Jedes Unternehmen, das Wert auf eine moderne IT-Infrastruktur legt, benötigt ein IT-Sicherheitskonzept. Und dies nicht erst seit der bereits seit 2016 in Kraft getretenen EU-Datenschutzgrundverordnung. Schon im ureigensten Unternehmensinteresse sind durchdachte Konzepte zur IT-Sicherheit und zum Datenschutz ein absolutes Muss.
Bei der IT-Sicherheit handelt es sich um Techniken, die sogenannten informationsverarbeitende System dabei unterstützen, damit deren Vertraulichkeit, Verfügbarkeit (Schutz vor Systemausfällen) und Integrität gewahrt werden können. In erster Linie geht es darum, dass betriebswirtschaftliche Schäden und Angriffsszenarien vermieden und jegliche Risiken minimiert werden. Dabei unterstützen Firewalls, Verschlüsselungsverfahren von Datenspeichern und Übertragungswegen, aber auch Schutzmaßnahmen, die zur Bekämpfung von Trojanern und Viren ergriffen werden.
Hackerangriffe sind für IT-Systeme nicht nur extern, sondern auch intern hochgefährlich. Schlussendlich geht es immer darum, dass dabei auf Daten zugegriffen wird, die besonders geschützt werden müssen, weil durch diesen Zugang auch wirtschaftliche Vorteile entstehen. Während es früher nur darum ging, dass bei Angriffen Viren die Inhalte von Festplatten zerstörten, steht heute der Diebstahl von Identitäten bei Cyberkriminellen hoch im Kurs. Besonders im Fokus befinden sich hier vor allem Privatpersonen, deren Accounts von Online-Shops oder E-Mail-Konten angegriffen und übernommen werden. Aber auch die Industriespionage ist immer weiter auf dem Vormarsch. Um zu verhindern, dass fremde Personen in Firmennetze eindringen, sind moderne Firewall-Technologien unumgänglich.
Eine große Angriffsfläche liefern jedoch auch systembedingte Schwachstellen. Denn Hacker nutzen vor allem Fehler in der eingesetzten Software und gelangen so zu einem unrechtmäßigen Zugang ins IT-System. Zwar bemühen sich die Hersteller der Betriebssysteme und Anwenderprogramme regelmäßig um Updates, damit diese Sicherheitslücken geschlossen werden können, aber auch die eigenen Mitarbeiter können zu einer großen Gefahr für die Informationssicherheit werden. Nicht selten kommt es vor, dass ausgeschiedene Mitarbeiter nicht vollständig aus dem IT-System entfernt werden. Wenn diese dann immer noch unternehmenskritische Daten einsehen oder nutzen können, ist es auch hier nicht ausgeschlossen, dass sie einen großen Schaden anrichten. Gleiches gilt jedoch auch, wenn der Internetzugang des Unternehmens dazu genutzt wird um Material, das eigentlich urheberrechtlich geschützt ist, mittels Filesharing verbreitet wird. Hier drohen auch durch die sogenannte Störerhaftung entsprechende Abmahnungen.
>>> Um Angriffe dieser Art zu vermeiden, ist es wichtig, die eigenen Mitarbeiter entsprechend zu sensibilisieren. Vor allem aber muss die eingesetzte Software-Lösung so konzipiert sein, dass sie ein maximal mögliches Maß an IT-Sicherheit gewährleistet.
Gefahren drohen nicht nur von außen durch Naturkatastrophen oder auch Hackerangriffe und Datendiebstahl, sondern ebenso von innen. Jeder einzelne Mitarbeiter im Unternehmen – sei es durch ungewollte Fehlbedienung oder durch bewusste Manipulation – sowie jede Hardware-Komponente stellt eine potenzielle Gefahrenquelle dar. Dazu zählen auch Naturkatastrophen oder technisches Versagen. Spätestens wenn ein Kunde oder Vertragspartner nach einem dokumentierten IT-Sicherheitskonzept fragt, wird es Zeit, über ein solches nachzudenken. Häufig sind in Verträgen entsprechende Vertragsklauseln zu finden, in der ein Auftraggeber verpflichtet wird, ein IT-Sicherheitskonzept vorzulegen. Schließlich möchte der Kunde seine Daten in vertrauenswürdigen Händen wissen.
