02.01.2023
Die IT-Sicherheit ist entscheidend für den Erfolg Ihres Unternehmens. Mit den entsprechenden Maßnahmen schützen Sie sensible Daten, bewahren den guten Ruf Ihrer Firma, vermeiden finanzielle Verluste und sichern den fortlaufenden Betrieb. Informieren Sie sich jetzt über die zentralen Eckpunkte der IT-Sicherheit und definieren Sie die Schutzziele für Ihr Geschäft.
Hinter dem Begriff IT-Sicherheit verbergen sich Maßnahmen und Strategien, die dazu dienen, Daten, Netzwerke, Computer und andere IT-Ressourcen vor unbefugtem Zugriff, Verlust, Beschädigung oder Missbrauch zu schützen. Die Schutzziele der IT-Sicherheit in Unternehmen sind vor allem Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Informationen. Darüber hinaus geht es darum, im Fall von Cyberangriffen den weiteren Betrieb des Unternehmens gewährleisten zu können.
Im geschäftlichen Alltag werden die Begriffe IT-Sicherheit und Cybersecurity oft synonym verwendet. Doch muss zwischen beiden unterschieden werden: IT-Sicherheit ist der übergeordnete Begriff. Sie bezieht sich auf den Schutz von Daten, besonders in Bezug auf die oben genannten Schutzziele, auf die wir im nächsten Abschnitt genauer eingehen. Berücksichtigt werden dabei sowohl digitale als auch physische Faktoren.
Cybersecurity hingegen fokussiert sich auf den Schutz von Systemen und Daten im Cyberspace, also im Internet, in Netzwerken oder in der Cloud. Dazu gehören der Schutz vor Cyberangriffen wie Hacking, Phishing, Malware und weiteren Cyber-Bedrohungen sowie die IoT-Security. Nähere Informationen zu diesen Teilgebieten finden Sie in den verlinkten Artikeln.
Für deutsche Unternehmen sind die IT-Schutzziele in mehreren Rahmenwerken definiert. Eine besonders große Rolle spielt der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Als Unternehmerin oder Unternehmer müssen Sie die erforderlichen Maßnahmen ergreifen, um diese Ziele zu erreichen.
Oft spricht man von klassischen und erweiterten Schutzzielen. Die klassischen Schutzziele sind das Fundament der IT-Sicherheit in Ihrem Unternehmen: Vertraulichkeit, Integrität und Verfügbarkeit. Diese werden auch als CIA-Triade bezeichnet, benannt nach den englischen Initialen der Ziele: Confidentiality, Integrity und Availability (Vertraulichkeit, Integrität und Verfügbarkeit).
Vertraulichkeit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff und Offenlegung. Dazu gehören sensible Daten wie Ihre Kundendaten, Dokumente, die geistiges Eigentum enthalten oder Geschäftsgeheimnisse. Ein vertraulicher Umgang mit Daten ist unverzichtbar, um das Vertrauen Ihrer Kunden, Partner und Stakeholder zu erhalten. Sie können in Ihrem Unternehmen unterschiedliche Maßnahmen und Technologien einsetzen, um Vertraulichkeit zu gewährleisten:
Zugangskontrollen: Damit kann sichergestellt werden, dass in Ihrem Unternehmen nur autorisierte Benutzerinnen und Benutzer auf bestimmte Daten zugreifen können. Entsprechende Daten sollten daher beispielsweise durch Benutzername/Passwort-Kombinationen, rollenbasierte Zugriffskontrollen oder Listen zur Zugriffskontrolle gesichert sein.
Verschlüsselung: Hierbei werden Daten durch einen kryptografischen Schlüssel in eine unlesbare Form umgewandelt. Nur über einen speziellen Schlüssel lassen sie sich wieder lesbar machen. Die Verschlüsselung sollte sowohl bei der Übertragung als auch der Speicherung unternehmensrelevanter Daten angewandt werden.
Richtlinien zur Datensicherheit: Entwickeln Sie klare Richtlinien zur Datensicherheit, um vertrauliche Daten sicher zu handhaben.
