Welche Form der Absicherung ist für Ihr Unternehmen richtig?

 

An alle Chefs:

Klar ist, Daten und IT in Ihrem Unternehmen benötigen eine solide und wirtschaftliche Form der Absicherung. Grafik mit den Einflußfaktoren für Sicherheitsmaßnahmen
Mit dem Thema Informationssicherheit haben Sie sich persönlich bisher nur am Rande beschäftigt. Sie schätzen die Risiken für Ihr Unternehmen nicht als sehr hoch ein. Und es ist ja bisher auch noch nie etwas passiert.

Doch wie können Sie sich Ihrer Sache so sicher sein, wenn Sie noch keine Sicherheitsanalyse gemacht haben, und wenn Sie keine Überwachung für sicherheitsrelevante Ereignisse in Ihrer IT etabliert haben?

IT-Sicherheit ist Chefsache.

Wenn Sie jetzt etwas nachdenklich werden, lesen Sie bitte weiter. Dieser Artikel informiert Sie über die drei wichtigsten Optionen zur Absicherung von Daten und IT in Ihrem Unternehmen.

Diese drei Optionen stammen aus der Feder des BSI, die Bundesamtes für Sicherheit in der Informationstechnik.
Ich zeige Ihnen, welche Zielsetzungen mit diesen Optionen verbunden sind, wann sie ihre Anwendung finden sollten, und welche Vor- und Nachteil damit verbunden sind.

1. Die Basisabsicherung

Das Ziel der Basisabsicherung ist eine grundlegende Erst-Absicherung. Das erreichbare Sicherheitsniveau ist im Vergleich zu den anderen Optionen niedriger. Die Basisabsicherung ist der erste Schritt, wenn das Thema Informationssicherheit in Ihrem Unternehmen noch am Anfang steht. Weiterhin sollten Sie zuvor eine Risikoanalyse durchgeführt haben. Es sollten sich dabei ergeben, daß es für das Unternehmen keine stark erhöhten Gefährdungspotentiale gibt. Im anderen Fall wäre die Kernabsicherung der erste richtige Schritt.
Die Basisabsicherung erreichen Sie im Vergleich zu den anderen Optionen mit einem relativ geringen Aufwand. Sie kann die Grundlage sein für den weiteren Ausbau der Informationssicherheit: die Standardabsicherung.

2. Die Kernabsicherung

Das Ziel der Kernabsicherung ist die vorrangige Absicherung der besonders gefährdeten Geschäftsbereiche. Es geht um Daten und Assets, die das strategische und technische Wissen des Unternehmens ausmachen, und dessen Verlust oder Diebstahl katastrophale Folgen hätte. Gerne spreche ich hier von dem Datengenom des Unternehmens.
Wenn das Thema Informationssicherheit in Ihrem Unternehmen noch am Anfang steht, und wenn Sie feststellen, dass es solche besonders kritischen Geschäftsbereiche in Ihrem Unternehmen gibt, dann sollten Sie mit der Kernabsicherung starten. Wichtig ist dabei, dass es Ihnen gelingt, die abzusichernden Geschäftsbereiche gut gegenüber allen anderen Geschäftsbereichen einzugrenzen. Denn der Bereich der Kernabsicherung sollte möglichst klein gehalten werden, schon aus Aufwands- und Kostengründen.
Mit der Kernabsicherung erhalten Sie eine solide Absicherung Ihrer besonders kritischen   Geschäftsbereiche. Das Sicherheitsniveau aller anderen Geschäftsbereiche bewegt sich dann aber immer noch auch einem relativ niedrigen Level.
Die Kernabsicherung kann aber der Ausgangspunkt sein für Ihre weiteren Schritte zu mehr Informationssicherheit: der Basisabsicherung oder der Standardabsicherung.
Ebenfalls wichtig für Ihre Überlegungen: Sie können die Geschäftsbereiche mit Kernabsicherung bereits vom BSI zertifizieren lassen. Damit erhalten Sie einen starken und in der Industrie weithin anerkannten Beleg für die Informationssicherheit dieser Bereiche.
Viele Auftraggeber aus dem öffentlichen Sektor und aus kritischen Industrien wie Energieversorgung, Transport und Verkehr oder Gesundheitswesen legen auf das BSI-Zertifikat einen großen Wert.

3. Die Standardabsicherung

Das Ziel der Standardabsicherung ist der umfassende Schutz des gesamten Unternehmens oder  eines Teilbereichs. Das angestrebte Nivea der Informationssicherheit ist hoch.
Wenn das Thema Informationssicherheit in Ihrem Unternehmen bereits grundlegend etabliert worden ist, kann die Standardabsicherung als nächster Schritt angestrebt werden.
Im Vergleich zur Basisabsicherung oder Kernabsicherung ist der Aufwand für die Standardabsicherung hoch.
Auf Basis der Standardabsicherung kann das gesamte Unternehmen bzw. der abgesicherte Teilbereich vom BSI zertifiziert werden. Wie bereits gesagt, ist das BSI-Zertifikat ein wichtiger Anhaltspunkt oder sogar eine Grundvoraussetzung für viele wichtige institutionelle und industrielle Auftraggeber.

Kurz-Audit als Entscheidungshilfe

Die Einschätzung, ob Ihr Unternehmen bereits die Voraussetzungen für die Standardabsicherung erfüllt, fällt nicht immer leicht. Ich habe ein Kurz-Audit (ca. 4 Stunden in Interviewform) entwickelt,  das den Reifegrad der Informationssicherheit auf der Grundlage des BSI IT-Grundschutz Standards ermittelt.  Der Reifegrad wird durch einen IST-SOLL-Vergleich ermittelt und zusammenfassend als ein Wert zwischen 0% und 100%  dargestellt.
Aus dem Audit ergibt sich im Detail, in welchen Bereichen Sie bereits gut aufgestellt sind, und wo es Nachholbedarf gibt. Sie erhalten dazu einen ausführlichem Auditbericht.

Gerne unterstütze ich Sie dann auch bei der Umsetzung der vorgeschlagenen Maßnahmen.

Weitere Details zum Audit finden Sie auf meiner Webseite unter https://www.wolf-it-architekt.de/index.php/it-pruefung.html.

In meinen Workshops zur Informationssicherheit erfahren Sie alles zum Thema Informationssicherheit nach dem Standard des BSI IT-Grundschutz. Natürlich werden dort auch die drei geschilderten Optionen der Absicherung noch einmal ausführlich besprochen. Mehr zu meinen Workshops finden Sie auf meiner Webseite unter  https://www.wolf-it-architekt.de/index.php/workshops.html.

 

Zurück