IT-Sicherheit

Geschäftsdaten und –prozesse gehören zu den Unternehmenswerten wie materielles Anlagevermögen. Sie scheinen nicht so wichtig wie z. B. Maschinen in einen produzierenden Gewerbe, das sie nicht so offensichtlich greifbar sind wie diese.

Zur Veranschaulichung hier folgende Beispiele:

1. Bedingt durch einen Brand im Serverraum eines Versandunternehmens können keine Bestellungen mehr entgegengenommen werden. Da die Datensicherungsmedien auch im Serverraum gelagert wurden, sind Kundendaten unwiederbringlich verloren. Ausstehende Forderungen können nicht mehr nachvollzogen werden. Selbst professionelle Datenretter können nur noch einen Teil der Daten wiederherstellen. Kann die Firma das verkraften ...? 
2. In einer Klinik, welche sich auf die Behandlung von Diabetespatienten spezialisiert hat, wird unbemerkt eine Kopie einer unverschlüsselten Patientendatenbank gezogen. Monate später wird eine daraus generierte Patientenliste div. Arbeitgebern und Versicherungen zum Verkauf angeboten. Die Sache gelangt an die Öffentlichkeit, dem Klinikbetreiber drohen Schadensersatzklagen sowie Sanktionen nach dem Bundesdatenschutzgesetz (BDSG) ...
3. Einem technisch versierten Mitarbeiter eines produzierenden Betriebes gelingt es, die Daten eines Warenwirtschaftssystems zu manipulieren. Die „überschüssig“ produzierte Ware verkauft dieser auf eigene Rechnung im Ausland. Das Ganze fällt erst auf, als dem Unternehmen Konventionalstrafen wegen versäumter Lieferfristen drohen ...  

Diese Beispiele verdeutlichen den Stellenwert der drei IT-Sicherheitsziele

1.          Verfügbarkeit,
2.          Vertraulichkeit,
3.          Integrität,

wobei das zweite Beispiel noch zusätzlich die teilweise Überschneidung zwischen Datensicherheit und Datenschutz beleuchtet.

Die Vorgehensweise nach den BSI-Standards bzw. ISO 27001 bietet eine ganzheitliche Methode, um die drei Sicherheitsziele der IT mit einem angemessenen, verhältnismäßigen Aufwand zu erreichen und darüber hinaus zu erhalten. Dabei geht diese Vorgehensweise weit über die üblichen Maßnahmen wie Virenschutz, Firewall oder Backupkonzepte hinaus und berücksichtigt auch Risiken und Gefährdungen, die gerne allzu leicht übersehen werden:

• Gefährdungen durch bauliche Umstände, z. B. das ungesicherte Fenster an der Außenwand des Serverrraums,
• Naturkatastrophen, z.B. Blitzschlag oder Hochwasser,
• Abhängigkeiten von Dritten, z. B. Providern und sonst. Dienstleistern.
• Diebstahl, Sabotage, etc.,
• mobile Geräte, « own devices » und daraus resultierende Bedrohungen,
• u.v.m. ... .

Die BSI-Standards leisten und bieten folgendes:

• Systematische Bewertung aller Geschäftsprozesse und der dazu notwendigen Betriebsmittel (HW, SW, Verbindungen, Räume), in wie weit diese zur Erfüllung des Unternehmensziels notwendig sind (BSI-Grundschutz),
• systematisches Erkennen von Bedrohungen und Gefährdungen (Risikoanalyse),
• Maßnahmen gegen diese (Grundschutzkataloge),
• Notfallmanagement (wenn das Kind mal in den Brunnen gefallen ist).

Wir bieten Ihnen folgendes:

• Erstellung einer Sicherheitsrichtlinie Ihren Betrieb und Ihre Mitarbeiter
• Etablierung eines IT-Security Management Systems (IMSM) nach BSI, welches die oben genannten Anforderungen sicherstellt,
• Regelmäßige Überprüfung und Verbesserung des IT-Sicherheitsstatus durch interne Audits.
• Vorbereitung für auf Zertifizierung nach ISO 27001.

Sehen Sie dies nicht nur als eine Versicherungspolice für ihr Unternehmen bei existenzbedrohenden Ereignissen, sondern beachten Sie auch noch folgende Wettbewerbsvorteile:

• viele Kunden bevorzugen mittlerweile ISO 27001 zertifizierte Lieferanten bzw. setzen die Zertifizierung voraus,
• umgekehrt verlangen gerade Lieferanten von sensibler Technologie häufig diese von ihren Vertragspartnern,
• mittlerweile honorieren oftmals Haftpflichtversicherungen eine ISO 27001 Zertifizierungen mit deutlichen Abschlägen auf die Prämie.

Haben Sie noch weitere Fragen? Bitte wenden Sie sich jederzeit an uns.