Schulungen: Regelmäßige Schulungen und Maßnahmen zur Sensibilisierung helfen Ihrem Personal, das Bewusstsein für den Schutz vertraulicher Daten zu schärfen und das Risiko von Datenschutzverletzungen zu verringern.
Überwachung und Audits: Die Überwachung der IT-Systeme auf Sicherheitsverstöße und regelmäßige Audits tragen dazu bei, dass die Vertraulichkeit gewahrt bleibt.
Integrität zielt auf die Korrektheit und Unversehrtheit von Daten und Systemen ab. Die Informationen, die in Ihrem Unternehmen vorliegen, sollten vor unbefugten Änderungen geschützt werden. Das betrifft sowohl absichtliche als auch unabsichtliche Änderungen. Nur so wird sichergestellt, dass alle Daten, auf denen Ihre geschäftlichen Entscheidungen basieren, authentisch und unverfälscht sind. Zur Integrität der Daten tragen u. a. folgende Maßnahmen und Technologien bei:
Überwachung von Änderungen: Hinterfragen Sie Ihre Abläufe: Sind Sie in der Lage nachzuvollziehen, wer wann welche Daten verändert hat? Reagieren Sie auf nicht autorisierte Änderungen schnell und effektiv.
Zugangskontrollen: Durch den kontrollierten Zugang stellen Sie sicher, dass nur befugte Personen kritische Daten ändern können.
Datenvalidierung: Mit Prüfsummen und digitalen Signaturen lässt sich kontrollieren, ob Daten seit der letzten Prüfung verändert wurden. Das stellt auch die Integrität von Daten während der Datenübertragung sicher.
Datensicherung/-archivierung: Falls es zu einer Datenmanipulation gekommen ist, lässt sich aus einem Back-up eine verlässliche Version zurück in die Systeme spielen.
Sicherheits- und Prozessrichtlinien: Klare Richtlinien tragen dazu bei, das Bewusstsein Ihrer Mitarbeiterinnen und Mitarbeiter zu erhalten und deutlich zu machen, wie mit sensiblen Daten umzugehen ist.
Anomalie-Erkennung: Abweichungen von der Norm in Abläufen und Prozessen sind ein Hinweis auf Bedrohungen der Integrität. Stellen Sie sicher, dass ungewöhnliche Zugriffsmuster und Aktivitäten registriert werden und entsprechend reagiert wird.
Verstöße gegen die Integrität haben häufig schwerwiegende Folgen. Zum einen haben sie das Potenzial, das Vertrauen Ihrer Kundschaft und Partner in Ihr Unternehmen zu vermindern. Zum anderen sind oftmals empfindliche finanzielle Schäden die Folge geschäftlicher Entscheidungen auf Basis fehlerhafter Daten.
Das dritte klassische IT-Schutzziel ist Verfügbarkeit. Verfügbarkeit heißt, dass Informationen und IT-Systeme stets verlässlich zugänglich sind. Dadurch minimieren Sie Ausfallzeiten, erhalten die Kundenzufriedenheit und sichern die Stabilität Ihrer Geschäftsprozesse. Diese Maßnahmen tragen zur Verfügbarkeit bei:
Redundanz: Falls ein System ausfällt, übernimmt ein redundantes System (z. B. ein Back-up-Server, der den Hauptserver im Ernstfall ersetzen kann) und stellt den weiteren Betrieb sicher.
Lastverteilung: Verteilung des Netzwerkverkehrs auf mehrere Server. Das optimiert die Auslastung und verbessert die Reaktionszeiten.
Datensicherung: Regelmäßige Back-ups und entsprechende Disaster-Recovery-Pläne stellen sicher, dass Unternehmensdateien nach einem Ausfall schnell wiederhergestellt werden können.
Überwachung und Instandhaltung: Durch Monitoring und Pflege lassen sich potenzielle Probleme frühzeitig erkennen und beheben.
DDoS-Schutz: „DDoS“ steht für „Distributed Denial of Service“ und bezeichnet eine Attacke auf ein Netzwerk, die sich Kapazitätsbeschränkungen zu Nutze macht. Entsprechende Schutzmaßnahmen tragen dazu bei, die Verfügbarkeit Ihrer IT-Systeme auch während eines Cyberangriffs, der auf deren Überlastung abzielt, zu gewährleisten.
