IT-Sicherheit-5 Grundlagen
Inhalt
Sicherheit der Unternehmens-IT ist keine Frage von Luxus – sie garantiert die Existenz. Wichtige Dinge in professionelle Hände zu legen, ist in vielen Geschäftsbereichen selbstverständlich. Warum es sich lohnt, einen Dienstleister für Managed IT-Services zu beauftragen, haben wir uns genauer angeschaut: Fünf gute Gründe, deine Unternehmens-IT durch externe Profis betreuen zu lassen.
 

1. Rechtsgrundlagen:
Was Du in puncto IT-Sicherheit beachten musst – und wofür Du als Unternehmer haftbar bist

Schon klar – als Unternehmer bist du im Zweifel für alles, was in Deiner Firma schief läuft, verantwortlich, schlimmstenfalls haftbar. Die Basis hierfür bilden eine ganze Reihe von Vorschriften – angefangen bei der Datenschutzgrundverordnung (DSGVO) über die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) bis hin zu den Leitlinien der Cyber-Sicherheitsstrategie des Bundesinnenministeriums. Mal davon abgesehen, dass kaum ein Unternehmer all diese Richtlinien und Gesetze im Detail kennt und auslegen kann, ist er dennoch vollumfänglich haftbar, wird im Unternehmen gegen eine dieser Leitplanken verstoßen. Die DSGVO verspricht schwere Sanktionen und bärige Bußgelder. Ein Ausweg: „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist”, so Artikel 82 DSGVO. Dies nachzuweisen, wird in der Praxis nur durch die Beauftragung eines externen Dienstleisters wirklich gelingen. Denn:
 

2. Im Prinzip ist jedes IT-System hackbar:
Wie Du Unternehmensnetzwerk und -daten dennoch wirksam vor Angriffen schützt

In den letzten Wochen war immer wieder von großangelegten Hackerangriffen auf Unternehmenssoftware und Sicherheitssysteme die Rede: Ganze Ladenketten blieben über Tage geschlossen, über eintausend Unternehmen waren erst jüngst Ziel erpresserischer Cyberkriminalität. Wenige Wochen zuvor erwischte es einen US-amerikanischen Ölleitungsbetreiber, im vergangenen Jahr amerikanische Ministerien und Behörden. Es geht um viel, vor allem um viel Geld. Die schlechte Nachricht: 100%-ige Sicherheit gibt es nicht, wie so oft im Leben. Aber es ist möglich, sehr nah ranzukommen. Am effektivsten durch die Kombination dreier Komponenten: Umfassendes Know-How von Experten, die eine tragfähige, intelligente Monitoring-Lösung bauen, die über ein kleines, aber hochsicheres Serversystem läuft. Wie das im Detail abläuft? In etwa so:
 

3. Monitoring unterm Radar:
Wie intelligentes Netzwerk-Monitoring funktioniert

Vereinfacht gesagt, analysiert eine Network-Monitoring-Software fortwährend den „Gesundheitszustand” deines IT-Netzwerks. Jeder noch so kleine Angriff wird erkannt, gemeldet und protokolliert. Hard- und Software wird inventarisiert; meldet sich ein neues Gerät an, schlägt die Software Alarm. Dies alles über 24 Stunden täglich, 7 Tage die Woche. Doch schützt der Alarm alleine nicht – weder vor Schaden noch vor Schadensersatzansprüchen. Es muss schon jemand damit umzugehen wissen.
Ums klar zu sagen: Als Unternehmer musst du einen geeigneten Partner vertraglich verpflichten, diese Meldungen zu sichten, zu überblicken und adäquat zu reagieren. Selbstverständlich kann dies auch ein Mitarbeiter deiner Firma sein – für dessen eventuelle Fehler du als Arbeitgeber jedoch am Ende geradestehen musst. Beauftragst du einen externen Dienstleister, überträgst du Verantwortung und Haftung gleichermaßen – und kannst dich um dein Unternehmen kümmern. Ist ein solcher Partner eher klein, flexibel und leistungsstark, profitierst du zusätzlich: Große Anbieter bieten ihrerseits Hackern attraktive Ziele. Ob sich jedoch ein internationales Hackernetzwerk für einen lokalen Anbieter interessiert, darf bezweifelt werden – deine IT-Sicherheit fliegt sozusagen unter dem Radar. Wichtig dabei ist jedoch: Erfahrung und Expertise müssen beim Anbieter stimmen. Wie du das erkennst? Ein guter, seriöser Dienstleister wird dir immer eine individuelle Lösung für dein Unternehmen bieten – maßgeschneidert auf deine Ansprüche. Ganz egal, ob Basislösung, Baukastensystem oder All-in-One-Angebot. In letzterem auf Wunsch enthalten:
 

