Im Fokus:

iT Sicherheit

Es gibt wohl kaum ein Thema, das im Zuge der Digitalen Transformation in der Hitliste technischer und nicht-technischer Entscheider*innen in Unternehmen länger und prominenter auf den oberen Rängen stand, steht und stehen wird, als das Thema iT-Sicherheit oder auch Cyber-Sicherheit.

Die Gründe dafür sind naheliegend.

iT-Sicherheit
Beispielhafte Gründe
1. Kosten

hexagon

allein in Deutschland verursachten Cyber-Attacken und Sabotage Kosten von mehr als 100 Milliarden Euro im Jahr 2019 (Quelle: Digitalverband Bitkom, Stand: 2019)

2. Top-Risiko

hexagon

im 2020er Allianz Risk Barometer standen Cyber-Risiken weltweilt (!) auf Platz 1 und waren damit weltweit das gravierendste Risiko, vor dem sich Unternehmen schützen mussten. Und selbst im Pandemiejahr 2021 landete iT-Sicherheit immer noch auf Platz 2, direkt hinter Covid-19

3. Home Office

hexagon

der Trend (unter Corona: die Verpflichtung) zu immer mehr Home-Office-Arbeitsplätzen und dezentralem Arbeiten hat massive Auswirkungen auf die Verwundbarkeit der Arbeit und damit auf die iT-Sicherheit von Unternehmen

4. Vorgaben

hexagon

aufgrund des hohen Risikos im Bereich der iT-Sicherheit erhöhen auch Gesetzgeber, BSI und Versicherungen den Druck auf Unternehmen

Prioritäten

iT-Sicherheit muss bei Unternehmen
ganz oben auf der Agenda stehen

Alleine diese vier beispielhaften Gründe zeigen aus völlig unterschiedlichen Bereichen deutlich auf, warum iT-Sicherheit das Top Risiko für Unternehmen ist und dessen Risikoreduktion somit auf die Agenda aller Unternehmenslenker*innen gehört.

Obwohl 72% der Manager*innen in mittelständischen Unternehmen das Risiko durch iT-Sicherheit und Cyber-Vorfälle, wie Cyber-Angriff, für groß halten, fehlt es immer noch an vielen Stellen an sinnvollen Vorsorgemaßnahmen, iT-Sicherheitskonzepten und Notfallplänen, die als Basis für Planung und Entscheidungen dienen.

Der Grund dafür ist ebenfalls naheliegend: iT-Sicherheit ist ein hoch-komplexes und dazu noch vermeintlich rein technisches Thema – das schreckt viele gerade strategische Entscheider*innen der obersten Führungsebene ab, sich detailliert mit potentiellen Sicherheitslücken zu beschäftigen: Viele dieser strategischen Entscheide*rinnen delegieren diese Arbeit daher an die iT oder ein externes Dienstleisterunternehmen.

Doch eine Nichtberücksichtigung von iT-Sicherheit auf strategischer Ebene kann ein großer Fehler sein: Kommt es infolge fehlender iT-Sicherheit zu einem iT-Sicherheitsvorfall, wie einem Cyber-Angriff, dann steht schnell die Handlungssicherheit und damit die Arbeit und somit die Existenz des Unternehmens auf dem Spiel.

iT-Sicherheit

iT-Sicherheitsvorfall: Existenzbedrohung

Ansatz

Strukturierter Zugang zu einem komplexen Thema

Dabei ist iT-Sicherheit – wenn man sich strukturiert damit auseinandersetzt – ein Thema, das Spaß macht und die Türen für die zukünftige Sicherheit öffnet – unabhängig von Unternehmens- und Budgetgröße!

