Sie sind hier:

Informationssicherheit für kleine und mittlere Unternehmen

Informationssicherheit ist unverzichtbar für Unternehmen jeder Größe. Doch die existierenden Standards und Rahmenwerke, die Unternehmen bei ihrer Informationssicherheit helfen, sind wegen ihrer Komplexität und ihrem Aufwand für den Großteil der kleinen und mittleren Unternehmen nicht umsetzbar. Im Jahr 2015 wurde von der VdS Schadenverhütung mit den VdS-Richtlinien 3473 – Cyber-Security für kleine und mittlere Unternehmen ein neuer Mitspieler in diesem Bereich vorgestellt, der versucht, genau dieses Problem zu lösen und speziell mittelständischen Unternehmen Hilfestellungen zu geben. Dieser Leitfaden gibt Ihnen einen Überblick über die VdS-Richtlinien 3473.



Informationssicherheitsmanagement

Um Informationssicherheit wirksam und nachhaltig umzusetzen, bedarf es eines sogenannten Informationssicherheitsmanagementsystems (ISMS), also einer strukturierten Vorgehensweise. In seinem Mittelpunkt steht der PDCA-Zyklus (auch: Demingkreis): PDCA steht für Plan, Do, Check, Act und beschreibt die sich immer wiederholenden Schritte, die Sie ergreifen müssen, um Informationssicherheit zu schaffen und zu erhalten. Die VdS 3473 beschreibt ein solches ISMS.

Organisation der Informationssicherheit

Es müssen klare Verantwortlichkeiten für die Informationssicherheit definiert und die notwendigen Ressourcen (Geld, Personal, Wissen…) bereitgestellt werden. Dies kann nur durch das Topmanagement, also die „oberste Leitungsebene“, die Geschäftsführung bzw. den Vorstand erfolgen. Denn hier liegt immer die Gesamtverantwortlichkeit für Informationssicherheit. Es bedarf also einer klaren Bekennung und Verpflichtung des Topmanagements zur Informationssicherheit, erst dann können die nächsten Schritte folgen.

Rollen und Verantwortlichkeiten

Die zentrale Rolle im ISMS ist die des Informationssicherheitsbeauftragten (ISB). Er initiiert, plant, überwacht und steuert sämtliche Tätigkeiten in diesem Bereich. Er ist der Ansprechpartner für alle Mitarbeiter und für ihre Sensibilisierung verantwortlich. Ihm zur Seite gestellt ist das Informationssicherheitsteam (IST), das neben einem Vertreter des Topmanagements, dem ISB und dem IT-Verantwortlichen auch aus weiteren Vertretern des Personals und – sofern vorhanden – dem Datenschutzbeauftragten besteht. Es unterstützt den ISB bei seinen Aufgaben und ist für die Erstellung der Richtlinien zur Informationssicherheit (IS-Richtlinien) verantwortlich. Durch diese Zusammensetzung wird erreicht, dass möglichst viele Interessen im Unternehmen ausreichend Beachtung finden und umgekehrt das Thema Informationssicherheit in alle Bereiche des Unternehmens getragen wird. Dabei sollte neben dem notwendigen Fachwissen insbesondere auf Vertrauenswürdigkeit und das Ansehen der jeweiligen Person im Unternehmen geachtet werden.

Besonders in kleinen Unternehmen können diese Rollen von wenigen oder sogar ein und derselben Person besetzt werden, Interessenskonflikten sollten dabei jedoch möglichst vermieden werden. Sind die Verantwortlichkeiten schlussendlich zugewiesen, obliegt es dem Topmanagement, die Personen für die Erfüllung ihrer Aufgaben im ISMS von anderen Tätigkeiten im erforderlichen Maß freizustellen.

Richtlinien zur Informationssicherheit

Das zentrale Dokument des ISMS ist die Leitlinie zur Informationssicherheit (IS-Leitlinie). In ihr bekennt und verpflichtet sich das Topmanagement zur Informationssicherheit, es werden die zu erreichenden Ziele mit den jeweiligen Verantwortlichkeiten definiert, und es wird auf die Konsequenzen ihrer Nichtbeachtung hingewiesen.

Daneben ist es erforderlich, weitere Vorgaben zu verabschieden und in einzelnen Dokumenten – den oben angesprochenen IS-Richtlinien – zu sammeln. Neben Regelungen für die Nutzer der IT sind dies z.B. Richtlinien für mobile IT-Systeme, mobile Datenträger und zur Datensicherung sowie Richtlinien, wie Sicherheitsvorfälle oder andere Störungen behandelt werden.

Regelungen für Nutzer

Generell muss für Mitarbeiter die missbräuchliche oder gesetzeswidrige Nutzung von IT verboten werden; dies betrifft insbesondere das Abrufen oder Verbreiten von strafrechtlich relevanten oder sittenwidrigen Inhalten. Wenn Privatnutzung erlaubt wird, kann der Missbrauch rechtliche Konsequenzen für den Täter zur Folge haben; das betrifft insbesondere arbeits- und datenschutzrechtliche Verstöße. Diese Entscheidung sollte daher ausgiebig mit den Bedarfsträgern (z.B. auch mit dem Betriebsrat) diskutiert und anschließend schriftlich fixiert werden. Grundlegende Verhaltensregeln, wie das Verbot der Nutzung nicht freigegebener Hard- oder Software oder das Verbot der Weitergabe von Zugangsdaten müssen verständlich und unmissverständlich geregelt sein. Wichtig ist, dass auch Möglichkeiten für Ausnahmen existieren sollten, um allen geschäftlichen Anforderungen gerecht zu werden. Diese Regelungen sollten auch für Lieferanten und Dienstleister oder andere Externe Gültigkeit besitzen. Die Praxis zeigt, dass diese Personen oft ein Risiko für die eigene Informationssicherheit darstellen.


Download

Cover des BIEG-Leitfadens Informationssicherheit

Gastautor

Michael Wiesner
Michael Wiesner GmbH

Michael Wiesner unterstützt seit über 20 Jahren Unternehmen bei der Absicherung ihrer Informationen und IT-Infrastrukturen. Er ist Koautor der VdS-Richtlinien 3473 für Cyber-Security in KMU, Autor zahlreicher Fachpublikationen und gefragter Dozent, Impulsgeber und Live-Hacker.

http://www.wiesner.eu

Mehr zum Thema IT-Sicherheit?

Weitere Infos rund ums Thema finden Sie auf dem BIEG-Blog:

...sowie in unseren anderen Online-Marketing-Leitfäden!

Der BIEG Newsletter

Immer auf dem Laufenden bleiben Sie mit unserem monatlichen Newsletter. Wir informieren Sie über aktuelle Veranstaltungen und unsere neuesten Leitfäden!