4. Wartungsplan, Sicherungsplan, Notfallplan:
Leitfaden zur Abbildung existenzieller Prozesse und Grundlagen zur IT-Sicherheit

Wie alle Unternehmensprozesse, unterliegen auch die zur IT-Sicherheit klaren Vorgaben. Leitfäden zur Wartung, Sicherung und für Notfälle dienen nicht allein dem Handling, sondern bieten die Grundlage zur Dokumentation zur Erfüllung rechtlicher Verpflichtungen.
  • Wartungsplan
    Laptop, Workstation, Server, Netzwerk: Das gesamte IT-System deines Unternehmens benötigt kontinuierliche, regelmäßige Wartung. Dies gewährleistet den sicheren Betrieb sämtlicher Systeme – nur was richtig arbeitet, kann auch richtig schützen. Im Rahmen der Wartung werden Hard- und Software regelmäßig auf den neuesten Stand gebracht, Updates installiert, Komponenten getauscht. Ein Wartungsplan legt Intervalle und Aktualisierungen verbindlich fest und dokumentiert jeden einzelnen Schritt.
  • Sicherungsplan
    Regelmäßige Sicherungen der digitalen Infrastruktur bilden das Herzstück der IT-Sicherheit. Wie wann was und wie oft gesichert wird, kann nicht dem Zufall überlassen sein – oder einer Laune des Admins. Ein Sicherungsplan, der meist nach dem Generationenprinzip aufgesetzt ist, garantiert im Ernstfall einen schnellen, effektiven Restore und kann dadurch Zeit und jede Menge Geld sparen.
  • Notfallplan
    Hier steht drauf, was drin ist: Im Notfallplan definierst du Maßnahmen, die im Notfall zu ergreifen sind. Unter einem „Notfall” ist vom Ausfall der Klimaanlage bis hin zur Naturkatastrophe alles zu verstehen – und für jede Art von Notfall ist ein Szenario zu beschreiben. Die Gründe hierfür liegen auf der Hand: Wenn´s brennt, denkt keiner mehr logisch – man reagiert. Existieren klare Handlungsanweisungen – die nicht nur irgendwo stehen, sondern auch kommuniziert und eingeübt sind – rettet dies im Extremfall Leben und Existenz.
Natürlich kannst du jeden dieser Pläne selbst erstellen – du kannst dir aber auch Hilfe holen von Partnern, deren Aufgabe es ist, diese Pläne rechtssicher aufzustellen und individuell abzustimmen. Dies ist keine Frage der Kosten. Spätestens im Haftungsfall zahlt sich professionelle Unterstützung vielfach aus. Und damit wären wir bei Punkt 5:
 

5. Budget:
Warum Managed IT meist günstiger ist als Eigenlösungen

Klar – ein externer Dienstleister kostet Geld. Dabei ist es aber weniger die Frage, ob du dir einen professionellen Partner leisten kannst, sondern vielmehr, ob du es dir leisten kannst, keinen Profi zu beauftragen. Über die rechtlichen Aspekte hierzu, über Sanktionen und Haftung haben wir bereits zu Anfang gesprochen – das kann teuer werden. Gleiches gilt, wenn dein Unternehmen Ziel von Cyberkriminalität wird – ob aufgrund menschlicher Fehler oder einer gezielten Ransomware-Attacke. Von fehlenden Prozessen im Katastrophenfall ganz zu schweigen. Der wohl wichtigste Grund, Managed-IT-Lösungen zu beauftragen, ist jedoch viel alltäglicher: Indem du die Fragen von IT- und Netzwerksicherheit outsourct, gewinnst du Ressourcen in deinem Unternehmen. Ein reibungsloses IT-Management spart Zeit, Geld und Nerven – Energie, die sich täglich zu 100% deinem Unternehmensziel widmet. Ein Gewinn, der sich jeden Tag auszahlt.

Mach´s einfach digital