Im Grunde geht es bei dem Thema iT-Sicherheit 'nur' um drei Kernziele:

  1. die Vertraulichkeit der Informationen   
  2. die Integrität (also Unversehrtheit / Unveränderbarkeit) der Informationen und Systeme    
  3. die Verfügbarkeit der Informationen und Systeme(für weitere Hintergrundinformationen vgl. auch den Abschnitt 'Motivation und Ziele der Informationssicherheit' im Artikel zu 'Informationssicherheit' auf Wikipedia)

Während dies die typische Reihenfolge aus Sicht der iT-Sicherheit ist, sieht die sinnvolle Priorität aus Sicht der Unternehmen eher umgekehrt aus: Hier sollte u.E. die Verfügbarkeit der Informationen und Systeme immer an oberster Stelle stehen, denn ohne Informationen aller Art (= Dateien, Dokumente, CAD-Dateien, Bilder, etc.) und ohne die Systeme, auf denen diese Informationen verarbeitet werden können, ist kein Unternehmen handlungsfähig.

Im unternehmerischen Alltag spielt die Vertraulichkeit der Daten – so zentral und sinnvoll sie aus Sicht des Schutzes geistigen Eigentums und gesetzlicher Vorgaben wie dem Bundesdatenschutzgesetz (BDSG) und der EU-Datenschutzgrundverordnung (EU-DSGVO) auch ist – eine den anderen beiden Zielen eher (!) nachgelagerte Rolle.

Auf Basis dieser Liste lassen sich die in Ihrem Unternehmen zu realisierenden Ziele im Bereich iT-Sicherheit schnell und klar priorisieren, um Transformation zu gestalten und unter dem Motto "digital leben" die Arbeit zu strukturieren.

1. Herausforderung

Planung statt Aktionismus

Und da sind wir auch bei einer – wenn nicht sogar der – zentralen Herausforderung im Bereich iT-Sicherheit im Umfeld mittelständischer Unternehmen:

Um ein solch komplexes Thema erfolgreich in den Griff zu bekommen, ist weder die Unternehmens- noch die Budgetgröße relevant: Es zählt primär, dass kein Aktionismus an den Tag gelegt wird, sondern dass Sie immer gezielt den Fokus auf diejenigen Tätigkeiten und Handlungsfelder legen, die den größten Hebel in Bezug auf die Steigerung der iT-Sicherheit und damit auf die Senkung des iT-Sicherheitsrisikos Ihres Unternehmens haben.

Denn auch und gerade im Umfeld von iT-Sicherheit gilt Pareto – und damit, dass mit den richtigen Maßnahmen gerade zu Beginn schnell erhebliche Fortschritte erzielt werden können. Daher gilt es, Potentiale innerhalb Ihres Unternehmens zu identifizieren.

Um beurteilen zu können, welche Maßnahme den größten Hebel in Bezug auf die Steigerung der iT-Sicherheit Ihres Unternehmens hat, benötigen Sie einen aktuellen Überblick über den Status Quo Ihrer iT-Infrastruktur bzw. Ihrer iT-Sicherheit in Bezug auf die Erreichung der o.g. drei Kernziele: Verfügbarkeit, Integrität und Vertraulichkeit.

Auf Basis eines solchen Überblicks (wir nennen das iT-Risk Assessment) können sowohl strategische als auch als technische Entscheider*innen problemlos und agil festlegen, was die zielführendsten Maßnahmen (d.h. die mit dem größten Hebel) sind, um das bestehende iT-Sicherheitsrisiko in Ihrem Unternehmen nachhaltig zu senken.

Betrachtung als ganzheitliches Thema

Genau dieser Zusammenhang ist gemeint, wenn immer davon gesprochen wird, dass iT-Sicherheit ein ganzheitlich zu betrachtendes Thema ist: Es geht nicht darum, 'alles mögliche gleichzeitig zu betrachten und sich in Details zu verlieren', sondern eher um das Gegenteil: Auf Basis vordefinierter Checklisten einen ganzheitlichen Überblick (!) über den Status Quo im Bereich iT-Sicherheit zu erhalten, um anschließend auf Basis dieses Überblicks die sinnvollsten Maßnahmen zur Steigerung der iT-Sicherheit zu bestimmen und Prozesse und Strukturen innerhalb Ihres Unternehmens optimal danach auszurichten.

