- Tuesday, 14.05.24, 17:00 - 18:30 Uhr
- Online, Remote
- Hendrik von Falkenhayn
IT-Security: Tipps für eine verbesserte Cybersicherheit im Unternehmen
9. März 2022, 15:24 :: Allgemein
Autor: Michael Gottlieb
Hacker-Attacken, Spionage, Datenklau: Jährlich werden drei von vier Unternehmen in Deutschland zum Ziel cyberkrimineller Aktivitäten. Der Schaden, der bei einem solchen Angriff entsteht, ist häufig erschreckend groß. Neben den Kosten für Ausfälle und lahmgelegte IT-Systeme spielt auch der mögliche Vertrauensverlust von Mitarbeitern und Kunden eine Rolle. Ein Grund für den Erfolg der Internetkriminalität ist auch, dass viele Gründer und junge Startups das Thema unterschätzen. Häufig wird ein zu großer Kostenaufwand gescheut, obwohl sich viele Sicherheitsmaßnahmen nachweislich auszahlen. In diesem Artikel erklären wir, ob es immer gleich die ISO-27001-Zertifizierung sein muss und welche Maßnahmen zur IT-Security wirklich helfen.
Vorsicht ist besser als Nachsicht. Das gilt auch für den Bereich der IT-Sicherheit im Unternehmen.Das erforderliche Sicherheitsniveau
Kleine Startups unterschätzen häufig die zentrale Bedeutung der IT-Sicherheit für den eigenen Erfolg. Noch immer sind viele Gründer der Überzeugung, dass sich vor allem SaaS-Unternehmen mit weitreichenden Sicherheitskonzepten befassen müssen. Wie hoch das Sicherheitsniveau sein muss, hängt zwar tatsächlich von der Branche ab, doch selten vom Geschäftsmodell. Das Security-Level ist auch nicht nur eine bloße Empfehlung, sondern in Teilen gesetzlich vorgegeben. Im Fokus stehen dabei die personenbezogenen und besonders sensiblen Daten. Die Datenschutzgrundverordnung (DSGVO) regelt klar, welche Richtlinien gelten und wie die Verantwortlichen für Transparenz im Umgang mit den Daten zu sorgen haben.
Ist ein Unternehmen Teil der kritischen Infrastruktur, gelten besonders hohe Sicherheitsstandards. Allgemein lassen sich die Ziele der Informationssicherheit in folgenden Punkten zusammenfassen:
- Vertraulichkeit: Nur autorisierte Personen dürfen Zugriff auf eine Information haben
- Integrität: Informationen sind vor Änderungen oder die Löschung durch Unbefugte geschützt
- Verfügbarkeit: Die Information ist jederzeit verfügbar und gegen den Verlust gesichert
Alle drei der genannten Punkte betreffen die Cybersicherheit und sollten auch jenseits juristischer Datenschutzfragen als Orientierung dienen. Nur wenn alle drei Punkte erfüllt sind, kann ein System als sicher angesehen werden. Selbstverständlich bedarf es vieler Einzelmaßnahmen, um ein umfassendes Sicherheitskonzept auf die Beine zu stellen.
Sichere Verbindungen mit VPN und MFA
Die Sicherung von Daten fängt nicht erst bei der Speicherung an, sondern schon bei der Übertragung. Sichere Verbindungen sind daher die Basis einer effektiven IT-Security. In kleinen und jungen Unternehmen gilt oft die Prämisse „Bring your own device“ (BOYD). Häufig werden Smartphone und Notebook daher sowohl auf der Arbeit als auch im Home-Office und in der Freizeit genutzt. Experten raten zwar grundsätzlich von diesem Nutzungsverhalten ab, doch lässt sich das im Arbeitsalltag oft schwer umsetzen. Allerdings gibt es selbst bei einer ausdrücklichen BOYD-Erlaubnis die Möglichkeit, mit bestimmten Maßnahmen vorzubeugen. Am effektivsten ist die Verschlüsselung per VPN (Virtual Private Network). Der VPN-Host leitet den Zugriff auf das Internet über einen geschützten Server um. Die Adresse des Users wird so praktisch unsichtbar. Hacker können so auch nicht lokalisieren, wo auf der Welt sich ein Nutzer tatsächlich befindet. Gute VPN-Dienste sind zudem keinesfalls so teuer, wie viele denken. Ein gutes Beispiel ist das VPN-Tool von Surfshark. Der Anbieter schneidet in Preis-Leistungs-Vergleichen besonders gut ab, wie die Surfshark-Überprüfung durch User und Testportale zeigt. Wichtig ist immer, dass auf einen Host gesetzt wird, der sein Angebot an gewerbliche Bedürfnisse angepasst hat.
Zusätzliche Sicherheit schafft die Multi-Faktor-Authentifizierung (MFA). Noch vor wenigen Jahren war die Anmeldung per Nutzerkennung und Passwort der absolute Standard. Vor allem Unternehmen, die mit sensiblen Daten arbeiten, sind mittlerweile auf die Authentifizierung über mehrere Merkmale umgestiegen. In der Regel wird zusätzlich zum selbstgewählten Passwort ein Code oder ein anderes Merkmal abgefragt, das nur dem Nutzer zugänglich ist. Das SMS-TAN-Verfahren ist ein bekanntes Beispiel für die MFA.
