{"id":671443,"date":"2019-08-12T17:30:02","date_gmt":"2019-08-12T15:30:02","guid":{"rendered":"https:\/\/blog.wiwo.de\/management\/?p=671443"},"modified":"2019-08-14T12:55:20","modified_gmt":"2019-08-14T10:55:20","slug":"buchauszug-jan-binding-das-it-security-mindset-der-mittelstand-auf-dem-digitalen-pruefstand","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/management\/2019\/08\/12\/buchauszug-jan-binding-das-it-security-mindset-der-mittelstand-auf-dem-digitalen-pruefstand\/","title":{"rendered":"Buchauszug Jan Bindig: „Das IT-Security Mindset – Der Mittelstand auf dem digitalen Pr\u00fcfstand.“"},"content":{"rendered":"

Buchauszug Jan Bindig<\/a>: „Das IT-Security Mindset – Der Mittelstand auf dem digitalen Pr\u00fcfstand.“<\/strong><\/p>\n

 <\/p>\n

\"\"

Jan Bindig (Foto: FBW)<\/p><\/div>\n

 <\/p>\n

Strategisch managen \u2013 Datensicherheit ist Chefsache<\/strong><\/p>\n

Die weltweite digitale Vernetzung unserer Wirtschaft hat dazu gef\u00fchrt, dass immer mehr Daten \u00fcberhaupt existieren und verkn\u00fcpft werden. Dies wiederum weckt Begehrlichkeiten bei Hackern und anderen Angreifern, die wiederum die gestiegenen technischen M\u00f6glichkeiten f\u00fcr sich nutzen k\u00f6nnen \u2013 trotz der Gegenma\u00dfnahmen. Es ist ein Wettr\u00fcsten.<\/p>\n

 <\/p>\n

Jedem muss klar sein, wie wichtig Daten sind \u2013 vor allem auch als Chef. Fatal ist in diesem Zusammenhang die immer st\u00e4rkere Verschr\u00e4nkung von Privatleben und Dienst, die sich auch auf die Technik und die Datensicherheit auswirkt. Auf dem privaten Handy kommuniziert man per WhatsApp mit Kollegen, auf dem Dienstrechner ruft man seine pers\u00f6nlichen E-Mails ab und vom heimischen PC aus hat man Zugriff auf das Firmennetzwerk. All dies erleichtert die Arbeit und die Kommunikation \u2013 aber auch die Machenschaften von Unbefugten.<\/p>\n

 <\/p>\n

IT, Datenschutz (DSGVO) und Datensicherheit geh\u00f6ren zusammen \u2013 und sie sind so wichtig, dass sie innerhalb eines Unternehmens hierarchisch ganz oben angesiedelt sein m\u00fcssen. Je nach Firmengr\u00f6\u00dfe sollte daf\u00fcr sogar der Chef \/ Gesch\u00e4ftsf\u00fchrer oder ein Vorstandsmitglied den Hut daf\u00fcr aufhaben \u2013 oder ein Verantwortlicher, der direkt dem CEO be-richtet. Idealerweise bekleidet er die Funktion eines Chief Information Security Officers (CISO).<\/p>\n

 <\/p>\n

Diese Notwendigkeit der Chefsache ergibt sich \u00fcbrigens allein schon aus der Daten-schutz-Grundverordnung, wie oben erw\u00e4hnt. Sie fordert diese Personalisierung zwar nicht direkt. Aber es ist der Chef pers\u00f6nlich, der bei einem Vorfall belangt wird \u2013 also sollte er auch ein starkes Interesse daran, dass alles korrekt ist. Die IT-Abteilung mit all ihren Facetten geh\u00f6rt daher in die Verantwortung der Gesch\u00e4ftsf\u00fchrung. Und sie muss auch gelebt werden und in der Kultur des Unternehmens verankert werden. Ein Chef, der sich nicht \u00fcberm\u00e4\u00dfig f\u00fcr IT-Dinge interessiert, muss sich stark daf\u00fcr erw\u00e4rmen. Der Bindig-Score f\u00fchrt dabei die wichtigsten Punkte ins Feld und kann als Leitfaden zu den bedeutsamsten Punkten dienen.<\/p>\n

Denn IT und Datensicherheit sind nicht unterst\u00fctzenden Aspekte wie eine Immobilie oder Strom, die \u201eirgendwie auch\u201c zur Firma geh\u00f6ren \u2013 sondern sie sind existenziell. Und zwar aus mehreren Gr\u00fcnden:<\/p>\n

\u2022 IT, die Digitalisierung und die digitale Transformation bestimmen immer mehr unser Leben und Wirtschaftsleben: Alle M\u00f6glichkeiten, die die Technik bietet f\u00fcr Dienst-leistungen und Produkte, m\u00fcssen daher ausgesch\u00f6pft und vorher nat\u00fcrlich erkannt werden. Im Kampf mit der Konkurrenz kann dies ein Wettbewerbsvorteil sein, oder zumindest ein Faktor, der eine Firma nichts ins Hintertreffen geraten l\u00e4sst.<\/p>\n

