Pressemitteilung von Kerstin Höpfner

IT-Sicherheit - wo soll ich da nur anfangen?

---

---

Babenhausen, 20.04.2015. Es gibt Aufgaben, die schiebt man gerne vor sich her - wichtige Aufgaben. Oftmals ist es die Bearbeitung des Posteingangs zu Hause. Briefverkehr und Rechnungen lässt man gerne auch mal liegen. Plötzlich werden viele andere Aufgaben ungemein attraktiv: Das Wohnzimmer aufräumen, putzen oder den Müll rausbringen. Viele Menschen kennen das Phänomen aus Schule oder Studium. Alles ist wichtiger als Lernen.

Das bekannte Phänomen des Aufschiebens wurde mittlerweile in einem eigenen Krankheitsbild zusammengefasst: der Prokrastination. In vielen alltäglichen Fällen hat sie einen einfachen Grund: Der Erfolg ist nicht direkt sichtbar. Nach Stunden des Lernens oder der Postbearbeitung ist im Grunde alles wie vorher. Wieviel schöner ist es da doch, wenn man in kurzer Zeit Platz in der Garage schafft oder ein Zimmer zum Strahlen bringt.

Kleine und mittlere Unternehmen verhalten sich in Bezug auf IT-Sicherheit meist ähnlich. Sie wissen, dass sie etwas machen müssen und doch schieben sie es vor sich her. Zum einen wissen sie nicht genau, wo sie anfangen sollen, zum anderen gibt es keinen kurzfristigen Nutzen. Es kostet Zeit und Geld und nachher ist nichts sichtbar besser als vorher. So wenden sich die meisten Entscheider lieber Gewinn bringenden Aktivitäten zu.

Viele Unternehmen nehmen dabei Risiken in Kauf, die sie bewusst nie akzeptieren würden. Das wird leider häufig erst deutlich, wenn ein Schaden eintritt. Bei Systemausfall oder Datenverlust kann der verantwortliche Entscheider häufig gar nicht glauben, dass derart fahrlässig mit den IT-Systemen und Daten des Unternehmens umgegangen wurde. Er selbst hat allerdings den Status Quo zu verantworten und haftet im Zweifel mit dem Privatvermögen. Unterlassene Hilfeleistung ist auch in der IT-Welt ein Delikt.

Dabei muss der Einstieg in die IT-Sicherheit nicht über einen Schadensfall beginnen. Es geht auch einfacher. Im Grunde sind ein paar Entscheidungen zu treffen, wie sie Führungskräften alltäglich begegnen: Fakten aufbereiten, Kosten-Nutzen-Analyse, Entscheidungsvorlage, entscheiden, umsetzen, fertig. Martin Hausmann, Technikleiter bei Schneider & Wulf erklärt: "Unser Slogan lautet: Wir machen EDV einfach! Entsprechend begleiten wir unsere Kunden auch in der IT-Sicherheit so, dass der Aufwand so gering wie möglich bleibt. Wichtig ist uns aus leidvoller Erfahrung, dass Sie mit den Grundlagen der IT-Sicherheit in Ihrem Unternehmen beginnen, bevor es zu spät ist."

Beim Einstieg in die IT-Sicherheit werden folgende Phasen durchlaufen:

Begonnen wird mit der Ist-Aufnahme: Welche Prozesse und welche IT-Systeme sind vorhanden? Wie sind die aktuellen Sicherheitsmaßnahmen gestaltet? Die klare und ehrliche Aufnahme des IST-Zustandes stellt einen wichtigen Teil der Lösung dar. "Nicht selten blicken wir dann in erstaunte Gesichter, weil die Realität weit abweicht von den Ansprüchen und Annahmen des verantwortlichen Entscheiders." verrät Martin Hausmann weiter.

Es folgt die Risiko-Analyse: Die Daten der verschiedenen Prozesse und IT-Systeme werden bewertet, indem die Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit festgelegt werden. Wie lange darf ein System ausfallen, wie wichtig ist die Richtigkeit der Daten und wie schlimm wäre es, wenn sie in falsche Hände geraten?

Maßnahmenplan: Auf Basis der ermittelten Risiken werden die Maßnahmen erarbeitet, die zur Absicherung geeignet sind. Dabei werden auch die Kosten für unterschiedlich hohe Sicherheitsstufen ermittelt.

Entscheidung: Auf Basis der Risiken und Kosten wählt der zuständige Entscheider die umzusetzenden Maßnahmen.

Mitarbeitersensibilisierung: In der IT-Sicherheit sind Anwendungen und Systeme nur eine Seite der Medaille. Letztlich müssen die handelnden Personen ein Bewusstsein für die Risiken erlangen, um wirklich effektiven Schutz zu gewährleisten

So dargestellt, wird der Ablauf den meisten IT-Verantwortlichen vertrauter. Es ist ein ganz normaler Management-Prozess: eine Entscheidung auf Basis einer Kosten-Nutzen-Analyse. Für die Risiko-Analyse, Entscheidung und Mitarbeiter-Sensibilisierung hat Schneider & Wulf ein Poster entwickelt, das auf spielerische Art die möglichen Bedrohungen verdeutlicht. Es ist im Internet unter http://www.schneider-wulf.de/downloads abrufbar. Auf Anfrage gibt es das Poster auch im DIN A0 Format und kann so in mittelständischen Unternehmen aufgehängt werden, beispielsweise am schwarzen Brett.

Das Poster zeigt potenzielle Bedrohungen für IT-Infrastrukturen. Viren und Trojaner kommen den meisten Menschen spontan in den Sinn. Doch es gibt darüber hinaus eine Vielzahl von Bedrohungen, auf die man erstmal kommen muss: Offene Verkabelungen, Verschmutzung, Diebstahl, Spionage und vieles mehr.

Trifft auf Sie alles nicht zu? Schneider & Wulf lädt gerne dazu ein, die potenziellen Bedrohungen gemeinsam durchzugehen und die Risiken für Ihr Unternehmen persönlich zu besprechen. Martin Hausmann sagt: "Es geht nicht darum, Ihnen IT-Sicherheit zu verkaufen, die Sie nicht brauchen. Es geht darum, dass Sie bewusste Entscheidungen treffen. Nehmen Sie einfach Kontakt zu uns auf."

Bildquelle: fotolia Firmen- & Pressekontakt