Wussten Sie, dass 2022 rund neun von zehn Unternehmen Opfer von Datendiebstahl oder -spionage wurden (Bitkom Research, 2022)? Besonders dramatisch dabei: Die Zahl der Cyberangriffe steigt weiter. Sicherheitslücken im Arbeitsalltag haben so schnell verheerende Folgen und bedrohen zunehmend die Existenz von Unternehmen. Damit vertrauliche Informationen im Zuge der Digitalisierung nicht in die falschen Hände gelangen, kommen Unternehmen nicht mehr an wirksamen Maßnahmen der Informationssicherheit vorbei.
In unserem Blog-Artikel erklären wir Ihnen, warum Informationssicherheit für das Compliance Management Ihres Unternehmens extrem wichtig ist. Außerdem zeigen wir Ihnen, welche Maßnahmen Sie ergreifen müssen, um Ihre Daten bestmöglich zu schützen.
Der Schulung der Belegschaft kommt dabei eine besondere Bedeutung zu, denn sie legt den Grundbaustein für das Sicherheitsbewusstsein Ihrer Beschäftigten. Wie Sie eine passende Unterweisung in elektronischer Form vorbereiten und durchführen, ist auch Thema unseres kostenfreien Whitepapers.
Risikofaktor Cyberangriff in Unternehmen: Das aktuelle Geschehen im Überblick
Sicherheitsmaßnahmen für den Schutz sensibler Daten betreffen Unternehmen aller Größenordnungen. Leider unterschätzen aber besonders kleine und mittelständische Unternehmen (KMU) den Stellenwert von Informationssicherheit immer noch häufig. Die Gründe hierfür sind vielfältig, am Ende aber ähnlich. Mal sind es mangelnde Ressourcen, mal die Annahme, dass das eigene Unternehmen doch eh kein attraktives Angriffsziel darstellt – schließlich gibt es hier keine wertvollen Daten zu holen. Vielleicht gilt das vorhandene Sicherheitssystem aber auch bereits als komplex und sicher genug.
Der Blick in die Praxis zeigt, dass eine solche Einstellung schnell zum Verhängnis werden kann. Eine Studie von Bitkom Research ergab, dass 2022 über 84 Prozent der befragten Unternehmen von Datendiebstahl betroffen waren. Rund 36 Prozent davon erlitten einen Verlust sensibler digitaler Informationen, in einem Viertel der Fälle kam es zur Ausspähung der digitalen Kommunikation. Interessant ist dabei auch, dass es sich bei ca. 68 Prozent der gestohlenen Daten um Kommunikationsdaten wie bspw. E-Mails und bei knapp der Hälfte um Kundendaten handelte.
Dabei gaben 45 Prozent der Unternehmen an, dass Cyberattacken ihre geschäftliche Existenz bedrohen. Im Jahr 2021 lag dieser Anteil lediglich bei neun Prozent. Knapp die Hälfte rechnet daher auch im nächsten Jahr mit einem starken Anstieg der Cyberangriffe. Das liegt nicht zuletzt daran, dass der Faktor Mensch häufig ein offenes Eingangstor für Sicherheitsbedrohungen darstellt.
Schuld sind oftmals mangelndes Vorwissen oder Fehleinschätzungen der Mitarbeitenden. Große Schäden entstehen vor allem dann, wenn Angestellte unbedacht mit den Informationen umgehen. Es ist daher Grundvoraussetzung, Ihre Belegschaft im Rahmen der Informationssicherheit für mögliche Risiken zu sensibilisieren und im richtigen Umgang mit den Daten zu schulen.
Ziele der Informationssicherheit im Unternehmen
Ganz allgemein gesagt, geht es bei der Informationssicherheit um den Schutz Ihrer Unternehmensinformationen. Diese können dabei von Kundendaten, Rechnungen und Gehaltslisten über Patente, Baupläne oder Software-Quellcodes bis hin zu Marketing-Materialien reichen. All diese Daten gilt es vor Diebstahl und Missbrauch zu bewahren.