Notstromversorgung: Mit unterbrechungsfreier Stromversorgung (USV) und Notstromgeneratoren stellen Sie sicher, dass Ihre IT-Systeme bei Stromausfällen weiterarbeiten.
Kapazitätsplanung: Eine realistische Einschätzung möglicher Zugriffsanfragen ist die Grundlage dafür, dass jederzeit genug Ressourcen verfügbar sind, um Spitzenlasten bewältigen zu können. Das betrifft sowohl Ihre interne IT-Struktur als auch Zugriffe auf Websites, E-Shops, Cloud-Dienste und weitere Bereiche.
Über die klassischen IT-Schutzziele hinaus lassen sich weitere Schutzziele formulieren, die auch für Ihr Unternehmen relevant sein können. Dazu zählen:
Authentizität: Zur Authentizität zählt etwa die Überprüfung der Identität von Benutzerinnen und Benutzern, Systemen oder Daten.
Rechenschaftspflicht: Unternehmen müssen sicherstellen, dass Handlungen von Entitäten innerhalb eines Systems nachzuvollziehen und zuzuordnen sind.
Nichtabstreitbarkeit: Digitale Signaturen und vergleichbare Instrumente stellen sicher, dass eine durchgeführte Aktion oder ein Ereignis von den beteiligten Parteien nicht abgestritten werden kann.
Grundsätzlich liegt die Verantwortung für die Einhaltung die Schutzziele bei der Unternehmensleitung. Daher sollten Sie entsprechende Ressourcen zur Verfügung stellen, um IT-Sicherheit gewährleisten zu können. Stellen Sie sicher, dass Sie ausreichend Personal zur Verfügung haben, dass die IT-Schutzziele priorisieren kann.
Die operative Verantwortung für das Thema können Sie auf verschiedene Ebenen innerhalb Ihres Unternehmens verteilen. Z. B. auf IT-Sicherheitsbeauftragte oder eine Abteilung, die direkt mit Umsetzung und Überwachung der IT-Sicherheitsmaßnahmen betraut ist.
Doch die Verantwortung endet hier noch nicht. Es kommt auf jedes einzelne Ihrer Teammitglieder an. Das gesamte Personal muss in Sicherheitsfragen geschult werden, damit sich alle ihrer Rolle im Schutz der Unternehmens-IT bewusst sind. Ihre Mitarbeiterinnen und Mitarbeiter spielen eine zentrale Rolle bei der Verteidigung gegen Cyber Threats.
Das deutsche IT-Sicherheitsgesetz (IT-SiG) wurde in seiner Ursprungsfassung 2015 verabschiedet. Es hat zum Ziel, die Sicherheit von Informationstechnologie-Systemen (IT-Systemen) zu erhöhen. Vor allem kritische Infrastrukturen (KRITIS) sollen dadurch geschützt werden.
Die Hauptpunkte der ersten Fassung des IT-Sicherheitsgesetzes sind ein wichtiger Schritt zur Stärkung der Cybersicherheit in Deutschland und setzen bereits hohe Standards an KRITIS. Auch für Unternehmen, die nicht unter die Definition von KRITIS fallen, können einige Inhalte des IT-Sicherheitsgesetzes als Orientierung für hohe Sicherheitsstandards dienen:
Meldepflichten: KRITIS-Betreiber müssen erhebliche Störungen der IT-Schutzziele – u. a. Vertraulichkeit, Integrität, Verfügbarkeit – an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Sicherheitsanforderungen: KRITIS-Unternehmen sind verpflichtet, Mindeststandards nach dem Stand der Technik für IT-Sicherheit einzuhalten. Für diese Firmen ist es obligatorisch, alle zwei Jahre den entsprechenden Nachweis zu erbringen.
Befugnisse des BSI: Das BSI ist eine Bundesbehörde, die für Fragen der IT-Sicherheit in Deutschland zuständig ist. Sie erhält erweiterte Befugnisse, um die IT-Sicherheit in Deutschland zu stärken und als zentrale Meldestelle für IT-Sicherheitsvorfälle zu fungieren. Das BSI darf z. B. Informationen über Sicherheitslücken und Angriffsmuster sammeln und auswerten, um so ein verlässliches Lagebild erstellen zu können.
Digitale Diensteanbieter: Anbieter, die digitale Dienste wie Cloud-Services, Suchmaschinen oder Onlinemarktplätze betreiben gehören zwar nicht zu KRITIS, müssen aber ebenfalls bestimmte Sicherheitsanforderungen, die durch die NIS-Richtlinie geregelt werden, erfüllen und beispielsweise Vorfälle melden.
Im Jahr 2021 trat das IT-SiG 2.0 in Kraft, die überarbeitete und erweiterte Version des ursprünglichen IT-Sicherheitsgesetzes von 2015. Die wichtigsten Änderungen sind:
Neue Pflichten für KRITIS:
Angriffserkennung: Verpflichtung zur Implementierung von Systemen, die kontinuierlich Bedrohungen erkennen und verhindern.
Meldepflichten: Bereitstellung von Informationen, die zur Bewältigung erheblicher Störungen erforderlich sind – dazu gehören auch personenbezogene Daten.
Unmittelbare Registrierung: Betreiber müssen sich beim BSI registrieren und eine Kontaktstelle benennen. Das BSI kann auch selbst Betreiber als KRITIS registrieren.
Kritische Komponenten: Für den Einsatz bestimmter IT-Produkte besteht eine Meldepflicht. Für diese muss eine Garantieerklärung zur Vertrauenswürdigkeit des Herstellers vorgelegt werden. Das Innenministerium kann den Einsatz untersagen, wenn die öffentliche Ordnung und Sicherheit beeinträchtigt würde oder die Vertrauenswürdigkeit fehlt.
Inventarisierung: Vorerst nur im KRITIS-Sektor Telekommunikation müssen Betreiber ihre IT-Produkte inventarisieren und den Einsatz kritischer Komponenten dem BSI melden.
Neue betroffene Unternehmen:
Siedlungsabfallentsorgung: Dieser Sektor wurde neu in KRITIS aufgenommen. Die kritischen Dienstleistungen umfassen Sammlung, Beseitigung und Verwertung von Siedlungsabfällen wie z. B. Abfälle aus privaten Haushalten oder Verwaltungsgebäuden. Ein Ausfall kann zu gesundheitlichen Gefahren und Umweltverschmutzung führen.
Unternehmen im besonderen öffentlichen Interesse (UBI): Dazu gehören Unternehmen in der Rüstungsbranche, Unternehmen von volkswirtschaftlicher Bedeutung und deren wesentliche Zulieferer sowie Betreiber von Bereichen mit Gefahrstoffen.
Ein wirksames IT-Sicherheitskonzept muss individuell auf Ihr Unternehmen abgestimmt sein, um spezifische Bedürfnisse und Risiken berücksichtigen zu können. Es sollte klar strukturiert sein und folgende Elemente enthalten:
Einführung und Ziele: Klären Sie die Bedeutung der IT-Sicherheit für Ihr Unternehmen und definieren Sie die spezifischen Sicherheitsziele.
Geltungsbereich und Verantwortlichkeiten: Grenzen Sie den Geltungsbereich des Konzepts ein. Legen Sie Rollen und Verantwortlichkeiten innerhalb Ihres Unternehmens fest.
Risikobewertung: Analysieren Sie die IT-Sicherheitsrisiken, denen Ihr Business in Bezug auf Netzwerke, Cyberattacken und Digitalisierung ausgesetzt ist.
Sicherheitsrichtlinien und -verfahren: Erstellen Sie Sicherheitsrichtlinien und Verfahren, die befolgt werden müssen, um Risiken zu minimieren und die Sicherheitsziele zu erreichen.
Technische und organisatorische Maßnahmen: Halten Sie fest, welche spezifischen technischen und organisatorischen Maßnahmen ergriffen werden müssen, um die IT-Sicherheit in Ihrem Unternehmen zu gewährleisten.
Schulung und Bewusstseinsbildung: Planen Sie regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Ihre Belegschaft.
