Kurzbeschreibung
Anhand von 11 Checklisten können Sie für alle wichtigen Bereiche der IT-Sicherheit den aktuellen Sicherheitsstatus feststellen, Schutzlücken erkennen und auf dieser Basis ein IT-Sicherheitskonzept entwickeln.
Vorbemerkung
IT-Sicherheit muss sein: Nicht nur in börsennotierten Unternehmen, sondern auch in GmbHs, AGs und anderen Kapitalgesellschaften sind Vorstände und Geschäftsführer für die IT-Sicherheit persönlich haftbar. Der Gesetzgeber schreibt außerdem die Rechtskonformität sämtlicher Unternehmensabläufe vor. Wichtigster Bestandteil ist dabei die" IT-Compliance", deren zentrales Element wiederum die IT-Sicherheit ist. Und dann sind da ja auch noch die Banken und die ISO-Zertifizierung, die auch angemessene IT-Sicherheitsvorkehrungen verlangen. Doch was ist angemessen? Mit unseren Checklisten können Sie die vorhandenen Sicherheitsmaßnahmen prüfen und Ihr eigenes Sicherheitskonzept optimieren.
Am 25.5.2016 trat die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Anwendbar ist sie ab dem 25.5.2018. Sie enthält Regelungen darüber, wer für die Daten verantwortlich ist und wie man sie verarbeiten muss. In Deutschland liegt bereits ein Gesetzesentwurf zur Anpassung des nationalen Datenschutzrechts vor, der Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680. Für 2020 plant die EU-Kommission eine Evaluierung und schärfere Durchsetzung der Verordnung.
Mit unseren Checklisten können Sie die vorhandenen Sicherheitsmaßnahmen prüfen und Ihr eigenes Sicherheitskonzept optimieren.
Checklisten-Überblick
Die folgenden Checklisten fassen die wichtigsten IT-Sicherheitsanforderungen und -maßnahmen in kurzen Fragen zusammen, die Sie nur mit Ja, Nein oder Prüfen zu beantworten brauchen. Anhand Ihrer Antworten erhalten Sie ein sehr genaues Bild über den aktuellen Zustand und über die Schwachstellen der IT-Sicherheit und die IT-Compliance in Ihrem Unternehmen.
Die Checklisten entsprechen den Sicherheitskriterien, die im IT-Grundschutzkatalog festgelegt sind, das vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) herausgegeben und über das Internet kostenlos zur Verfügung gestellt wird (www.bsi.bund.de). Dort finden Sie auch das IT-Grundschutz-Kompendium, eine modernisierte Fassung des Grundschutzkatalogs, das gerade in der Edition 2020 erschienen ist. Sie können das Kompendium als PDF-Dokument kostenlos herunterladen. Deutlich praktischer ist allerdings die Onlinenutzung, da nur dort die zahlreichen Link-Verknüpfungen den Kompendiums aktiv sind.
Die Fragenkataloge der Checklisten sind in folgende Sicherheitsbereiche unterteilt:
Checkliste 1 : Sicherheitsmanagement
Im betrieblichen Umfeld ist das IT-Sicherheitsmanagement in jedem Fall Chefsache. Und dies nicht nur, weil das Thema Sicherheit von entscheidender Bedeutung für den Geschäftserfolg ist, sondern weil dies auch vom Gesetzgeber so vorgesehen ist. Natürlich müssen Geschäftsführer und Firmenleitung sich nicht persönlich um die Details der Umsetzung von Sicherheitskonzepten und Sicherheitsrichtlinien kümmern. Sie müssen aber den Rahmen dafür schaffen, Verantwortung übernehmen und qualifizierte Verantwortliche einsetzen und - in letzter Konsequenz- persönlich haften.
Checkliste 2: Allgemeine Sicherheitsaspekte und Verhalten in Notfällen
Es gibt eine ganze Reihe allgemeiner Sicherheitsaspekte, die bei jeder Art der Nutzung der vorhandenen Computer- und Kommunikationseinrichtungen berücksichtigt werden sollten. Da es sich dabei vor allem um die konkrete Umsetzung von Sicherheitsmaßnahmen handelt, sind hier neben der Geschäftsleitung auch alle IT-Verantwortlichen angesprochen. Schutzmechanismen und programminterne Sicherheitseinrichtungen, aber auch konkrete Handlungsanweisungen helfen dabei, Sicherheitsrisiken zu minimieren und Datensicherheit zu gewährleisten.
Checkliste 3: Sicherheitsbewusstsein
Die Aufrechterhaltung des Sicherheitsniveaus ist genauso wichtig wie die Einführung angemessener Sicherheitsmaßnahmen. Die besten Sicherheitseinrichtungen nützen aber überhaupt nichts, wenn diese nicht ein- und umgesetzt werden. Nur wenn Mitarbeiter positiv motiviert sind und einsehen, warum bestimmte Sicherheitsmaßnahmen sie einschränken oder von ihnen selbst immer wieder aktiv durchgeführt werden müssen, kann ein IT-Sicherheitskonzept auf Dauer erfolgreich umgesetzt werden.
Checkliste 4: Benutzernamen, Kennwörter und Verschlüsselung
Der Zugriffsschutz und die damit verbundene Zugriffskontrolle sind für die IT-Sicherheit ebenfalls von entscheidender Bedeutung. Benutzernamen, Passwörter, Kennwörter und Verschlüsselungsverfahren sorgen dafür, dass bestimmte elektronische Informationen nur von befugten Mitarbeitern eingesehen und tatsächlich vertraulich verwendet werden können. Um sicherzustellen, dass bestimmte IT-Komponenten und Daten auch noch dann zur Verfügung stehen, wenn bestimmte Mitarbeiter ausfallen oder für längere Zeit nicht erreichbar sind, sollten alle gültigen Kenn- und Passwörter außerdem hinterlegt und sic...