IT-Sicherheitskonzepte umfassen festgelegte Sicherheitsziele, durch die es möglich ist, Risiken zu erkennen und zu bewerten. Sie sind ein wichtiger und zentraler Teil des Information Security Management Systems (ISMS) bzw. des IT-Sicherheitsmanagements. Auf dieser Grundlage können im IT-Sicherheitskonzept Gegenmaßnahmen zum Schutz Ihrer Unternehmens- und Kundendaten definiert werden. Ein IT-Sicherheitskonzept wird von der Unternehmensführung oder einem Datenschutzbeauftragten des Unternehmens initiiert. Für die Umsetzung des Konzeptes ist der Datenschutzbeauftragte verantwortlich. Durch die Maßnahmen eines konsequent angewandten Sicherheitskonzeptes werden interne Schwachstellen minimiert sowie Bedrohungen der IT-Infrastruktur und deren Schnittstellen entgegengewirkt.
Um möglichen Datenpannen, Systemausfällen, Hackerangriffen und Virenbefall vorzubeugen, müssen kontinuierliche Maßnahmen zur Optimierung der IT-Sicherheit ergriffen werden. IT-Security definiert sich durch Eskalationsvorschriften, einem Notfall-Management, organisatorische und technische Maßnahmen. Zu letzteren zählen Zugriffskontrollmechanismen, Verschlüsselungstechnologien, Firewall-Systeme und nicht zuletzt die Sensibilisierung der Mitarbeiter durch regelmäßige Schulungen.
Ziel des IT-Sicherheitskonzeptes ist es, ein bestimmtes Niveau an Sicherheit zu erreichen. Die genannten Aspekte sollten in einem unternehmensweit gültigem IT-Sicherheitshandbuch oder in Form einer IT Security Policy zusammengefasst werden.
Für Information Security Management Systeme (ISMSe) und auch für IT-Sicherheitskonzepte gibt es die internationale Norm ISO/IEC 27001. Dieser Standard bietet eine gute Grundlage zum Erstellen eigener Konzepte und dient Prüfern als Grundlage zur Bewertung. Unternehmen, die wie DRACOON ISO27001-zertifiziert sind, können die Erfüllung dieser Norm nachweisen und somit auch rechtliche und regulatorische Vorgaben erfüllen.
Im Wesentlichen ist ein IT-Sicherheitskonzept in vier Abschnitte unterteilt:
Versuchen Sie ebenso, folgende Fragen gewissenhaft zu beantworten:
Diese Fragen sollten Sie sich immer wieder stellen, da sich Angriffsszenarien und Bedrohungsbilder jederzeit ändern können. Eine Bestandsaufnahme aller Sicherheitsmaßnahmen kann lediglich eine Momentaufnahme darstellen: Wurde erst kürzlich das Gesamtsystem durch Beheben von Schwachstellen und Sicherheitslücken auf einen sicheren Stand gebracht, so kann es ständig durch neue Sicherheitslücken wieder verwundbar werden.
Zusätzlich zum IT-Sicherheitskonzept ist auch ein Notfallkonzept notwendig. Dieses setzt immer dann an, sobald durch Sicherheitsgefährdungen Geschäftsprozesse unterbrochen werden, die die Unternehmensziele oder gar den Fortbestand des Unternehmens gefährden können. Ein Notfallkonzept enthält Pläne und Maßnahmen, die einen schnellstmöglichen Wiederanlauf sowie die Wiederaufnahme von kritischen Geschäftsprozessen ermöglichen, nachdem der Sicherheitsvorfall eingetreten ist.
Bei Ihren Kunden und Lieferanten schaffen Sie mit einem IT-Sicherheitskonzept zusätzliches Vertrauen, da Sie die dadurch die Sicherheit Ihrer Daten dokumentieren können. Gemäß § 109 des Telekommunikationsgesetzes sind Sie als Unternehmer sogar dazu verpflichtet, Vorkehrungen und Maßnahmen zu treffen, die gegen die Verletzung des Schutzes personenbezogener Daten zu ergreifen sind.
DRACOON ist gelebte IT-Sicherheit für Ihre Daten
DRACOON hat für sich als Unternehmen ein IT-Sicherheitskonzept definiert und wurde darüber hinaus ISO 27001-zertifiziert. Ebenso wurden bei der Entwicklung des Produktes verschiedene Sicherheitsaspekte berücksichtigt. Damit unterstützt DRACOON Unternehmen hinsichtlich des Umgangs mit Daten, ihr IT-Sicherheitskonzept umzusetzen.
Über die Software können Sie all Ihre Unternehmensdaten sicher speichern, verwalten und versenden. DRACOON bieten Ihnen zahlreiche Vorteile, um eine sichere und EU-DSGVO-konforme Datenspeicherung zu gewährleisten. Durch die clientseitige Verschlüsselung ist ein Abfließen von Daten ausgeschlossen.
Speichern, teilen und verwalten Sie Ihre Daten einfach, schnell und DSGVO-konform 14 Tage kostenlos!
© 2023 DRACOON GmbH
Made in Germany
Tel. +49 (941) 7 83 85-0
