Im Zuge der stark steigenden Cyberangriffe mit immer neuen Angriffsvektoren auf vor allem auch kleinere Mittelständische Unternehmen sind praktikable Strategien und Lösungen mit leicht umsetzbaren Maßnahmen für mehr IT-Sicherheit gefragt. Nur so gelingt es, ein akzeptables Sicherheitsniveau in den Unternehmen und eine drastische Reduzierung der Sicherheitsvorfälle im KMU Umfeld und Mittelstand zu erzielen.
Einführung zur VdS 10005 Richtlinie
Michael Wiesner ist IT-Sicherheitsexperte mit eigenen Sicherheitslösungen, kiwiko Partner (Digitevo) und Co Autor der neuen VdS Sicherheitsrichtline 10005. In einer kurzen Präsentation im Rahmen des kiwiko Q1/2021 Meetings stellte er den Partnern das Konzept vor.
VDS 10005 – Was enthält die neue IT-Security Richtlinie?
Im Wesentlichen geht es um eine grundlegende Absicherung von Schwachstellen um akute Bedrohungen und Datenverluste abwenden zu können.
Wichtige grundlegende Maßnahmen
- Patchmanagement (zeitnahes Installieren von Softwareupdates / Sicherheitsupdates)
- Geeigneter Schutz vor Viren / Trojanern und anderer Schadsoftware
- Sichere Verfahren zur Authentifizierung
- Unterscheidung zwischen Administrator und Benutzerzugängen (Admin Rolle sollte getrennt genutzt werden)
- Isolation von Unsicherer bzw. veralteter IT Hardware im Netzwerk gegen Angriffe
- Sicherer Zugriff auf W-Lan Netzwerke
Datensicherungskonzept
um Schadenshöhe und Unterbrechungszeit zu minimieren
- verlässliche Datensicherung
- Backup Konzept nach dem Mehrgenerationenprinzip
- Schutz gegen Veränderung / Verschlüsselung durch Ransomware
- Recovery-Pläne zur Rücksicherung der Backups im Fall eines Datenverlustes
Einsatz von IT-Dienstleistern
- Vertragliche Rahmenbedingungen schaffen
- Verpflichtung zur Erfüllung
Optionale Empfehlungen
Neben den essentiellen Security Maßnahmen und Lösungen zur obligatorischen Umsetzung werden weitere Tipps und optionale Sicherheitsmaßnahmen innerhalb der VdS 10005 Richtlinie erwähnt.
Welchen Vorteil bietet ein VdS 10005 Testat?
Für Mittelständler und deren Geschäftsführer bietet die VdS 10005 Richtlinie vor allem einen Einstieg. Vermutlich wird dieser Standard auch Einfluss haben in die Bewertung der Cyber Risiken bei Versicherern und Auftraggebern. Je strukturierter die Vorgehensweise bei einem vergleichbar niedrigen Einstiegsniveau, umso wahrscheinlicher ist die Zunahme von Digitalisierung und Automatisierung im kleinen Mittelstand.
Mehr geht immer
Bei der Durchdringung von IT-Sicherheit in der Unternehmensstrategie gilt der Grundatz „mehr geht immer“. Neben der hier erwähnten Sicherheitsstrategie und den einzelnen Sicherheitslösungen bei der Umsetzung bieten vorhandene IT-Security Publikationen sowie die bereits etablierten IT-Security Standards wie der BSI IT Grundschutz oder die ISO 27001 Norm viele Möglichkeiten der Vertiefung.
Mitarbeiter zur IT-Sicherheitsbrandmauer entwickeln
Vorausschauende Unternehmer und Entscheider haben verstanden, dass neben den technischen Sicherheitslösungen vor allem ihre Mitarbeiter zu den wichtigsten Risiken für Sicherheitsvorfälle gehören. Positiv betrachtet kann das Potenzial der Mitarbeiter durch entsprechende Veranstaltungen, Schulungen und Awareness-Trainings zur IT-Sicherheitsbrandmauer ausgebaut werden. Jedes System ist so schwach wie seine Anwender. Mit der stetigen Sensibilisierung und Weiterentwicklung lassen sich nicht nur Risiken und deren Folgen (im Schadensfall) verringern, sondern auch Wettbewerbsvorteile ausbauen.
IT-Sicherheit zur Chefsache machen
Lange war Informationstechnik ein isolierter Bereich im Unternehmen, welcher mit den anderen Abteilungen Budgets und Ressourcen teilen musste. Mittlerweile, so auch aktuelle Studien, ist IT und damit auch die IT-Sicherheit ein wichtiger Bestandteil der Digitalisierung und der Unternehmensstrategie geworden. Neben den wirtschaftlichen Vorteilen kommt noch die Haftungsfrage dazu. Über das IT-Sicherheitsgesetz, die DSGVO und andere Vorschriften sind Geschäftsführer längst offiziell in der Verantwortung für die Sicherheit ihrer IT. In der Realität sieht das derzeit noch anders aus. Gerade bei den KMU ist das Bewusstsein für Angriffe auf die IT über meist mobile Endgeräte nicht wirklich präsent. Die Herausforderung liegt nicht nur im Skizzieren der Bedrohung durch Angreifer und daraus im Schadensfall resultierender Haftungsprobleme sondern auch in der Erkenntnis, dass IT-Sicherheit wesentlich für eine wirtschaftliche Entwicklung im Betrieb verantwortlich sein wird.
Transferstelle für IT-Sicherheit im Mittelstand
Das BMWi und damit DSiN (Deutschland sicher im Netz) haben mit der Transferstelle für IT-Sicherheit im Mittelstand (TISiM) in 2020 eine neue Möglichkeit geschaffen, IT-Sicherheit für Unternehmen auf spielerische Weise umzusetzen. Der Vorteil: Die Teilnahme an den Workshops und die Nutzung des Secomaten, der eine interaktive IT-Sicherheitsbewertung inkl. Handlungsempfehlungen ermöglicht, sind kostenfrei.
Weitere Informationen z.B. über die Workshopreihe erhalten Sie direkt über die kiwiko eG oder einen anderen TISiM Partner im Unterstützernetzwerk (z.B. IHK/HK Standorte).