- Wednesday, 04.12.24, 11:00 - 12:00 Uhr
- Remote per zoom call,
- Lukas Stratmann
9. März 2022, 15:24 :: Allgemein
Autor: Michael Gottlieb
Hacker-Attacken, Spionage, Datenklau: Jährlich werden drei von vier Unternehmen in Deutschland zum Ziel cyberkrimineller Aktivitäten. Der Schaden, der bei einem solchen Angriff entsteht, ist häufig erschreckend groß. Neben den Kosten für Ausfälle und lahmgelegte IT-Systeme spielt auch der mögliche Vertrauensverlust von Mitarbeitern und Kunden eine Rolle. Ein Grund für den Erfolg der Internetkriminalität ist auch, dass viele Gründer und junge Startups das Thema unterschätzen. Häufig wird ein zu großer Kostenaufwand gescheut, obwohl sich viele Sicherheitsmaßnahmen nachweislich auszahlen. In diesem Artikel erklären wir, ob es immer gleich die ISO-27001-Zertifizierung sein muss und welche Maßnahmen zur IT-Security wirklich helfen.
Kleine Startups unterschätzen häufig die zentrale Bedeutung der IT-Sicherheit für den eigenen Erfolg. Noch immer sind viele Gründer der Überzeugung, dass sich vor allem SaaS-Unternehmen mit weitreichenden Sicherheitskonzepten befassen müssen. Wie hoch das Sicherheitsniveau sein muss, hängt zwar tatsächlich von der Branche ab, doch selten vom Geschäftsmodell. Das Security-Level ist auch nicht nur eine bloße Empfehlung, sondern in Teilen gesetzlich vorgegeben. Im Fokus stehen dabei die personenbezogenen und besonders sensiblen Daten. Die Datenschutzgrundverordnung (DSGVO) regelt klar, welche Richtlinien gelten und wie die Verantwortlichen für Transparenz im Umgang mit den Daten zu sorgen haben.
Ist ein Unternehmen Teil der kritischen Infrastruktur, gelten besonders hohe Sicherheitsstandards. Allgemein lassen sich die Ziele der Informationssicherheit in folgenden Punkten zusammenfassen:
Alle drei der genannten Punkte betreffen die Cybersicherheit und sollten auch jenseits juristischer Datenschutzfragen als Orientierung dienen. Nur wenn alle drei Punkte erfüllt sind, kann ein System als sicher angesehen werden. Selbstverständlich bedarf es vieler Einzelmaßnahmen, um ein umfassendes Sicherheitskonzept auf die Beine zu stellen.
Die Sicherung von Daten fängt nicht erst bei der Speicherung an, sondern schon bei der Übertragung. Sichere Verbindungen sind daher die Basis einer effektiven IT-Security. In kleinen und jungen Unternehmen gilt oft die Prämisse „Bring your own device“ (BOYD). Häufig werden Smartphone und Notebook daher sowohl auf der Arbeit als auch im Home-Office und in der Freizeit genutzt. Experten raten zwar grundsätzlich von diesem Nutzungsverhalten ab, doch lässt sich das im Arbeitsalltag oft schwer umsetzen. Allerdings gibt es selbst bei einer ausdrücklichen BOYD-Erlaubnis die Möglichkeit, mit bestimmten Maßnahmen vorzubeugen. Am effektivsten ist die Verschlüsselung per VPN (Virtual Private Network). Der VPN-Host leitet den Zugriff auf das Internet über einen geschützten Server um. Die Adresse des Users wird so praktisch unsichtbar. Hacker können so auch nicht lokalisieren, wo auf der Welt sich ein Nutzer tatsächlich befindet. Gute VPN-Dienste sind zudem keinesfalls so teuer, wie viele denken. Ein gutes Beispiel ist das VPN-Tool von Surfshark. Der Anbieter schneidet in Preis-Leistungs-Vergleichen besonders gut ab, wie die Surfshark-Überprüfung durch User und Testportale zeigt. Wichtig ist immer, dass auf einen Host gesetzt wird, der sein Angebot an gewerbliche Bedürfnisse angepasst hat.