Die Kommunikation über ein virtuelles Netzwerk schützt vor unbefugten Zugriffen. Dabei wird die Anfrage per VPN-Server umgeleitet und anonymisiert.Antiviren- und Anti-Malware-Software
Ein Antivirus-Programm gehört zur absoluten Grundausstattung der IT-Sicherheit – sowohl im privaten als auch im beruflichen. Ist ein Firmennetzwerk erst einmal mit Viren, Würmern und Trojanern infiziert, ist der Schaden bereits groß. Zuverlässige Tools erkennen eine Bedrohung daher umgehend und schicken die betroffenen Dateien in digitale Quarantäne. Moderne Antiviren-Software namhafter Anbieter scannt die Geräte nicht nur regelmäßig nach bösartigen Schadprogrammen, sondern beobachtet auch Veränderungen bestehender Datensätze.
Vorteile der Cloud nutzen
In Bezug auf die Punkte Integrität und Verfügbarkeit haben Cloud-Lösungen einen hohen Stellenwert bekommen. Durch die Auslagerung der Daten sind diese selbst bei dem kompletten Verlust der firmeneigenen Hardware noch verfügbar. Zudem hat man theoretisch von jedem Punkt auf der Welt Zugriff auf die Cloud, sofern das Endgerät und der Nutzer autorisiert sind. Remote-Work und Home-Office sind ohne zuverlässige Cloud-Lösungen kaum denkbar.
ISMS und ISO 27001-Zertifikat
Der sicherste Weg dem eigenen Anspruch an höchste Sicherheitsvorkehrungen gerecht zu werden, ist der Aufbau eines Informationssicherheits-Managementsystems (ISMS). Schwachstellen innerhalb der eigenen digitalen Infrastruktur macht das ISMS sofort sichtbar. Die Kriterien, die ein ISMS-gestütztes Sicherheitskonzept erfüllen muss, sind durch die ISO 27001-Norm definiert. Es handelt sich um eine freiwillige und international anerkannte Zertifizierung, mit der ein Unternehmen ein hohes Sicherheitsniveau nachweisen kann. Neben technischen Maßnahmen steht bei der Umsetzung auch die Schulung der Mitarbeiter auf dem Programm. Da ein zertifiziertes ISMS für kleine Firmen allerdings sehr aufwendig umzusetzen ist, müssen Kosten und Nutzen abgewägt werden. In manchen Branchen ist die Zertifizierung jedoch weniger optional, da die DSGVO entsprechende Garantien verlangt. Besonders wichtig sind diese Nachweise, wenn das Unternehmen Daten in Drittstaaten übermittelt.
Fazit
Ein überlegtes Konzept zu IT-Sicherheit zahlt sich aus. Selbst Unternehmen, die nicht gesetzlich dazu verpflichtet sind, strenge Voraussetzungen zu erfüllen, sollten gängige Maßnahmen ergreifen. Schon mit einem geringen Kosten- und Ressourcenaufwand sind viele Sicherheitslücken vermeidbar. Ein gutes Konzept schafft es, Anforderungen an die Vertraulichkeit mit der Integrität von Daten und der stetigen Verfügbarkeit zu verbinden. Eine ISO-Zertifizierung ist nicht zwingend notwendig, kann jedoch sinnvoll sein, um die von der DSGVO geforderten Sicherheitsgarantien bieten zu können.
Über den Autor:
Denis Hensel ist selbst Gründer und Unternehmer. In seinen Seminaren teilt er seine Erfahrungswerte und zeigt auf, wie junge Startups anfängliche Hürden schnell und effizient überwinden können.
Ähnliche Beiträge
IT-Technik zukunftsorientiert aufstellen – Die wichtigsten Tipps
Die Anforderungen an die IT-Infrastruktur nehmen zu und wachsen zusammen mit dem Unternehmen. Gleichzeitig entwickeln sich die Technologien weiter und es gibt flexible, individualisierbare Lösungen, um sich entsprechend aufzustellen. In dem Beitrag zeigen wir, wie sich Gründer bestmöglich aufstellen können.
Welche Vorteile Hybrid Cloud-Lösungen Startups bieten
Wer ein Unternehmen gründet, muss an -zig Fronten gleichzeitig aktiv sein. Da der Übergang zwischen einer Freelance-Tätigkeit und dem Aufbau eines Start-Ups meistens fließend ist, bedeutet das in der Praxis: Die Gründerin oder der Gründer ist für den Einkauf ebenso zuständig wie für den Vertrieb, für die Buchführung selbstverständlich auch – und die technischen Anforderungen […]
Tipps, um den richtigen VPN-Anbieter zu wählen
Ein virtuelles privates Netzwerk (VPN) bietet Dir Vorteile wie erhöhte Sicherheit, Verbindungsverschlüsselung und Anonymität. Du kannst es sogar so aussehen lassen, als ob Du Dich von einem anderen geografischen Standort aus verbinden würdest. Viel mehr müssen wir Dir wahrscheinlich nicht sagen. Der nächste Schritt ist die Auswahl eines guten VPN-Anbieters, um all diese Vorteile zu […]
Entwickler fürs Startup finden und Kosten in der IT sparen
Die IT hat sich in vielen Unternehmen zu einem der Kostenfaktoren überhaupt entwickelt. Anders ist es in der heutigen Zeit nicht möglich, in der quasi alles um Digitalisierung und Internet geht. Gerade dann, wenn die besten Programme für eine produktive Arbeitsumgebung eingesetzt werden sollen, bringt das nun einmal einen hohen Aufwand bei den Kosten mit […]
Kommende Events
- Tuesday, 14.05.24, 18:30 - 22:30 Uhr
- STARTPLATZ, Im Mediapark 5, 50670 Köln
- Wednesday, 15.05.24, 15:00 - 16:30 Uhr
- Remote per zoom call,
- Lukas Stratmann
