Direktlink:
Inhalt; Accesskey: 2 | Hauptnavigation; Accesskey: 3 | Servicenavigation; Accesskey: 4

Organisation der IT-Sicherheit

Bei IT-Sicherheit kommt es auf den Menschen an. Durch technische Vorkehrungen allein kann die Unternehmens-IT nicht hinreichend vor Sicherheitslücken geschützt werden. Entscheidend ist die Sensibilisierung der Mitarbeiter und Mitarbeiterinnen.

iStockphoto.com/4FR
© iStockphoto.com/4FR

Viele kleine und mittlere Unternehmen verfügen über keine Beschäftigten mit ausgeprägten IT-Kenntnissen oder gar IT-Fachleute. Dennoch nutzen alle Unternehmen in ihrem täglichen Arbeitsablauf geschäftsbezogene Informations- und Kommunikationstechnologien (IKT). Daraus entsteht ein potenzielles Sicherheitsrisiko, gegen das es sich zu wappnen gilt.
Kompetenter Umgang mit moderner IKT ist heute eine Schlüsselqualifikation, die nicht nur das Leben des Einzelnen bereichern soll. Für den wirtschaftlichen Erfolg von Unternehmen ist ebenfalls wichtig, dass möglichst viele Arbeitnehmerinnen und Arbeitnehmer IKT kompetent nutzen können. Die IKT-Strategie der Bundesregierung "Deutschland Digital 2015" und des Bundesministeriums für Wirtschaft und Energie (BMWi) ist darauf ausgerichtet, Aus-, Fort- und Weiterbildung und die Kompetenzen für die Nutzung neuer Medien zu stärken.

Das Risiko abschätzen

IKT-Qualifizierung und Sicherheit ist aber nicht nur eine Aufgabe des Staates, sondern sollte von jedem Unternehmen selbst systematisch organisiert werden. Der erste und wichtigste Schritt einer gut organisierten IT-Sicherheit ist die Einschätzung des Risikos. Nur wer seine Schutzgüter und Abhängigkeiten auf der einen Seite sowie die drohenden Gefahren auf der anderen Seite kennt, kann sich richtig schützen. Um den Handlungsbedarf im IT-Sicherheitsbereich zu ermitteln, ist es oft hilfreich, zunächst einmal die schutzbedürftigen Unternehmensdaten zu identifizieren und herauszufinden, wo sie gespeichert sind.

Mitarbeiterinnen und Mitarbeiter schulen

Wichtig ist weiter, im Unternehmen einen Verantwortlichen oder eine Verantwortliche zu benennen, der oder die sich mit Themen der IT-Sicherheit auskennt. In sehr kleinen Unternehmen wird in der Regel der Chef selbst diese Rolle übernehmen müssen. Fehlt im Betrieb die notwendige Expertise, sollte externer Sachverstand aus vertrauenswürdiger Quelle eingeholt werden.
Mit geschäftsbezogener IKT verhält es sich letztlich wie mit traditionellen Arbeitsgeräten: Kein neuer Mitarbeiter wird zum Beispiel ohne Einweisung an einer Sägemaschine arbeiten. Genau so sollte es auch im Umgang mit IKT sein. Neue Beschäftigte müssen die IKT erklärt bekommen, bevor sie diese verwenden. Daneben dürfen Unternehmen aber nicht den übrigen Mitarbeiterstamm vergessen, denn Betriebssysteme und Hardwarestandards ändern sich stetig und schnell. Firmen sollten daher regelmäßig Weiterbildungs- und Informationsmöglichkeiten zur IT-Sicherheit anbieten oder sogar verpflichtend machen.

Regeln und Notfallpläne im Sicherheitskonzept dokumentieren

Regeln zum Umgang mit der IKT sollten in einem Sicherheitskonzept schriftlich festgehalten werden. Dort finden Mitarbeiterinnen und Mitarbeiter nicht nur Vorgaben zur Nutzung der IKT, sondern auch wie Passwörter gewählt oder mit Daten verfahren werden sollte. Ein Notfallplan hilft zusätzlich, Schäden durch Ausfall der IKT, versehentliche Datenlöschung oder eine Infizierung mit Viren, Würmern oder Trojanern zu minimieren. Schließlich sollte der Zugang zu sensiblen Daten eines Unternehmens, wie persönlichen Daten der Beschäftigten und Kunden oder Geschäftsgeheimnisse, bewusst geregelt werden. Es sollte nur die Person auf diese Daten zugreifen können, die diese auch braucht.


Wussten Sie, dass...

bereits zwei Drittel der deutschen Unternehmen ihre Mitarbeiterinnen und Mitarbeiter in Fragen der IT-Sicherheit schulen?

Initiativen

Hier finden Sie Initiativen, die Sie bei Fragen zum Thema Organisation der Informationssicherheit unterstützen. mehr