Risiken richtig bewerten

Passgenaue Sicherheit für den Mittelstand

15.03.2017
Von 
Peter Morwinski studierte Physik und Informatik. Der Bechtle IT Business Architekt leitet im Systemhaus Bonn/Köln das Technologie Center/IT-Sicherheit. Aktuell verantwortet er den Aufbau des Information Security Management System nach BSI IT-Grundschutz und ISO 27001, sowie alle operativen Aufgaben in Bereich IT-Sicherheit. In der Rolle als Service Manager ist Morwinski für alle Dienstleistungen im Kundensegment Bundeswehr und öffentliche Auftraggeber verantwortlich.
IT spielt heute auch in mittelständischen Unternehmen eine entscheidende Rolle. Doch den Geschäftsführern fällt es oft schwer, die Bedeutung der IT-Werkzeuge richtig einzuschätzen, die Risiken angemessen zu bewerten und die Systeme nachhaltig abzusichern.

Diskutiert man über IT-Sicherheit, ist es immer hilfreich, konkrete Beispiele zu betrachten. Nehmen wir zum Beispiel einen Hersteller für Scharniere. Das Alleinstellungsmerkmal des Unternehmens besteht aus Speziallegierungen, welche die Oberfläche der Scharniere haltbar machen. Außerdem verfügt es über Spezialformen, mit denen sich Verbindungen herstellen lassen, die Wettbewerber so nicht produzieren können.

Ein durchgängiges Sicherheitskonzept muss auch die IT berücksichtigen.
Ein durchgängiges Sicherheitskonzept muss auch die IT berücksichtigen.
Foto: PHOTOCRE Michal Bednarek - shutterstock.com

Ein solches Unternehmen hat eine eigene Forschung und Entwicklung und eine Produktion. Die Mitarbeiter benutzen ihre PCs für ihre tägliche Arbeit ganz selbstverständlich und ohne darüber nachzudenken – vielleicht so wie einen Bleistift.

Risikomanagement alleine greift zu kurz

Natürlich hat ein solches Unternehmen ein Risikomanagement. Das Risikomanagement analysiert die Bilanz auf Risiken, bewertet Auslandsaufträge, kümmert sich um die Versicherungen und sieht sich Kreditrisiken an. Es kümmert sich um Brand- und Gebäudeschütz und ein Notfallmanagement. Vielleicht empfiehlt es den Einbau einer Kameraanlage. In den wenigsten Fällen erstellt es ein durchgängiges Sicherheitskonzept, das auch die IT berücksichtigt. Denn die Risikomanager wissen eben nicht, was die einzelnen Mitarbeiter an ihren PCs ganz genau tun, welche Daten sie transformieren und welche Daten sie wie transportieren.

Natürlich ist die IT der Enabler für die Produktion. Das ist bei den meisten Mittelständlern so. Sie wird aber von der Geschäftsleitung nicht als solcher gesehen. Was IT-Sicherheit angeht, agiert sie nach dem Motto: „Ich mache Virenschutz und Firewall und schließe alle Türen ab“. Dabei ist IT-Sicherheit längst mehr als Virenschutz und Firewall. Auf der anderen Seite kann es auch nicht darum gehen, so viele Sicherheits-Tools und -Technologien einzusetzen, koste es, was es wolle. Das ist das andere Extrem.

Klare Vorgehensweise statt Übereifer

Wesentlich ist es zu bewerten, welche Abteilungen oder Verfahren besonders zu schützen sind und welche weniger. In unserem Beispiel muss es für die Forschungsabteilung strengere Auflagen geben als für die Produktion. Die Mitarbeiter akzeptieren diese Unterschiede auch. Schließlich haben die Ingenieure jahrelang an Verfahren gearbeitet, die nicht in die falschen Hände fallen dürfen.

Empfehlenswert ist der Einsatz eines Tools im Vorfeld, um eine Bestandsanalyse vorzunehmen. Auch die rechtlichen Rahmenbedingungen und die Policies eines Unternehmens müssen berücksichtigt werden. Zusätzlich solltne zudem Penetrationstests vorgenommen werden. Auf diese Weise werden Zusammenhänge herausgefunden, die es erlauben, die Daten zu bewerten. Ist die Analyse abgeschlossen, sollte das Unternehmen bei Umsetzung, Zertifizierung – möglicherweise bis zum Audit – begleitet werden.

Das Ziel muss sein, passgenau so viel Sicherheit wie nötig zu gewährleisten. Denn wenn die Mechanismen und Regelungen zu allgemein sind, werden die Mitarbeiter diese umgehen. (haf)