Ziel ist es daher in erster Linie, vertrauliche Informationen vor unberechtigten Zugriffen zu schützen, die Datenintegrität sicherzustellen und Cyberangriffe auf die betrieblichen Systeme zu verhindern. Darüber hinaus tragen Maßnahmen der Informationssicherheit aber auch zu folgenden Aspekten bei:
- Sie halten die mit Kunden geschlossenen Vereinbarungen ein, die die Sicherheit der Daten und die Verfügbarkeit der Dienstleistungen betreffen. Gleichzeitig erfüllen Sie auch rechtliche Anforderungen an die Informationssicherheit im Rahmen des Compliance Managements.
- Sie gewährleisten, dass die für die Informationsverarbeitung erforderlichen Technologien und Infrastrukturen verfügbar sind.
- Sie erkennen potenzielle Sicherheitsrisiken frühzeitig und verhindern so folgenschwere Vorfälle.
Grundlegend verfolgt die Informationssicherheit damit die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Aufgabe Ihres Unternehmens ist es nun, diesen mit Hilfe technischer, organisatorischer und personeller Maßnahmen nachzukommen.
Was Informationssicherheit mit Compliance zu tun hat
Wenn Sie als Unternehmen Compliance-konform handeln wollen, dann müssen Sie alle gesetzlichen und regulatorischen Vorgaben und Standards einhalten. Dazu gehören auch Anforderungen an die Sicherheit Ihrer Daten, die Sie gewährleisten müssen. Informationssicherheit ist somit ein wesentlicher Bestandteil des Compliance Managements.
Das Spiel funktioniert aber auch umgekehrt: Die Einhaltung von rechtlichen und branchenspezifischen Vorschriften bildet eine entscheidende Grundlage für die Informationssicherheit in Ihrem Unternehmen. Anhand der Regulierungen wissen Sie, wie Sie Sicherheitsgrundsätze zu betrieblichen Informationen ausgestalten sollten.
Wichtig:
Gesetze und Vorschriften zu Datenschutz sowie Informationssicherheit verfolgen das Ziel, die Unternehmensinformationen in Hinblick auf deren Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität verlässlich zu schützen. Die Erfüllung der Vorgaben ist somit Grundvoraussetzung, um rechtskonform zu handeln.
Wichtig:
Gesetze und Vorschriften zu Datenschutz sowie Informationssicherheit verfolgen das Ziel, die Unternehmensinformationen in Hinblick auf deren Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität verlässlich zu schützen. Die Erfüllung der Vorgaben ist somit Grundvoraussetzung, um rechtskonform zu handeln.
In jedem Fall geben Branchenverbände, Behörden oder andere Organisationen zahlreiche Richtlinien für den Schutz von Daten vor. Das wohl bekannteste Beispiel hierfür ist die Datenschutzgrundverordnung (DSGVO) der EU, die Anforderungen für den Schutz personenbezogener Daten enthält. Im Sinne der Compliance müssen Sie als Unternehmen diese Vorgaben einhalten und bei einem Vorfall auch die zuständigen Datenschutzbeauftragen sowie Ihre Kunden informieren.
Weitere Gesetze, die Sie im Rahmen der Informationssicherheit berücksichtigen sollten, sind u. a. das Bundesdatenschutzgesetz (BDSG) oder das IT-Sicherheitsgesetz. Natürlich sind darüber hinaus noch viele weitere Richtlinien und Verordnungen relevant.
Sonderform IT-Compliance
Bei der IT-Compliance als Teilgebiet der Compliance geht es speziell um rechtliche Vorgaben der Informationstechnik. Neben gesetzlichen IT-Vorschriften sollten Sie hierbei auch unternehmensinterne sowie vertraglich festgelegte Rahmenbedingungen berücksichtigen. In die IT-Compliance fließen somit alle Anforderungen ein, die sich aus den zugehörigen Gesetzgebungen, Standards und Vereinbarungen ergeben.
Wichtige Maßnahmen zur Verbesserung der Informationssicherheit im Unternehmen
Nachfolgend stellen wir Ihnen einige wesentliche Sicherheitsmaßnahmen für Ihr Unternehmen vor. Diese betreffen nicht nur die Verantwortlichen für Datenschutz oder IT-Sicherheit, sondern teilweise auch die gesamte Belegschaft.
