10 Maßnahmen zur Erhöhung der IT-Sicherheit

PrintMailRate-it

​veröffentlicht am 17. Oktober 2022, Autoren: Jürgen Schwestka, Janina Loncar




Ganz gleich, ob es sich um einen Netzwerkangriff von außen, die Offenlegung vertraulicher Daten oder den Ausfall von IT-Systemen eines Unternehmens handelt: Der Schutz von sensiblen Daten hat heutzutage Bedeutung wie noch nie. 

Doch wie können Unternehmen schnell und einfach das Thema IT-Sicherheit integrieren, das auf der einen Seite so wichtig und auf der anderen Seite so komplex ist?

Durch den zunehmenden Einsatz von IT-Anwendungen auf allen Prozessebenen eines Unternehmens erhöhen sich gleichzeitig die Risiken der Offenlegung von vertraulichen Informationen, z. B. durch interne und externe Netzwerkangriffe. Aber auch die regulatorischen Anforderungen, wie das IT-Sicherheitsgesetz, verpflichten Unternehmen, Verfahren und Maßnahmen zu etablieren, um ihre Daten zu schützen und bei Schadensereignissen handlungsfähig zu bleiben. Sicherheitsziele wie Vertraulichkeit, Integrität und Verfügbarkeit spielen hierbei eine besondere Rolle.

Mit den nachfolgenden 10 Maßnahmen geben wir Empfehlungen zur gezielten Reduzierung der eigenen Angriffsfläche:

  1. Verantwortlichkeiten
    Verantwortlichkeiten sollten klar definiert und geregelt sein. Wer sind die zentralen Ansprechpartner bei Themen rund um IT-Sicherheit? Es empfiehlt sich einen IT-Sicherheitsbeauftragten im Unternehmen zu etablieren, damit das Thema gezielt vorangetrieben werden kann. Je nach Ausgestaltung der Aufgaben kann der IT-Sicherheitsbeauftragte das Bindeglied zwischen Unternehmensleitung, IT-Abteilung und Belegschaft darstellen und auf allen Seiten für ein ausreichendes Sicherheitsverständnis sorgen.
  2. Grundsätze, Regelungen und Richtlinien
    Ein Krankenhaus sollte sich bei der Umsetzung der IT-Sicherheit an dem Branchenspezifischen Sicherheitsstandard (B3S) für Krankenhäuser orientieren (siehe hierzu Informationssicherheit im Krankenhaus | Deutsche Krankenhausgesellschaft e. V. (dkgev.de)). Der B3S gibt einen guten Überblick über Themenfelder, die für die Aufrechterhaltung der IT-Sicherheit notwendig sind. Daraus lässt sich ableiten, in welchen Bereichen noch Regelungen getroffen oder Richtlinien erlassen werden müssen. 
  3. Sensibilisierung der Mitarbeiter und Schulung
    Die Vorkehrungen seitens der IT-Abteilungen können noch so gut sein, am Ende hängt sehr viel von den Handlungen der Personen vor dem PC ab. Daher gilt es bei den Mitarbeitern ein angemessenes Verständnis für Risiken im Umgang mit der Informationstechnik zu schaffen und wichtige Umsetzungsmaßnahmen für den Alltag mitzugeben.
    Nur geschulte und informierte Mitarbeiter können dazu beitragen, die IT-Sicherheit im Unternehmen aufrechtzuerhalten, indem sie sich bei allen Tätigkeiten (z. B. Öffnen von Mailanhängen oder dubioser E-Mails) der möglichen Risiken bewusst sind und verantwortungsvoll mit den ihnen bereitgestellten Informationen umgehen.
  4. Technische Maßnahmen
    Neben organisatorischen Maßnahmen sollten ebenfalls technische Maßnahmen im Unternehmen implementiert sein. Unter anderem wird mittels VPN (Virtual Private Network) die Kommunikation verschlüsselt und die Netzwerkverbindung abgesichert. Ebenfalls sollte eine Zwei-Faktor-Authentifizierung eingesetzt werden, die das einfache Abgreifen von Passwörtern verhindert, selbst wenn diese komplex sind oder häufig geändert werden. Weitere technische Maßnahmen sind z. B. Einführung einer Mailverschlüsselung, Nutzung von Tools zum sicheren Datenaustausch oder die Einführung der Netzwerksegmentierung mit Netzwerk-Zugriffskontrolle (NAC). Die genannten Beispiele sind nicht abschließend. Sie sollen jedoch einen Einblick in die Möglichkeiten geben, seine Systeme gegen Angriffe entsprechend abzuhärten. 
  5. Klassifizierung von Daten und Systemen
    Um einen Schutz aller Daten und Systeme bestmöglich zu gewährleisten, sollten sie zunächst klassifiziert werden. Relevant ist hierbei die Überlegung, über welche Daten Sie verfügen und welche hiervon als vertraulich zu klassifizieren sind.  Anhand dieser Überlegungen ist eine Aussage darüber möglich, welche Daten und Systeme in besonderer Art und Weise zu schützen sind. Hierauf aufbauend sind entsprechende Schutzmaßnahmen zu planen und umzusetzen. Die Planung und Umsetzung dieser Maßnahmen orientiert sich an der Klassifizierung, anhand derer eine Priorisierung vorgenommen wird.
  6. Logische Zugriffskontrollen
    Die Systemzugriffe und die damit verbundenen Datenzugriffe sind angemessen zu schützen. Hierzu sollte ein zuverlässiges Identity und Access Management (IAM) eingerichtet werden. Zunächst muss dafür ein Berechtigungskonzept erarbeitet werden, das die sachgerechte Vergabe von Zugriffsberechtigungen sowohl qualitativ als auch formell verbindlich vorgibt. Die Berechtigungen sollten grundsätzlich nach dem Minimalprinzip vergeben werden, d. h. Mitarbeiter sollten ausschließlich über die für die tägliche Arbeit notwendigen Berechtigungen verfügen. Dies verhindert ebenfalls den Missbrauch bei zu umfangreicher Berechtigungszuordnung. 
  7. Risikomanagement
    Um das Risiko für IT-Sicherheitsangriffe zu reduzieren, sollten regelmäßig Risikoanalysen erfolgen. Hierbei ist unter anderem zu klären, welche Risiken auf die IT-Assets wirken, wie hoch die Wahrscheinlichkeit ausfällt, dass die skizzierten Risikoszenarien eintreten und wie hoch der zu erwartende Schaden in diesem Zusammenhang ausfallen könnte. Ein Risikofrüherkennungssystem sowie Risikosteuerungs- und Risikoüberwachungsprozesse sind wesentliche Aspekte eines Risikomanagements und sollten daher implementiert werden.
  8. Notfallmanagement/Betriebliches Kontinuitätsmanagement
    Für den Fall einer schwerwiegenden IT-Störung sollten klare Regelungen darüber getroffen werden, wie mit dieser Ausnahmesituation umzugehen ist. Zunächst müssen hierbei zuverlässige Verfahren entwickelt werden, wie der laufende Geschäftsbetrieb bspw. trotz Systemausfall weitergeführt werden kann. Zudem muss Klarheit darüber bestehen, in welcher Reihenfolge Systeme wieder in den Normalbetrieb gesetzt werden. Die Zuverlässigkeit muss regelmäßig anhand von Tests wie Notfallübungen sowie Wiederherstellungstests bestätigt werden. Die Vernachlässigung solcher Tests kann im Ernstfall dazu führen, dass eine fehlende Zuverlässigkeit erst dann erkannt wird.   
  9. Vorsicht bei der Auswahl der Cloud-Dienstleister
    Nach und nach öffnen sich die länderspezifischen Krankenhausgesetze auch für die Datenverarbeitung außerhalb des Krankenhauses. Damit ergeben sich zahlreiche neue Möglichkeiten zur Nutzung von Cloud-Dienstleistern. Wichtig hierbei ist allerdings, dass diese eine ausreichende Sicherheit für die Daten garantieren können. Zu den wesentlichen Faktoren zählen u. a. die Server-Standorte oder die technischen und organisatorischen Maßnahmen zum Schutz der Daten. Das Bundesamt für Sicherheit in der Informationstechnik hat hierzu den BSI Cloud Computing Compliance Criteria Catalogue (kurz: BSI C5) erstellt. Dieser Kriterienkatalog beschreibt die Mindestanforderungen an die Informationssicherheit für Cloud-Dienste. Es empfiehlt sich daher insbesondere Anbieter aus Deutschland zu wählen, die über eine C5-Zertifizierung verfügen.
  10. Überwachung und Verbesserung
    Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) ist für alle Unternehmen zu empfehlen. Managementsysteme unterliegen in aller Regel immer dem sogenannten PDCA-Zyklus (Deming Cycle). PDCA steht hierbei für Plan-Do-Check-Act. Nachdem Maßnahmen festgelegt wurden (Plan), sind diese zu verwirklichen/umzusetzen (Do). Anschließend sind diese Maßnahmen auf Angemessenheit und Wirksamkeit hin zu überprüfen (Check) und bei einem auftretenden Anpassungsbedarf entsprechend zu korrigieren (Act). Durch die Einhaltung dieses Prozesses, der kontinuierlich durchzuführen ist, ergibt sich zudem ein kontinuierlicher Verbesserungsprozess.


Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

WIR BERATEN SIE GERN!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu