Viele kleine und mittlere Unternehmen verfügen über nicht über Beschäftigte mit ausgeprägten IT-Kenntnissen oder gar IT-Fachleute. Dennoch nutzen alle Unternehmen in ihrem täglichen Arbeitsablauf geschäftsbezogene Informations- und Kommunikationstechnologien (IKT). Daraus entsteht ein potenzielles Sicherheitsrisiko, gegen das es sich zu wappnen gilt.

Denn damit Unternehmen erfolgreich und wettbewerbsfähig bleiben ist es wichtig, dass möglichst viele Arbeitnehmerinnen und Arbeitnehmer IKT kompetent nutzen können. Verschiedene Programme und Initiativen des Bundesministeriums für Wirtschaft und Energie (BMWi), wie beispielsweise die BMWi-geförderten Mittelstand 4.0-Kompetenzzentren, stärken die Kompetenzen für den Umgang mit neuen Technologien oder unterstützen bei der direkten Umsetzung von Digitalisierungsmaßnahmen im jeweiligen Unternehmen. Sichere Rechner und Netzwerke sollen vom Unternehmen nicht nur eingerichtet werden. Es gilt auch deren Schutz aufrecht zu erhalten.

Das Risiko abschätzen

IKT-Qualifizierung und Sicherheit sollten von jedem Unternehmen selbst systematisch organisiert werden. Der erste und wichtigste Schritt einer gut organisierten IT-Sicherheit ist die Einschätzung des Risikos. Nur wer seine Schutzgüter (z. B. wichtige Unternehmens- und Kundendaten) und Abhängigkeiten (z. B. durch die Nutzung bestimmter Software) auf der einen Seite sowie die drohenden Gefahren (z. B. Strafen oder wirtschaftliche Verluste wegen Datendiebstahls) auf der anderen Seite kennt, kann sich richtig schützen. Um den Handlungsbedarf im IT-Sicherheitsbereich zu ermitteln, ist es also oft hilfreich, zunächst einmal die schutzbedürftigen Unternehmensdaten zu identifizieren und herauszufinden, wo sie gespeichert sind.

Mitarbeiterinnen und Mitarbeiter schulen

Um im nächsten Schritt abzuschätzen, welche Schutzmaßnahmen getroffen werden müssen ist es wichtig, im Unternehmen einen Verantwortlichen oder eine Verantwortliche zu benennen, der oder die sich entweder ohnehin mit Themen der IT-Sicherheit auskennt oder sich einarbeitet. In sehr kleinen Unternehmen kann es auch die Geschäftsführung sein, die diese Rolle selbst übernehmen muss. Fehlt im Betrieb die notwendige Expertise, sollte externer Sachverstand aus vertrauenswürdiger Quelle eingeholt werden.

Mit geschäftsbezogener IKT verhält es sich letztlich wie mit traditionellen Arbeitsgeräten: Kein neuer Mitarbeiter würde ohne Einweisung eine neue Maschine bedienen. Genauso sollte es auch im Umgang mit IKT sein. Neue Beschäftigte müssen die IKT erklärt bekommen, bevor sie diese verwenden. Daneben dürfen Unternehmen aber nicht den übrigen Mitarbeiterstamm vergessen, denn Betriebssysteme und Hardwarestandards ändern sich stetig und schnell. Firmen sollten daher regelmäßig Weiterbildungs- und Informationsmöglichkeiten zur IT-Sicherheit anbieten oder sogar verpflichtend machen.

Basisschutz – Firewalls, Passwörter und Verschlüsselungen

Unabhängig vom konkreten Risiko im Einzelfallgibt es einige Schutzmaßnahmen, die alle Unternehmen umsetzen müssen. So sollten sie grundsätzlich zumindest einen Virenscanner und eine Firewall auf Ihren Rechnern installieren. Diese Programme zählen zum Basisschutz gegen Schadsoftware wie Viren, Würmer, Trojaner und andere Schadprogramme (sog. „Malware“). Wichtig ist eine regelmäßige Aktualisierung von Virenscanner, Firewall und auch allen übrigen Programme der IKT-Systeme, damit diese stets auf dem neuesten Stand gehalten werden. Diese (Sicherheits-)Updates werden empfohlen, damit eventuelle Sicherheitslücken, die z.B. durch Fehler bei der Programmierung der jeweiligen Software entstehen können, zeitnah geschlossen werden.

Zum Basisschutz gehört auch, sichere Passwörter zu wählen und sie regelmäßig zu ändern. Klarnamen, Geburtsdaten oder KFZ-Kennzeichen sollten auf keinen Fall verwendet werden.

Ein sicheres Passwort besteht aus einer (zumindest scheinbar) zufälligen Kombination von mindestens acht Buchstaben, Ziffern und Sonderzeichen. Sich dieses zu merken, muss gar nicht schwer sein. Wählen Sie einfach einen Satz mit mindestens sechs Wörtern und verwenden Sie deren Anfangsbuchstaben (so wird z.B. aus „Franz jagt im komplett verwahrlosten Taxi quer durch Bayern“ das Passwort „FjikvTqdB“). Ergänzt durch Ziffern (z.B. das Alter des Haustiers) und Sonderzeichen (z.B. #, ? oder !) ist schnell ein sicheres Passwort gefunden. Diese Kennwörter sollten regelmäßig geändert werden. Da dies oft verständlicherweise vom Großteil der Arbeitnehmerinnen und Arbeitnehmer vergessen wird, kann eine automatische Aufforderung zur Passwortänderung eingestellt werden.

Schließlich wird empfohlen, ein Passwort nicht mehrfach zu verwenden. Um sich die Menge der infolge dessen anfallenden Kennwörter zu merken, kann ein Passwort-Manager hilfreich sein. Hierbei ist aber besondere Achtung bei der Wahl eines vertrauenswürdigen Anbieters geboten.

Nicht genutzte Geräte, wie PCs, Notebooks, Smartphones und Tablets, sollten grundsätzlich gesperrt werden, selbst wenn die Arbeitspausen nur kurz sind. Mehr zum sicheren Umgang mit mobilen Endgeräten finden Sie auch beim Thema „Mobiles Arbeiten“.

Ein weiteres potentielles Risiko verbirgt sich hinter der Nutzung kabelloser WLAN-Netzwerke. Diese scheinen dank ihrer Flexibilität und geringen Kosten gerade für kleine Unternehmen vorteilhaft. Solche Netzwerke müssen jedoch in jedem Fall verschlüsselt werden. Die zwei wichtigsten Verschlüsselungsmethoden sind derzeit WPA und WPA-2, wobei letztere den besseren Schutz bietet. Tragen Sie den WPA-2-Schlüssel in Ihren Router und alle damit verbundenen mobilen und stationären Geräte ein.

Unternehmen sollten außerdem darauf achten, dass die Bezeichnung Ihres WLANs keine Rückschlüsse auf sie zulässt. So wird möglichen Angreifern erschwert, gezielt speziell ihre Verbindung auf Schwachstellen hin zu untersuchen. Zusätzlichen Schutz bietet hier das Abschalten der SSID-Kennung.

Greifen Mitarbeiterinnen und Mitarbeiter von zu Hause oder unterwegs auf das interne Unternehmensnetzwerk zu, sollte dies über ein durch VPN- oder SSL-Protokolle verschlüsseltes Netzwerk geschehen. Anderenfalls werden Daten über das ungeschützte Internet versandt, was grundsätzlich für jeden einsehbar ist. Firmen können die sicheren Verbindungen bei ihren Internetprovidern beantragen.

Daten müssen aber nicht nur vor ungewollten Zugriffen über Netzwerke gesichert werden. Auch die Festplatte eines Rechners kann zum Risiko werden, falls diese verkauft, zur Reparatur gebracht oder unüberlegt entsorgt wird. Sogar manuell gelöschte Dateien können in der Regel noch aufgerufen werden. Durch die Löschung werden lediglich Informationen über den Speicherort, aber nicht die Inhalte entfernt. Dasselbe gilt auch beim Formatieren der Festplatte. Zur sicheren Löschung vertraulicher Daten sollten daher spezielle Programme eingesetzt werden. Diese überschreiben den nicht mehr benötigten Speicherplatz, so dass die Daten unwiderruflich vom Speichermedium entfernt werden. Mehr Informationen dazu finden Sie auch beim Thema „Datenschutz und Datensicherheit“.

Regeln und Notfallpläne im Sicherheitskonzept dokumentieren

Regeln zum Umgang mit der IKT sollten in einem Sicherheitskonzept schriftlich festgehalten werden. Dort finden Mitarbeiterinnen und Mitarbeiter nicht nur Vorgaben zur Nutzung der IKT, sondern auch wie Passwörter gewählt oder mit Daten verfahren werden sollte. Ein Notfallplan hilft zusätzlich, Schäden durch Ausfall der IKT, versehentliche Datenlöschung oder eine Infizierung mit Viren, Würmern, Trojanern und anderer Malware zu minimieren (siehe dazu auch das Thema „Datenschutz und Datensicherheit“). Schließlich sollte der Zugang zu sensiblen Daten eines Unternehmens, wie persönlichen Daten der Beschäftigten und Kunden oder Geschäftsgeheimnisse, bewusst geregelt werden. Es sollte nur die Person auf diese Daten zugreifen können, die diese auch braucht.