Zusätzliche Sicherheit schafft die Multi-Faktor-Authentifizierung (MFA). Noch vor wenigen Jahren war die Anmeldung per Nutzerkennung und Passwort der absolute Standard. Vor allem Unternehmen, die mit sensiblen Daten arbeiten, sind mittlerweile auf die Authentifizierung über mehrere Merkmale umgestiegen. In der Regel wird zusätzlich zum selbstgewählten Passwort ein Code oder ein anderes Merkmal abgefragt, das nur dem Nutzer zugänglich ist. Das SMS-TAN-Verfahren ist ein bekanntes Beispiel für die MFA.
Ein Antivirus-Programm gehört zur absoluten Grundausstattung der IT-Sicherheit – sowohl im privaten als auch im beruflichen. Ist ein Firmennetzwerk erst einmal mit Viren, Würmern und Trojanern infiziert, ist der Schaden bereits groß. Zuverlässige Tools erkennen eine Bedrohung daher umgehend und schicken die betroffenen Dateien in digitale Quarantäne. Moderne Antiviren-Software namhafter Anbieter scannt die Geräte nicht nur regelmäßig nach bösartigen Schadprogrammen, sondern beobachtet auch Veränderungen bestehender Datensätze.
In Bezug auf die Punkte Integrität und Verfügbarkeit haben Cloud-Lösungen einen hohen Stellenwert bekommen. Durch die Auslagerung der Daten sind diese selbst bei dem kompletten Verlust der firmeneigenen Hardware noch verfügbar. Zudem hat man theoretisch von jedem Punkt auf der Welt Zugriff auf die Cloud, sofern das Endgerät und der Nutzer autorisiert sind. Remote-Work und Home-Office sind ohne zuverlässige Cloud-Lösungen kaum denkbar.
Der sicherste Weg dem eigenen Anspruch an höchste Sicherheitsvorkehrungen gerecht zu werden, ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS). Schwachstellen innerhalb der eigenen digitalen Infrastruktur macht das ISMS sofort sichtbar. Die Kriterien, die ein ISMS-gestütztes Sicherheitskonzept erfüllen muss, sind durch die ISO 27001-Norm definiert. Es handelt sich um eine freiwillige und international anerkannte Zertifizierung, mit der ein Unternehmen ein hohes Sicherheitsniveau nachweisen kann. Neben technischen Maßnahmen steht bei der Umsetzung auch die Schulung der Mitarbeiter auf dem Programm. Da ein zertifiziertes ISMS für kleine Firmen allerdings sehr aufwendig umzusetzen ist, müssen Kosten und Nutzen abgewägt werden. In manchen Branchen ist die Zertifizierung jedoch weniger optional, da die DSGVO entsprechende Garantien verlangt. Besonders wichtig sind diese Nachweise, wenn das Unternehmen Daten in Drittstaaten übermittelt.
Ein überlegtes Konzept zu IT-Sicherheit zahlt sich aus. Selbst Unternehmen, die nicht gesetzlich dazu verpflichtet sind, strenge Voraussetzungen zu erfüllen, sollten gängige Maßnahmen ergreifen. Schon mit einem geringen Kosten- und Ressourcenaufwand sind viele Sicherheitslücken vermeidbar. Ein gutes Konzept schafft es, Anforderungen an die Vertraulichkeit mit der Integrität von Daten und der stetigen Verfügbarkeit zu verbinden. Eine ISO-Zertifizierung ist nicht zwingend notwendig, kann jedoch sinnvoll sein, um die von der DSGVO geforderten Sicherheitsgarantien bieten zu können.
Denis Hensel ist selbst Gründer und Unternehmer. In seinen Seminaren teilt er seine Erfahrungswerte und zeigt auf, wie junge Startups anfängliche Hürden schnell und effizient überwinden können.