Die Beurteilung eines solchen Status Quo ist eine (aufwands- und kostentechnisch absolut überschaubare) Dienstleistung, die Sie problemlos extern vergeben können – und vermutlich auch sollten, um der eigenen Betriebsblindheit vorzubeugen und durch den kollaborativen Austausch auch frische Ideen und Diskussionen jeder Art zu ermöglichen.

2. Herausforderung

iT-Sicherheit als Prozess

Und das bringt uns zur zweiten zentralen Herausforderung: iT-Sicherheit ist kein einmaliges Projekt, sondern ein Prozess für mehr Sicherheit und zukünftige Handlungsfähigkeit: Durch den fortwährenden Fortschritt im Bereich moderner Informationstechnologie (iT) und auch durch die sich ständig verändernden Anforderungen im Unternehmen ist die iT-Infrastruktur ein lebendiges und sich ständig veränderndes Konstrukt – und damit kann iT-Sicherheit an sich auch kein in sich geschlossenes Projekt sein (auch wenn viele sich das natürlich wünschen, um 'endlich einen Haken' an dieses Thema machen zu können), sondern muss regelmäßig an die neuen Rahmenbedingungen angepasst und entsprechend optimiert werden.

Auch das bedeutet nicht, dass hier nur diejenigen Unternehmen erfolgreich sein werden, die Unsummen in den Bereich iT-Sicherheit investieren. Im Gegenteil: Wenn Sie in regelmäßigen Abständen (jährlich / zweijährlich) den o.g. Status-Quo-Überblick aktualisieren, können Prioritäten ohne großen Aufwand neu justiert und anschließend die nächsten sinnvollen Maßnahmen (also die mit dem größten Hebel) zur Steigerung der iT-Sicherheit Ihres Unternehmens bestimmt und umgesetzt werden. Auf diese Weise gestalten Sie die Transformation hin zu mehr iT-Sicherheit.

Durch dieses strukturierte und zielgerichtete Vorgehen steigt die iT-Sicherheit in Ihrem Unternehmen Schritt für Schritt jedes Jahr – das Budget bestimmt dabei vielleicht die Geschwindigkeit, aber nicht, ob das Richtige umgesetzt wird und damit zu einer nachhaltigen Steigerung der iT-Sicherheit führt.

Das iT-Sicherheitskonzept entsteht fast automatisch

Haben Sie erst einmal eine priorisierte Maßnahmenliste, dann haben Sie auch einen wichtigen Baustein Ihres iT-Sicherheitskonzeptes: Denn neben den drei o.g. Kernzielen der iT-Sicherheit und Ihren übergeordneten strategischen und operativen Zielen sind die geplanten und priorisierten Maßnahmen ein weiterer wichtiger Bestandteil des iT-Sicherheitskonzepts.

Auch damit wird deutlich, dass es sich beim Thema iT-Sicherheit durchaus um eine problemlos zu bewältigende Herausforderung handelt, v.a. wenn wir uns strukturiert und vorausschauend damit beschäftigen.

Zentrale Themenfelder

Themenfelder im Bereich der iT-Sicherheit

Die wichtigsten Maßnahmen und Ziele im Bereich der iT-Sicherheit kommen fast immer aus folgenden Themengebieten:

Themenfeld 1

Datensicherung & Wiederherstellung

Wenn wir im Hinterkopf halten, dass die Verfügbarkeit von Informationen und Systemen das oberste Kernziel im Bereich der iT-Sicherheit aller Unternehmen sein muss, dann ist es auch nicht verwunderlich, dass das Thema 'Datensicherung und Wiederherstellung' ganz oben auf der Liste relevanter Themengebiete steht.

Auf der einen Seite geht es hier um die Sicherung aller relevanten Daten – aber eben auch der Systeme, die benötigt werden, um diese Daten zu verarbeiten und jederzeit handlungsfähig zu bleiben.

Das ist jedoch nur der erste Schritt. Der zweite und unverzichtbare Schritt zur Steigerung der iT-Sicherheit Ihres Unternehmens besteht darin, die gesicherten Daten und Systeme – oder wenigstens die wichtigsten Teile – regelmäßig (bspw. einmal pro Jahr) auch tatsächlich auf fremder Hardware / in einer fremden Umgebung wiederherzustellen. Denn nur bei diesem Schritt zeigt sich für alle Beteiligten problemlos und nachvollziehbar, ob alle relevanten Daten erfolgreich gesichert wurden und ob eine Wiederherstellung überhaupt technisch und zeitlich möglich ist.

Durch die hohe Komplexität (hybride Infrastrukturen, viele datenbank-basierte Anwendungen, verteilte Systeme, etc.) und die enormen Datenmengen im Umfeld heutiger Unternehmens-iT sind dies Herausforderungen, die ohne mehrfaches Erproben nicht reibungslos funktionieren werden.

Unsere erfahrenen Consultants und iT-Professionals stehen Ihnen gern zur Verfügung, um zu prüfen, wie Sie die iT-Sicherheit Ihres Unternehmens steigern können, indem Sie die Datensicherung & Wiederherstellung Ihrer iT-Infrastruktur nachhaltig optimieren damit Sie bereit für die digitale Zukunft sind.

Themenfeld 2

Firewalls & Endgeräteschutz / Virenschutz

Firewalls und der oft darin integrierte Endgeräteschutz sind zweifellos ein weiteres wichtiges Themenfeld im Bereich der iT-Sicherheit.

Bei beiden Themen steht der Schutz des eigenen Netzwerks (also der eigenen iT-Systeme und Daten) gegen externe oder interne Zugriffsverletzungen im Fokus.

In Bezug auf die Kernziele im Bereich iT-Sicherheit geht es hier also primär um die Vertraulichkeit und je nach Leistungsfähigkeit der eingesetzten Anwendungen bzw. Systeme auch um die Integrität Ihrer Daten und Systeme.

Da es sich hier oft um 'anfassbare' und 'sichtbare' Geräte handelt, ist dieser Bereich im Zuge der Transformation hin zu mehr iT-Sicherheit unserer Erfahrung nach in den Unternehmen oft am weitesten fortgeschritten.

Für eine Optimierung spielen ggf. neue Technologien (derzeit v.a. in Bezug auf die Nutzung Künstlicher Intelligenz zur Erkennung bislang unbekannter Angriffsmuster), eine verbesserte und erweiterte Konfiguration oder ähnliche Themen eine Rolle.

Für eine Optimierung spielen ggf. neue Technologien (derzeit v.a. in Bezug auf die Nutzung Künstlicher Intelligenz zur Erkennung bislang unbekannter Angriffsmuster), eine verbesserte und erweiterte Konfiguration oder ähnliche Themen eine Rolle.

Sofern Sie Fragen zum Thema Firewalls haben, eine objektive und ganzheitliche Beratung in diesem Punkt suchen oder ob Sie die bestehende Konfiguration Ihrer Firewalls durch einen externen Partner überprüfen lassen möchten, stehen wir Ihnen als Begleiter gerne in jeder Phase zur Verfügung. Für weitere Informationen zum Thema Firewalls siehe auch unsere Leistung zu Firewall- und Endgeräteschutz von Sophos.

Themenfeld 3

Verschlüsselung von Daten

Die sichere Verschlüsselung von Daten zahlt auf die Vertraulichkeit und die Integrität – also auf das erste und zweite Kernziel im Bereich iT-Sicherheit – ein.

Die Verschlüsselung von Daten zur Risikoreduktion ist eine vglsw. breite Thematik und umfasst u.a. folgende Szenarien:

  • aus- und eingehende Kommunikationsflüsse (bspw. eMails, VoIP, etc.)     
  • Daten auf mobilen Geräten (Notebooks, Smartphones, Tablets, etc.)  
  • Daten in einer Datensicherung  
  • (besonders) schützenswerte Daten in Ihrer iT-Infrastruktur
  • Zugriffe auf Ihre Systeme und Daten (VPN, etc.)

