Artikel erschienen am 20.12.2014
Finanzen Steuern Recht | Ostwestfalen/Lippe 2015
E-Paper

Maßnahmen zur Verbesserung der Informationssicherheit im Mittelstand

Von Dipl.-Ing. Andreas Wenzel, Bielefeld | Gregor Teipel, Bielefeld

1. Hohes Risikopotenzial im Mittelstand

Informations- und Kommunikationstechnologien sind auch für den deutschen Mittelstand eine der wesentlichen Geschäftsgrundlagen und damit ein Treiber für Innovationen. Der Mittelstand ist aber zugleich auch allen Formen der digitalisierten Wirtschaftskriminalität ausgesetzt. Der Informationssicherheit kommt daher mehr denn je eine Schlüsselrolle zu. Aktuellen Veröffentlichungen zufolge nehmen Cyberkriminelle verstärkt mittelständische Unternehmen ins Visier, weshalb gerade diese Gruppe in besonderem Maße von Wirtschaftsspionage, Konkurrenzausspähung und auch von Erpressung betroffen ist.

Studien belegen regelmäßig Defizite bei der praktischen Umsetzung notwendiger Maßnahmen zur Informa­tionssicherheit im Mittelstand. Viele haben das Sicherheitsrisiko grundsätzlich erkannt und schätzen Sicherheitsfragen als wichtig für ihr Unternehmen ein. Systematische Konsequenzen werden daraus nicht immer abgeleitet.

2. Mittelstandsspezifische Merkmale der Informationssicherheit

Die Steuerung und Kontrolle des Unternehmens ist oftmals auf die Person des Geschäftsführers bzw. Eigentümers konzentriert. Dieser nimmt damit eine Schlüsselrolle bei der Schaffung von IT-Risikobewusstsein und -kultur ein („Informationssicherheit ist Chefsache“).

Aufgrund der Größenstruktur im Mittelstand besteht eine Abhängigkeit von wenigen Mitarbeitern, die Aufgaben mit IT-Bezug wahrnehmen und über Know-how bezüglich der IT-Sicherheit verfügen. Es fehlen zudem die Kapazitäten zur laufenden Analyse der eigenen Risikosituation und der am Markt verfügbaren IT-Lösungen.

In Kenntnis der Beschränkung der eigenen Ressourcen wird teilweise auf das Know-how externer IT-Dienstleister zurückgegriffen. Hierbei spielt oft das persönliche Vertrauensverhältnis des Unternehmers zum Dienstleister eine wesentliche Rolle.

Auf der Grundlage flacher Hierarchien mit täglichen persönlichen Kontakten, geringer Fluktuation und überschaubarer Geschäftsprozesse sind die Prozesse und Kontrollen im Unternehmen weniger formalisiert. Die IT weist deshalb eine geringe Regelungsdichte auf.

Schließlich gibt es oftmals bauliche Einschränkungen, welche IT-Risiken begünstigen. Dies betrifft bspw. den physischen Schutz der Serverräume oder den Standort der IT, z. B., wenn Nebenräume mit Akten und Druckern zu Serverräumen umgewidmet werden.

3. Angemessenes IT-Risikomanagement im Mittelstand

Aufgrund der Konzentration auf die Person des Unternehmers ist die Schaffung eines IT-Risikobewusstseins in der Geschäftsführung die entscheidende Voraussetzung. Ohne die Führung durch den Unternehmer entfalten notwendige Maßnahmen oftmals keine dauerhafte Wirkung.

Die Geschäftsführung benennt einen Verantwortlichen, der für IT-Sicherheitsbelange und deren Umsetzung zuständig ist. Dieser definiert und kommuniziert grundlegende Vorgaben zur IT-Sicherheit und sorgt dafür, dass sich das IT-Risikobewusstsein auf alle Mitarbeiter ausdehnt. Die Vorgaben betreffen den konkreten Arbeitsalltag der Mitarbeiter beim Umgang mit der IT (z. B. Nutzung von Passwörtern oder Sicherung von Daten).