Risikoidentifizierung
Zu den grundlegenden Maßnahmen der Informationssicherheit gehören die Identifizierung und Bewertung möglicher Risiken. Ziel ist es, alle potenziellen internen und externen Bedrohungen für Ihr Unternehmen im Vorfeld zu erkennen. Darunter fallen bspw. Hackerangriffe, Malware-Infektionen wie Trojaner oder Phishing-Attacken. Aber auch Datendiebstahl, Strom- und Serverausfälle oder technische Defekte innerhalb Ihrer IT-Infrastruktur stellen ernstzunehmende Gefahrenquellen dar.
Im Anschluss gilt es zugehörige Maßnahmen festzulegen, um die Risiken abzuwenden. Wichtig hierbei ist es, eine regelmäßige Bestandsaufnahme der aktuellen Bedrohungslage durchzuführen. Im Übrigen ist der Aufbau und die Pflege eines effektiven Risikomanagements auch ein wesentliches Element im Compliance Management und sollte sich daher auf allen Unternehmensebenen wiederfinden.
Auflistung aller System-Komponenten
Damit Sie Ihr Unternehmen effektiv schützen können, ist es Grundvoraussetzung, jegliche Hard- und Software sowie relevante Daten, deren Verarbeitungsprozesse und Zugriffsrechte zu inventarisieren. Für den Bereich Hardware bedeutet das, dass Sie bspw. alle im Betrieb eingesetzten Computer, Smartphones und Tablets sowie lokale und Remote-Server auflisten müssen. Hinzu kommen außerdem Geräte wie Drucker, Scanner, Router oder mobile Modems.
Daneben sollten Sie für sämtliche eingesetzte Software-Anwendungen die wesentlichen Funktionen und die aktuell eingesetzte Version überblicken. Von Bedeutung sind auch die Zugriffsbedingungen für Ihr Informationssystem. Dabei ermitteln Sie, wie viele Benutzer mit welchen Zugriffsrechten im System arbeiten.
Im nächsten Schritt können Sie nun kritische Elemente und Daten identifizieren, die einem besonderen Schutz bedürfen. Wichtig hierbei: Aktualisieren Sie die Auflistung aller Komponenten unbedingt in regelmäßigen Abständen.
Im nächsten Schritt können Sie nun kritische Elemente und Daten identifizieren, die einem besonderen Schutz bedürfen. Wichtig hierbei: Aktualisieren Sie die Auflistung aller Komponenten unbedingt in regelmäßigen Abständen.
Eindeutige Verantwortlichkeiten
Wie in allen anderen Compliance-Bereichen müssen Sie auch im Rahmen der Informationssicherheit die Verantwortlichen eindeutig und transparent definieren. Dazu können für die verschiedenen Aufgaben unterschiedliche Beschäftigte erforderlich sein. Klären Sie daher im Vorfeld, wer z. B. für die Risikobehandlung oder die Umsetzung der Mitarbeiterschulungen zuständig ist.
Gefragt ist neben den jeweiligen Beauftragten aber auch die gesamte Belegschaft: Jeder Mitarbeitende muss seine Verantwortung im Umgang mit Informationen und Daten kennen.
Datenschutz
Besonders im Rahmen des Compliance Managements ist es unerlässlich, personenbezogene Daten vorschriftsmäßig zu sichern. Nur damit lassen sich Verletzungen des Datenschutzes im Falle eines Cyberangriffs minimieren. Wir empfehlen Ihnen daher ein einfaches Grundprinzip: Erheben und speichern Sie nur so viele Daten, wie zwingend nötig.
Hilfreich hierbei ist auch ein klares Rollen- und Berechtigungskonzept. So lässt sich automatisiert festlegen, welche Mitarbeitenden auf welche Daten zugreifen können. Bei eingesetzter Software sollten Sie zudem auf individualisierbare Zugriffsrechte achten. Beschränken Sie den Zugang zu vertraulichen Informationen stets auf ein Minimum, denn dadurch halten Sie das Risiko eines unautorisierten Zugriffs gering.
In unserem Blog-Beitrag zum Thema Datenschutz am Arbeitsplatz stellen wir Ihnen fünf wichtige Prinzipien von Cyberattacken vor.
Klare IT-Sicherheitsrichtlinien
Auch im Sinne der IT-Sicherheit sind verbindliche Richtlinien erforderlich. Eine grundlegende Sicherheitsmaßnahme ist in der Regel zunächst die Einrichtung einer Firewall, um den Datenverkehr zu kontrollieren. Hinzu kommen Antivirenprogramme gegen Malware, Ransomware und Spyware sowie die Verschlüsselung sensibler Daten mittels HTTPS-, E-Mail- sowie Dokumentenverschlüsselung.
Darüber hinaus ist vor allem die Verwendung sicherer Passwörter von großer Bedeutung. Es sollte hierzu einheitliche Anforderungen an die Passwortlänge und -komplexität sowie die Zeiträume zur Passwortänderung geben. Auch der Einsatz von Passwort-Managern bietet sich dafür an. Unterstützen die von Ihnen verwendeten Dienstanbieter wie Banken oder Mail-Programme eine Multifaktor- oder Zwei-Faktor-Authentifizierung (MFA/2FA), dann sollten Sie diese nutzen. Vergessen Sie bei der Festlegung von Sicherheitsrichtlinien nicht, Vorgaben für mobile Geräte zu berücksichtigen.
Übrigens:
Für Unternehmen bietet es sich an, ein Informationssicherheits
Notfallpläne
Um für den Notfall vorbereitet zu sein, empfehlen wir Ihnen, wichtige Sicherheitsverfahren und -regeln in einem Notfallplan festzuhalten. Dabei kommt es vor allem auf klare Anweisungen an: Wie sehen interne Meldeketten aus, welche Kontaktinformationen sind relevant und wo befinden sich die hierfür notwendigen Unterlagen?
Überlegen Sie dazu auch, wer im Krisenfall Entscheidungen treffen darf und welche Netzwerksegmente abgeschaltet werden können. Nur so kann die gesamte Belegschaft in einem Gefahrenfall schnell und Compliance-konform reagieren und den Normalzustand zügig wiederherstellen. Sinnvoll ist es ebenfalls, mögliche Notfallszenarien einmal durchzuspielen.
Regelmäßige Software-Updates
Berücksichtigen Sie, dass die von Ihnen verwendete Software unbedingt dem aktuellen Stand entsprechen sollte. Daher ist es zwingend erforderlich, Betriebssysteme und Anwendungssoftware immer dann zu aktualisieren, sobald ein entsprechendes Update des Herstellers verfügbar ist. Mit Hilfe von Software-Updates erneuern Sie Ihr Sicherheitslevel und spielen erweiterte Funktionen ein, um Ihre IT-Leistung fortwährend zu verbessern.
Beachten Sie, dass Updates kompatibel zu den bereits vorhandenen Systemen sein sollten. Wir empfehlen Ihnen, Soft- und Hardware direkt zu deinstallieren oder zu entsorgen, wenn sie sich nicht mehr aktualisieren lässt.
Fortwährende Backups
Tatsächlich stellt der Verlust der Daten die größte Gefahrenquelle im Bereich Informationssicherheit dar. Eine Studie aus dem Jahr 2019 ergab, dass 60 Prozent aller von Datenverlust betroffenen kleinen Betriebe innerhalb von sechs Monaten nach dem Cyberangriff pleite waren (CNBC, 2019).
Regelmäßigen Backups sollte daher die höchste Prioritätsstufe zukommen. Um zu wissen, welche Daten Sie sichern müssen, hilft Ihnen die anfänglich erstellte Inventarliste. In der Regel gehören Kunden- und Lieferantendaten, Abrechnungs- und Buchhaltungsdaten sowie die eigene Website zwingend dazu. Wichtig ist auch, dass Sie Backups immer an verschiedenen Orten festhalten.
In jedem Fall müssen Sie die Datensicherung direkt nach dem Erstellen auf ihre Funktionsfähigkeit prüfen. Nur so können Sie sichergehen, dass Sie die Daten im Ernstfall problemlos wiederherstellen können. Vergessen Sie nicht, auch die Aktualität der Backups regelmäßig zu kontrollieren.
Schulung der Mitarbeitenden
Informationssicherheit im Unternehmen kann nur dann gelingen, wenn Sie alle Mitarbeitenden in die Maßnahmen einbeziehen. Immerhin gehen die größten Gefahren von unwissenden Beschäftigten aus. Im Gegensatz dazu kennen geschulte Mitarbeitende die Richtlinien zur Datensicherheit, verwenden sichere Passwörter und öffnen weder verdächtige E-Mail-Anhänge noch Links.
Damit das gelingt, kommt es auf regelmäßig durchgeführte Mitarbeiterunterweisungen an. Hier vermitteln Sie die wesentlichen Sicherheitsregeln im IT-Bereich und frischen diese in festen Abständen wieder auf. Zudem sollten Sie Ihre Belegschaft über die neuesten Sicherheitslücken und -verfahren informieren sowie gängige Cybercrime-Prinzipien und Angriffsmethoden schulen.
Neben der Präsenzunterweisung Ihrer Angestellten stellen vor allem Online-Unterweisungen eine zeitsparende Möglichkeit dar, um wichtige Grundlagen digital zu vermitteln. Zudem können Ihre Mitarbeitenden die Inhalte orts- und zeitunabhängig im individuellen Lerntempo durchgehen. Entscheidend ist es schließlich, eine Sicherheitskultur aufzubauen, die die gesamte Belegschaft im Arbeitsalltag lebt.
Neben der Präsenzunterweisung Ihrer Angestellten stellen vor allem Online-Unterweisungen eine zeitsparende Möglichkeit dar, um wichtige Grundlagen digital zu vermitteln. Zudem können Ihre Mitarbeitenden die Inhalte orts- und zeitunabhängig im individuellen Lerntempo durchgehen. Entscheidend ist es schließlich, eine Sicherheitskultur aufzubauen, die die gesamte Belegschaft im Arbeitsalltag lebt.
Unterweisung zur Informationssicherheit: Digital lösen mit iManSys
Jedes Unternehmen sollte dem Thema Informationssicherheit die höchste Priorität einräumen. Viele Maßnahmen bilden das Fundament für geschützte Daten im Rahmen Ihres Compliance Managements. Es kommt dabei aber auf die Summe der Maßnahmen an und wie Sie diese aufeinander abstimmen. Voraussetzung ist, dass die verwendeten IT-Systeme revisions- und rechtssicher sind, damit Unberechtigte Ihre Daten nicht einfach verändern können.
Jedoch führen alle Sicherheitsvorkehrungen nur dann zum Erfolg, wenn Sie jeden Beschäftigten mit ins Boot holen. Die bereits erwähnten Unterweisungen der Belegschaft sind dafür unabdingbar. Mit unserer HSQE Compliance-Management-Software iManSys vermitteln Sie alle erforderlichen Schulungsinhalte zum Thema Informationssicherheit und Cybersecurity ganz einfach digital. Wir bieten Ihnen hierbei zahlreiche Unterweisungsvorlagen zu den Themen Datenschutz, DSGVO, E-Mail-Sicherheit sowie konkret zu Spam-Mails.
Mit iManSys können Sie den Mitarbeitenden relevante Schulungen automatisch arbeitsplatz- und tätigkeitsbezogen zuordnen und erhalten nach der Durchführung einen Unterweisungsnachweis. Worauf es bei der Organisation, Umsetzung und Didaktik der elektronischen Unterweisung konkret ankommt, erfahren Sie in unserem kostenfreien Whitepaper.
Weiterführende Infos:
Allianz für Cyber-Sicherheit (o. J.): 10 Tipps zur Cyber-Sicherheit für Unternehmen. Online verfügbar unter https://www.allianz-fuer-cybersicherheit.de/dok/10349920 (Abgerufen am 08.03.2023).
Bundesamt für Sicherheit in der Informationstechnik (2023): Cyber-Sicherheit für KMU. Die TOP 14 Fragen. Online verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cyber-Sicherheit_KMU.pdf?__blob=publicationFile&v=8 (Abgerufen am 08.03.2023).
Der IT-Beauftrage der Bayerischen Staatsregierung (2012): Leitfaden zur Informationssicherheit in kleinen und mittleren Unternehmen. Online verfügbar unter https://www.ihk-muenchen.de/ihk/documents/Digitalisierung/leitfaden-it-sicherheit.pdf (Abgerufen am 08.03.2023).
Der Einfachheit und besseren Lesbarkeit halber wird im Text das generische Maskulinum verwendet – gemeint sind damit immer alle Geschlechter.
Noch kein Kommentar, Füge deine Stimme unten hinzu!