Unter Aspekten der iT-Sicherheit ist die Verschlüsselung von Daten von sehr hoher Relevanz – in der täglichen Praxis erleben wir allerdings immer wieder, dass gerade in diesem hoch relevanten Bereich viele Berührungsängste existieren, die dazu führen, dass die Verschlüsselung von Daten und Kommunikationsflüssen auf der Agenda der digitalen Transformation lieber nach hinten rückt.

Der Grund ist oft derselbe: Die Basis für die Verschlüsselung von Daten und Kommunikationsflüssen sind sog. 'Zertifikate'. Der nachhaltige Umgang mit Zertifikaten und auch deren Einbindung in die entsprechenden Anwendungen sowie ihre Aufbewahrung ist durchaus ein komplexes Thema, v.a. wenn man zum ersten Mal mit dieser Thematik konfrontiert wird.

Unsere erfahrenen Consultants und iT-Professionals stehen Ihnen gern zur Verfügung, um Sie umfassend in diese Thematik einzuführen, gemeinsam mit Ihnen ein nachhaltiges Konzept zur Verschlüsselung Ihrer Daten zu erarbeiten und dieses anschließend effizient und effektiv in die Praxis umzusetzen, damit Sie jederzeit sicher und handlungsfähig in die digitale Zukunft blicken können. Mehr Informationen zu unseren Leistungen im Bereich Verschlüsselung.

Themenfeld 4

Mobile Device Management

Die Nutzung mobiler Geräte ist aus dem heutigen geschäftlichen wie privaten Alltag nicht mehr wegzudenken: Sie sind keine Option mehr, sondern obligatorisch, um den zahlreichen Anforderungen des eigenen Unternehmens, der Mitarbeiter*innen, der Kunden sowie der Partner und Lieferanten gerecht werden zu können. Spätestens seit der Covid-19 Pandemie ist das Thema 'mobiles, standortunabhängiges Arbeiten' in vielen Branchen zum neuen Standard der Unternehmenskultur geworden.

 

Je mobiler die eigene iT wird, desto verwundbarer wird sie natürlich auch aus Sicht der iT-Sicherheit. Insofern spielt das Thema Mobile Device Management (MDM) – also die effiziente Verwaltung aller mobilen Geräte mit Zugriff auf die Unternehmens-iT und deren Daten – heute eine prominente Rolle im Umfeld der iT-Sicherheit.

Sei es, um die Daten auf verlorenen oder gestohlenen Geräten schnell und effizient zu löschen, um Geräte, die sich im Besitz von Mitarbeiter*innen befinden, die das Unternehmen verlassen (müssen), angemessen zu kontrollieren oder aber schlicht, um die steigende Anzahl mobiler Geräte effizient und sicher verwalten zu können.

Wir zeigen Ihnen gerne, welche Lösungen im Umfeld von MDM existieren, um die für Sie passendste Anwendung zu identifizieren. Bei Bedarf begleiten wir Sie in jeder Phase – bei der Implementierung und Konfiguration und natürlich auch der laufenden Pflege. Sprechen Sie uns gern auf das Thema an!

Themenfeld 5

Cloud Sicherheit / iT-Sicherheit hybrider Infrastrukturen

Ob wir wollen oder nicht: Die Cloud wird angesichts der digitalen Transformation in Zukunft schrittweise für immer weitere Teile unserer iT-Infrastruktur die 'neue Heimat' werden (zu weiteren Hintergrundinformationen vgl. auch unsere Ausführungen unter Im Fokus: iT-Infrastruktur & Cloud.