Die Erstellung einer Übersicht aller IT-Systeme, Daten, Netzwerkstrukturen und Schnittstellen gehört zu den notwendigen Basisarbeiten. Sie ergibt eine Übersicht der IT-gestützten Unternehmensprozesse und ermöglicht eine Klassifizierung schützenswerter Daten und Anwendungen sowie die konkrete Identifizierung von IT-Risiken, welche sich auf die Verfügbarkeit, Vertraulichkeit und Integrität auswirken. Die 10 IT-Risiken, die die größten Störungen hervorrufen, werden analysiert und beschrieben. Für diese IT-Risiken werden dann konkrete Maßnahmen zur Risikovermeidung und -reduktion definiert und umgesetzt. Wesentliche Verbesserungen können erreicht werden, wenn zu Beginn der Fokus auf elementare Sicherheitsstandards gelegt wird:

  • Passwortänderungen und -komplexität vorgeben
  • Benutzerberechtigungen überprüfen
  • Verschlüsselung sensibler Daten
  • Absicherung des Internets
  • regelmäßige Datensicherungen und Übungen zur Datenrekonstruktion
  • Installation der vom Hersteller zur Verfügung gestellten Updates
  • Einschränkung des Zugangs unbefugter Dritter.

Im Rahmen eines nachhaltigen IT-Risikomanagements wird der Stand der Umsetzung von der Geschäftsführung regelmäßig kontrolliert. Ein einfacher IT-Risikobericht (jährlich erstellt, nicht mehr als zwei Seiten) rundet das Bild ab.

4. Unterstützung durch den Wirtschaftsprüfer

Aufgrund der Konzentration auf die Person des Geschäftsführers ist die Schaffung eines IT-Risikobewusstseins auf dieser Ebene die entscheidende Voraussetzung. Begleiter dieses Prozesses kann der Wirtschaftsprüfer des Unternehmens sein. Er weist auf bestehende Schwachstellen und Mindeststandards hin und liefert so den Anstoß für erste Schritte zur Verbesserung der Sicherheit und Zuverlässigkeit der IT. Zusätzlich bietet er einen informierenden und lösungsorientierten Dialog vor Ort an. Detaillierte Sicherheitsanalysen und Risikobeurteilungen werden darüber hinaus von spezialisierten Wirtschaftsprüfern im Rahmen von IT-Systemprüfungen durchgeführt.

Basis hierfür ist die tiefe Kenntnis des Unternehmens und die risikoorientierte Auseinandersetzung mit den Geschäftsprozessen und den IT-Risiken im Rahmen der Jahresabschlussprüfung. Hierauf aufbauend kann er auch bezogen auf die IT-Prozesse Risiken identifizieren, Sicherheitsmaßnahmen beurteilen und die Auswirkungen auf das Unternehmen aufzeigen. Aus diesen Gründen kann der Wirtschaftsprüfer die Rolle eines Impulsgebers einnehmen und die Überwachungstätigkeit der Geschäftsführung im Hinblick auf die IT unterstützen.

Fazit

Aufgrund der Konzentration auf die Person des Unternehmers ist die Schaffung eines IT-Risikobewusstseins beim Unternehmer die entscheidende Voraussetzung für die Verbesserung der Informationssicherheit im Mittelstand. Der Wirtschaftsprüfer kann hierbei als Impulsgeber auftreten und die Überwachungsfunktion der Geschäftsführung unterstützen. Er kennt die Geschäftsprozesse des Unternehmens und setzt sich regelmäßig mit Fragen der IT-Risiken und -Sicherheit im Rahmen der Jahresabschlussprüfung auseinander. Insofern sind Wirtschaftsprüfer ideale Begleiter für die Schaffung von mittelstandsgerechten und angemessenen Prozessen zur Informationssicherheit.

Fotos: panthermedia/Wavebreakmedia Ltd.

Ähnliche Artikel

Finanzen Steuern Recht

1 oder 0? Digitalisierung, aber richtig!

Wer heute keine Strategie hat, hat morgen kein Unternehmen mehr

Digitalisierung ist der Metatrend, der für die Zukunftsfähigkeit eines Unternehmens entscheidend werden wird. Die meisten Konzepte zur nachhaltigen Restrukturierung basieren weiterhin auf klassischen und damit kostenorientierten Ansätzen. Und genau das wird zukünftig nicht mehr funktionieren.

Hamburg 2018/2019 | Thomas Kresse, Hamburg

Finanzen Steuern Recht

Wirtschaftsspionage und Cyberattacken

Unternehmen sind mit einer Sicherheitsstrategie gefordert

Leider ist dieser Fall keine Seltenheit mehr: Mehrere Hundert Firmenangehörige eines norddeutschen Hochtechnologieunternehmens werden mit personifizierten E-Mails mit Schadsoftwareanhang angeschrieben.

Hannover 2013 | Uwe Claaßen, Hannover
Drucken