mit Folgenabschätzung und Maßnahmenempfehlung. Die Umsetzung begleiten wir dann gerne mit dem betreuenden IT-Systemhaus – möglichst auf Augenhöhe und ohne erhobenen Zeigefinger.
Aber auch bei unseren Kunden macht es Sinn die Lage nach einiger Zeit neu zu bewerten und Maßnahmen abzuleiten. Zum einen um technischen Veränderungen und Weiterentwicklungen gerecht zu werden. Zum anderen auch, um der sprichwörtlichen Betriebsblindheit bei der langjähriger Betreuung von IT-Umgebungen entgegenzuwirken.
Zusätzlich sind Sie nun auch zertifizierter Sachverständiger für IT-Sicherheit im DGuSV (Deutscher Gutachter und Sachverständigen Verband). Entstehen dadurch auch Mehrwerte für Bestandskunden?
Natürlich schaut man durch so eine Fortbildung über den Tellerrand eines IT-Systemhauses und bekommt zum Teil einen neuen Blickwinkel auf die IT-Umgebung und daraus resultierende Abhängigkeiten. Das hat sicher auch für unsere Bestandskunden Vorteile. Im Moment fallen mir aber wenig Beispiele für ein Gutachten bei einem Kunden ein, dessen IT-Infrastruktur wir mit der Nordpark-IT betreuen. Die meisten Anwendungsfälle verbieten sich wegen des resultierenden Interessenkonflikts als zuständiges Systemhaus und Lieferant.