Mit der teilweisen oder vollständigen Auslagerung der iT-Infrastruktur in die Cloud ergeben sich im Bereich der iT-Sicherheit jedoch ganz neue Anforderungen. Zu diesen gehören u.a. die folgenden Überlegungen:

  • Verifizierung der Zuverlässigkeit der vom Cloud-Dienstleister angebotenen Leistungen im Bereich iT-Sicherheit     
  • Durchführung von Testfällen im Umfeld der iT-Sicherheit, bspw. Disaster Recovery (vgl. auch unsere Ausführungen im Bereich Disaster Recovery & Datensicherung
  • Cloud-Exit Strategie

Aufgrund des vglsw. jungen Alters cloud-basierter bzw. hybrider iT-Infrastrukturen ist die Entwicklungsgeschwindigkeit in diesem Bereich derzeit noch extrem hoch, sodass der Überblick schnell verloren gehen kann.

Gemeinsam mit Ihnen analysieren wir gern Ihre Kernanforderungen im Bereich der Cloud-Sicherheit, identifizieren passende Anbieter, lagern Ihre iT-Infrastruktur in die Cloud aus bzw. integrieren neue Cloud-Anwendungen in Ihre bestehende iT-Infrastruktur und unterstützen Sie bei der Optimierung Ihrer iT-Sicherheit in Bezug auf die Nutzung von Cloud-Lösungen.

iT-Sicherheit ist für alle machbar!

Die o.g. Ausführungen widerlegen die landläufige Annahme, iT-Sicherheit sei 'ein hoch-komplexes Feld, das ohnehin nur große Mittelständler und Konzerne überhaupt bezwingen können'.

Wie bei jedem komplexen Thema ist es 'einfach' nur wichtig, sich der Thematik iT-Sicherheit strukturiert zu nähern, um die Vorteile digitaler Lösungen sicher nutzen zu können.

Hierbei sind zwei Dinge zunächst von hoher Relevanz:

  • ein Überblick über den aktuellen Status Quo der eigenen iT-Infrastruktur unter Gesichtspunkten der iT-Sicherheit

und

  • konkrete Ziele, die Sie im Bereich der iT-Sicherheit in Ihrem Unternehmen realisieren wollen bzw. müssen – i.d.R. in Anlehnung an die drei Kernziele der iT-Sicherheit: Integrität, Vertraulichkeit und Verfügbarkeit

Da auch im Umfeld von iT-Sicherheit Pareto gilt, kann jedes Unternehmen die eigene iT-Sicherheit problemlos nachhaltig steigern:

Durch ein schrittweises und agiles Vorgehen, bei dem auf Basis eines aktuellen Überblicks zu jedem neuen Zeitpunkt der Fokus auf diejenigen Maßnahmen gelegt wird, die den höchsten Hebel für die Steigerung der eigenen iT-Sicherheit haben, lässt sich dieses Thema auch in kleineren Unternehmen problemlos effektiv und effizient in die Praxis umsetzen.

Die R.iT GmbH – Ihr kompetenter und erfahrener Partner in Fragen der iT-Sicherheit

Seit mehr als 20 Jahren ist iT-Sicherheit eine der absoluten Kernkompetenzen der R.iT GmbH: So sind wir jedes Jahr auf Kongressen zum Thema iT-Sicherheit, nehmen an Roadshows mit dem LKA NRW teil, sind selbst Co-Organisator von Fachmessen und Veranstaltungen zum Thema iT-Sicherheit, engagieren uns aktiv in Fachverbänden und Expertenrunden und führen natürlich unzählige Projekte und Audits im Bereich der iT-Sicherheit durch.

Zuletzt wurden wir sogar von der European Cyber Security Organisation (ECSO) mit dem ECSO-Label 'Cybersecurity Made in Europe' ausgezeichnet (2021).

Ansprechpartner

Lassen Sie uns gemeinsam Ihre Digitale Transformation gestalten. 

Als Ihr Ansprechpartner für iT-Sicherheit stehe ich Ihnen gern für Ihre Rückfragen zur Verfügung. 

Niklas Zistler - iT Sicherheit

Niklas Zistler

Head of iT-Security