Notfallmanagement und Reaktionspläne: Entwickeln Sie Pläne für den Fall, dass es zu Sicherheitsvorfällen kommt.
Überprüfung und fortlaufende Verbesserung: Schaffen Sie Prozesse, um das bestehende System zu überprüfen und auf sich ändernde Bedrohungslagen und Risiken reagieren zu können.
Dokumentation und Compliance: Stellen Sie sicher, dass das Sicherheitskonzept dokumentiert ist sowie den gesetzlichen Anforderungen und Standards entspricht.
IT-Sicherheit ist unverzichtbar, um wichtige Unternehmens- und Kundendaten zu schützen und die Fortführung des Betriebs sicherzustellen.
Während IT-Sicherheit sich auf den Schutz von Informationen und das IT-System in jeglicher Form bezieht, konzentriert sich Cybersecurity speziell auf den Schutz vor Bedrohungen über Cyberspace und Internetnetzwerke.
Die drei klassischen IT-Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit.
Das IT-Sicherheitsgesetz definiert Mindeststandards für die Sicherheit von Netzwerken und IT-Systemen. Der Fokus liegt auf kritischen Infrastrukturen, doch auch andere Unternehmen werden zur Einhaltung verpflichtet.
Für die IT-Sicherheit sind die Unternehmensleitung, die verschiedenen Abteilungen innerhalb des Unternehmens und die Belegschaft verantwortlich.
Melden Sie sich für den O2 Business Newsletter an und erhalten Sie Informationen zu weiteren Themen, Aktionen und Sonderangeboten für Geschäftskunden.
Grundsätzlich gehört eine Vielzahl von Maßnahmen zur IT-Sicherheit in Unternehmen. Im Folgenden haben wir die wichtigsten zusammengefasst:
Authentifizierung und Autorisierung
Firewalls und Sicherheitssoftware
Verschlüsselung
Regelmäßige Updates
Sicherheitsrichtlinien
Schulung der Beschäftigten
Sicherungskopien und Pläne zur Wiederherstellung
Überwachung
Schnelle Reaktion auf Sicherheitsvorfälle
Im IT-Grundschutz-Kompendium hat das Bundesamt für Sicherheit in der Informationstechnik die folgenden drei primären Schutzziele definiert (Grundwerte der IT-Sicherheit):
Vertraulichkeit: „Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.“
Integrität: „Integrität im engeren Sinne bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf „Informationen“ angewendet. Der Begriff „Informationen“ wird dabei für Daten verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert werden.“
Verfügbarkeit: „Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese den Benutzern jederzeit stets wie gewünscht zur Verfügung stehen.“
Neben den klassischen Schutzzielen gibt es noch die erweiterten Schutzziele Authentizität, Rechenschaftspflicht und Nichtabstreitbarkeit.
Das IT-Sicherheitsgesetz gilt für Organisationen und Unternehmen, die als kritisch für die Infrastruktur und die Funktionsfähigkeit der Gesellschaft gelten. Sie lassen sich in vier Hauptkategorien zusammenfassen:
Kritische Infrastrukturen (KRITIS): Dazu gehören Betreiber der Sektoren Energie, Ernährung, Wasser, IT und Telekommunikation, Finanz- und Versicherungswesen, Sicherheit, Transport, medizinische Versorgung und Verkehr.
Digitale Diensteanbieter: Cloud-Dienste, Suchmaschinen und Onlinemarktplätze unterliegen ab einer bestimmten Größe dem IT-Sicherheitsgesetz.
Telekommunikationsunternehmen und Telemedienanbieter.
Bundesbehörden: Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) wurden auch Bundesbehörden stärker in den Anwendungsbereich des Gesetzes einbezogen. Sie sind verpflichtet, bestimmte IT-Sicherheitsstandards einzuhalten und Sicherheitsvorfälle zu melden.
In der IT-Sicherheit gilt der Mensch als größte Schwachstelle in den Systemen. Die Gründe dafür liegen u. a. in unzureichender Schulung und Sensibilisierung, der Gefahr durch SocialEngineering wie z. B. Phishing, Fehlern und Nachlässigkeiten bei der Passwortsicherheit und Bedrohungen durch Insider.
Passend zum Thema