Die folgenden Checklisten fassen in kurzen Fragen, die Sie nur mit Ja, Nein oder Prüfen zu beantworten brauchen, die wichtigsten Sicherheitsanforderungen und -maßnahmen zusammen. Anhand Ihrer Antworten erhalten Sie ein genaues Bild über den aktuellen Zustand sowie über die Schwachstellen der IT-Sicherheit und der IT-Compliance in Ihrem Unternehmen.
Die Checklisten entsprechen den Sicherheitskriterien, die im IT-Grundschutzkatalog festgelegt sind, der vom BSI herausgegeben wird und über das Internet kostenlos zur Verfügung steht (www.bsi.bund.de). Dort finden Sie auch das IT-Grundschutz-Kompendium, eine modernisierte Fassung des Grundschutzkatalogs, das gerade in der Edition 2022 erschienen ist. Sie können das Kompendium als PDF-Dokument kostenlos herunterladen. Deutlich praktischer ist allerdings die Onlinenutzung, da nur dort die zahlreichen Link-Verknüpfungen den Kompendiums aktiv sind.
Die Fragenkataloge des PraxisChecks folgen den Grundschutzvorgaben des BSI und sind in die folgenden Sicherheitsbereiche unterteilt.
Checkliste 1: Sicherheitsmanagement
Im betrieblichen Umfeld ist das IT-Sicherheitsmanagement in jedem Fall Chefsache. Und dies nicht nur, weil das Thema Sicherheit von entscheidender Bedeutung für den Geschäftserfolg ist, sondern weil dies auch vom Gesetzgeber so vorgesehen ist. Natürlich müssen Geschäftsführer und Firmenleitung sich nicht persönlich um die Details der Umsetzung von Sicherheitskonzepten und Sicherheitsrichtlinien kümmern. Sie müssen aber den Rahmen dafür schaffen, Verantwortung übernehmen und qualifizierte Verantwortliche einsetzen und – in letzter Konsequenz – persönlich haften.
Checkliste 2: Allgemeine Sicherheitsaspekte und Verhalten in Notfällen
Es gibt eine Reihe allgemeiner Sicherheitsaspekte, die bei jeder Art der Nutzung der vorhandenen Computer- und Kommunikationseinrichtungen berücksichtigt werden sollten. Da es sich dabei vor allem um die konkrete Umsetzung von Sicherheitsmaßnahmen handelt, sind hier neben der Geschäftsleitung auch alle IT-Verantwortlichen angesprochen. Schutzmechanismen und programminterne Sicherheitseinrichtungen, aber auch konkrete Handlungsanweisungen helfen dabei, Sicherheitsrisiken zu minimieren und Datensicherheit zu gewährleisten.
Checkliste 3: Sicherheitsbewusstsein
Die Aufrechterhaltung des Sicherheitsniveaus ist genauso wichtig wie die Einführung angemessener Sicherheitsmaßnahmen. Die besten Sicherheitseinrichtungen nützen aber überhaupt nichts, wenn diese nicht ein- und umgesetzt werden. Nur wenn Mitarbeiter positiv motiviert sind und einsehen, warum bestimmte Sicherheitsmaßnahmen sie einschränken oder von ihnen selbst immer wieder aktiv durchgeführt werden müssen, kann ein IT-Sicherheitskonzept auf Dauer erfolgreich umgesetzt werden.
Checkliste 4: Benutzernamen, Kennwörter und Verschlüsselung
Der Zugriffsschutz und die damit verbundene Zugriffskontrolle sind für die IT-Sicherheit ebenfalls von entscheidender Bedeutung. Benutzernamen, Passwörter, Kennwörter und Verschlüsselungsverfahren sorgen dafür, dass bestimmte Informationen nur von befugten Mitarbeitern eingesehen und vertraulich verwendet werden können. Um sicherzustellen, dass IT-Komponenten und Daten auch noch dann zur Verfügung stehen, wenn Mitarbeiter ausfallen oder für längere Zeit nicht erreichbar sind, sollten alle gültigen Kenn- und Passwörter hinterlegt und sicher verwahrt werden.
Checkliste 5: Internet und E-Mail
Internetanbindung und E-Mail-Kommunikation gehören zum betrieblichen Alltag, stellen aber gleichzeitig eine große Sicherheitsbedrohung dar. Jeder Mitarbeiter, der im Internet surft und E-Mails versendet und empfängt, macht nicht nur den Arbeitsplatzrechner, sondern das gesamte Computersystem, mit dem der Arbeitsplatzrechner verbunden ist, zum potenziellen Ziel von Viren und anderen Schadprogrammen und öffnet es für potenzielle Eindringlinge. Jede Art der Internetverbindung muss daher mit allen zur Verfügung stehenden Mitteln geschützt werden.
Checkliste 6: Datensicherung
Da auch die besten Sicherheitsmaßnahmen Naturkatastrophen, Brandschäden oder gezielten Vandalismus nicht ausschließen können, ist die regelmäßige Datensicherung immer noch eine unverzichtbare Risikovorsorge. Dazu gehört aber auch, dass Vorkehrungen dafür geschaffen werden, dass die gesicherten Daten außer Haus gelagert werden, was dank externer Cloudspeicher kein Problem ist.
Checkliste 7: Drahtlose Netzwerkverbindungen (WLAN) und Hotspots
Drahtlose Verbindungen werden auch im betrieblichen Umfeld zum Normalfall. Notebooks und andere Mobilgeräte sind bereits mit WLAN-Adaptern ausgestattet, und auch Desktop-PCs lassen sich mit einer WLAN-Einsteckkarte schnell und einfach so mobil machen, dass sie innerhalb des Firmengebäudes an beliebigen Plätzen eingesetzt werden können. Doch der Komfort hat seinen Preis: Drahtlose Verbindungen können leicht abgehört werden und öffnen das System für potenzielle Eindringlinge. WLAN-Verbindungen aller Art müssen besonders sorgfältig geschützt werden. Dabei ist zu bedenken...