Fundamente für die IT-Sicherheit legen

Feature | 26. Januar 2005 von admin 0

Zunächst eine allgemeine Frage. Warum hapert es mit der IT-Sicherheit bei mittelständischen Unternehmen?

Dafür gibt es mehrere Gründe. Sicherheit wird noch zu oft als Technologiethema angesehen und dann ausschließlich mit Investitionskosten in die IT-Systeme verbunden. Die Sicht, dass Personal- und Managementaktivitäten einen wichtigen Beitrag zur Verbesserung der IT-Sicherheit leisten hat sich noch nicht überall durchgesetzt.

Hinzu kommt, dass Mittelständler sich nicht als gefährdet betrachten. Doch allein die Tatsache, dass Viren keinen Unterschied zwischen großen und kleinen Unternehmen machen, beweist, dass auch SMBs gefährdet sind und daher etwas tun müssen. Dazu gehört beispielsweise, dass Regeln formuliert werden, die eine quasi dokumentierte Verbindlichkeit herstellen. Doch IT-Sicherheit betrifft nicht nur technische Fragen, sondern auch Themen wie den Umgang mit geschäftskritischen Dokumenten oder Besucherregelungen. Unternehmen, die das erkannt haben, tun wirklich etwas für die eigene Sicherheit.

Wie entstand die Idee, ein Best-Practice-Handbuch zur IT-Sicherheit im Mittelstand zu veröffentlichen?

Da muss ich etwas weiter ausholen. IT-Sicherheitsrichtlinien entfalten erst dann ihren Nutzen, wenn sie auch niedergeschrieben sind. Schriftlich fixiert schaffen sie Verbindlichkeit und klare Verantwortlichkeiten. Allerdings ist das speziell für kleinere Mittelständler ein oft schwieriges Unterfangen. Wir haben das auf dem Security Forum des AK Security in der Hamburger Handelskammer im vergangenen Jahr erlebt. In den Diskussionen wurde von den Besuchern dort eine Hilfestellung bei der Umsetzung der IT-Sicherheit gerade für kleine und mittlere Unternehmen gefordert. Es wurde bemängelt, dass die vorliegenden Werke, wie etwa das Grundschutzhandbuch des BSI (Bundesamt für Sicherheit in der Informationstechnik), für sie zu mächtig und undurchsichtig wären. Wir haben das als Herausforderung und Aufgabe begriffen, einen übersichtlichen und leicht verständlichen Leitfaden zu erstellen, der an die Bedürfnisse von SMBs angepasst ist. Das war, um ehrlich zu sein, nicht immer leicht, doch schließlich gibt uns das Ergebnis Recht.

Welches Konzept verfolgen Sie mit dem Handbuch?

Die Zielgruppe sind Entscheider aus dem Mittelstand. Das Handbuch will dabei nicht vollständig über alle notwendigen und möglichen Sicherheitsbereiche informieren und sie darstellen. Vielmehr werden die Themen, die nach Meinung der Mitglieder unseres Arbeitskreises absolut unerlässlich sind, aber trotzdem in der Praxis häufig noch nicht angegangen werden, aufgezeichnet. Es soll nicht der Maximalansatz, sondern das absolut Notwendigste aufgezeichnet werden. Es ging darum, Mittelständler, die zwischen zehn und 100 Mitarbeiter beschäftigen, für das Thema IT-Sicherheit zu sensibilisieren. Deshalb ist das Handbuch auch in die drei Ebenen Management, Personal und Technik untergliedert. Ebenso werden grundlegende Begriffe erklärt und auch die rechtlichen Aspekte des Themas dargelegt. Viele Geschäftsführer oder Inhaber von Kapitalgesellschaften wissen beispielsweise gar nicht, dass sie haftbar gemacht werden, wenn im Unternehmen keine Virenvorsorge betrieben wird und es dadurch bei Kunden oder Geschäftspartnern zu Schäden, beziehungsweise bei Kapitalgebern zu Verlusten kommt.

Es gibt ja bereits Handbücher zum Thema IT-Sicherheit, etwa vom BITKOM oder vom Bundesamt für Sicherheit in der Informationstechnik. Was unterscheidet das vom Arbeitskreis Security vorgelegte Handbuch von den oben Genannten?

Die meisten Handbücher sind für Menschen geschrieben, die bereits wissen, was sie tun oder sich intensiv mit dem Thema beschäftigen wollen. Die Entscheider aber, für die das Thema Sicherheit eines von vielen im täglichen Job ist, wollen kurz, prägnant und ohne Schnörkel wissen, was wichtig ist.

Haben Sie bereits Rückmeldungen, wie das Handbuch bei Mittelständlern ankommt?

Das Feedback ist weitaus positiver als erwartet. Viele Mittelständler finden das Handbuch hilfreich und zielführend bei der Verbesserung ihrer IT-Sicherheitsmaßnahmen. Wir scheinen da wirklich eine Kommunikationslücke zwischen den Sicherheitsexperten und den eigentlichen Entscheidern im SMB-Umfeld gefunden zu haben. Die erste Druckausgabe ist bereits vergriffen. Das Handbuch kann daher momentan nur noch im Internet heruntergeladen werden.

Das Handbuch ist anscheinend bewusst als offenes Konzept angelegt, das ständig erweitert werden soll. Gibt es bereits weiterführende Überlegungen oder Planungen, was noch aufgenommen werden soll?

Die vorliegende Version 1.0 entstammt mehreren Brainstorming-Sitzungen der AK-Mitglieder und ist stark von deren Erfahrungen geprägt. In der Version 2.0, die wir im nächsten Jahr herausgeben wollen, werden wir das Feedback der Anwender mit einbauen, um noch näher an die Bedürfnisse von SMBs heranzukommen und noch genauer auf deren spezifische IT-Sicherheitsprobleme eingehen zu können. Wir freuen uns über Rückmeldungen (per Mail an ak.security@hamburg-media.net ). Diese fließen in unser Handbuch ein und sorgen damit für eine kontinuierliche Weiterentwicklung, denn IT-Sicherheit ist ein Thema, das auch von SMBs vorausschauende Planung und Aktivität fordert. Wer da seine Fundamente nicht rechtzeitig legt, für den wird es irgendwann teuer.

Dr. Andreas Schaffry

Dr. Andreas Schaffry

Tags: , ,

Leave a Reply