Unternehmensdaten sind ein wichtiger Produktionsfaktor. Doch wenn es um die IT-Sicherheit geht, dann sieht es eher mau aus. »Leider nehmen Unternehmen das Thema aber häufig nur als zusätzlichen Kostenfaktor wahr«, kritisiert die Nationale Initiative für Informations- und Internet-Sicherheit (NIFIS e.V.). »Inhaltlich ernst genommen wird IT-Sicherheit oft erst dann, wenn der Schaden bereits entstanden ist.«

Nach Meinung des NIFIS wird mit der Informationssicherheit in Unternehmen zu lasch umgegangen. »Grund für die Vernachlässigung ist vor allem das Desinteresse gegenüber dem Thema IT-Sicherheit«, beklagt Mathias Gärtner, Stellvertretender Vorsitzender der NIFIS. Das ist erstaunlich, da Informationssicherheit Unternehmen in erster Linie Wettbewerbsvorteile bietet.« Ein Daten-Backup werde durchaus gemacht. Aber IT-Sicherheit umfasse mehr.

Für eine bessere Informationssicherheit in Unternehmen hat die NIFIS deshalb jetzt Leitlinien aufgestellt. »Viele Unternehmen sind sich der Gefahren aus dem Internet nicht bewusst und riskieren mit unerkannten Sicherheitslücken den Unternehmenserfolg«, sagt Gärtner. »Deshalb steht auch die Risikoanalyse an erster Stelle unseres Leitfadens.«

Chefetage verfügt meist über nur wenig Wissen

Informationen zu den Leitlinien, die auf einer Analyse basieren, finden Unternehmen beim NIFIS oder auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Die NIFIS warnt davor, die Ergebnisse aus dieser Analyse nicht ernst zu nehmen. »Oft scheitert eine angemessene Informationssicherheit am Schulterzucken der Verantwortlichen«, erklärt Gärtner. »Die Chefetage verfügt meist über nur wenig Wissen und Erfahrung im Sektor IT-Sicherheit. Somit kann sie auch ihren Mitarbeitern nicht als Vorbild dienen. Das kann zu unternehmensinternem Fehlverhalten führen.«

Als typisches Beispiel hierfür nennt Gärtner die praxisfremde Formulierung von Passwörtern: »Mitarbeiter notieren sich gerne Passwörter, die sie nicht behalten können und lassen sie dann öffentlich zugänglich am Schreibtisch liegen – auch wenn die gewählten Passwörter technisch sinnvoll sind, ist das natürlich mitnichten Sinn der Sache.«

Desaster-Recovery-Plan ist absolut notwendig

Doch nicht nur menschliches, sondern auch technisches Versagen muss einkalkuliert werden. »Generell ist es ratsam, allgemeine unternehmensinterne Leitlinien zu formulieren, die den möglicherweise eintretenden Notfall behandeln«, betont Gärtner. Geregelt werden sollen in einem solchen Desaster-Recovery-Plan die Maßnahmen über Aktion im eventuellen Schadensfall. »Das schließt Missbrauch aus und kann potenzielle Schäden minimieren, da die notwendigen Maßnahmen schneller getroffen werden können und die Verantwortlichkeiten bereits geregelt sind.«

Zehn erste Schritte zur besseren Informationssicherheit

Tipp 1: Führen Sie eine Risikoanalyse durch.
Tipp 2: Informationssicherheit beginnt von oben.
Tipp 3: Richten Sie Passwörter und Benutzernamen für jeden Rechnerzugang ein.
Tipp 4: Ohne Virenscanner (auf jedem Rechner) und Firewall (mindestens eine Firewall zwischen Internet und Intranet) darf heute kein EDV-System mehr betrieben werden.
Tipp 5: Informationssicherheit stellt die Betriebsfähigkeit des Unternehmens sicher.
Tipp 6: Erstellen Sie einen Notfallplan.
Tipp 7: Regeln Sie die private Nutzung Ihrer Infrastruktur.
Tipp 8: Mobile Datenträger sind notwendige Arbeitswerkzeuge.
Tipp 9: Ihre physikalische Infrastruktur sollte der Wichtigkeit entsprechend gesichert sein.
Tipp 10: Erstellen Sie Zugriffsregeln auf Ihre Daten auf den Servern.

.