\u2022 Der zweite Punkt ist das Thema Datenschutz\/DSGVO. Die Vorschriften hier sind derma\u00dfen komplex, und die Strafen und Konsequenzen so harsch, dass von deren Einhaltung die Existenz des Unternehmens abh\u00e4ngen kann. Zudem sind durch die DSGVO so viele organisatorische, technische und finanzielle Entscheidungen n\u00f6tig geworden, dass sie nur vom Tisch eines Chefs\/eines Vorstands aus getroffen werden k\u00f6nnen.<\/p>\n

\u2022 Das Thema Datensicherheit wiederum \u2013 um das sich dieses Buch dreht \u2013 birgt ebenso viele Facetten und Aspekte, die die generelle Sicherheit und den Betrieb des Unternehmens bestimmen. Gehen wichtige Daten verloren oder geht die IT in die Knie \u2013 was heute fast \u00fcberall Arbeitsstillstand bedeutet \u2013 so ist der wirtschaftliche Schaden enorm, aber auch die Reputation einer Organisation gef\u00e4hrdet. Auch dies kann ein Unternehmen bis an den Rand des Abgrunds f\u00fchren, und dar\u00fcber hinaus. Es liegt also auf der Hand, dass in der obersten Etage ein gro\u00dfes Verst\u00e4ndnis f\u00fcr alle diese Punkte aufgebracht oder entsprechend erarbeitet werden muss. Diese Entwicklung muss vom Chef ausgehen und organisiert werden.<\/p>\n

\u2022 Er muss sich die geeigneten Leute heranziehen oder einstellen, die richtigen Fragen stellen, gemeinsam mit ihnen und\/oder externen Dienstleistern Pl\u00e4ne und Konzepte erstellen, um schlie\u00dflich die ad\u00e4quaten Entscheidungen zu treffen \u2013 die dann wiederum im gesamten Unternehmen kommuniziert werden m\u00fcssen. So kennt, versteht und lebt jeder auch die Datenschutz- und Datensicherheitsleitlinien. Alle Mitarbeiter m\u00fcssen vor allem in Hinblick f\u00fcr Datenschutz (wenn sie personenbezogene Daten verarbeiten) sensibilisiert werden, genauso wie f\u00fcr ihren Beitrag, f\u00fcr IT-Sicherheit zu sorgen und eben nicht unbedacht E-Mail-Anh\u00e4nge von Fremden \u00f6ffnen.<\/p>\n

\u2022 Zum Managen geh\u00f6ren neben dem Organisieren und Entscheiden nat\u00fcrlich auch die finanziellen Ressourcen. All die oben und in diesem Buch skizzierten Dinge kosten nat\u00fcrlich Geld. Sie geh\u00f6ren jedoch zu einem Unternehmen so fest dazu wie Mitarbeiter, R\u00e4umlichkeiten und Mobiliar. Insofern muss die Budgetierung in ausreichendem Ma\u00dfe erfolgen, da IT & Co. zu den tragenden S\u00e4ulen einer Firma geh\u00f6ren, die obendrein den Wettbewerbsvorteil sichern. Das Budget, und die dazugeh\u00f6rigen Anschaffungen und Ma\u00dfnahmen, m\u00fcssen jedoch einer Strategie folgen. Gerade Panik und Aktionismus verleiten zu nicht ausreichend aufeinander abgestimmten Insell\u00f6sungen, die meist nicht effektiv oder schlichtweg \u00fcberdimensioniert sind.<\/p>\n

\u2022 Wenn noch nicht vorhanden, muss das IT-Sicherheits-Know-how langfristig aufgebaut werden. Sie m\u00fcssen sich dazu gegebenenfalls einen IT Security-Manager heranziehen.<\/p>\n

\u2022 Zudem sollten sie IT-Sicherheits-Zertifizierungen durchf\u00fchren, etwa nach ISO 27001. Ich empfehle generell die Einf\u00fchrung eines Information Security Management System (ISMS), selbst wenn gar keine ISO-Zertifizierung besteht. Daneben sollten sie aktiv Sicherheitsaudits, Penetrationstests und Hacker-Simulation planen und durchf\u00fchren; nat\u00fcrlich nur, wenn es zur Gr\u00f6\u00dfe und Ausrichtung des Unternehmens passt.<\/p>\n

\u2022 Mit einem IT-Sicherheitskonzept priorisieren Sie die im Ernstfall umzusetzenden Ma\u00df-nahmen \u2013 und m\u00fcssen daraufhin die n\u00f6tigen Voraussetzungen f\u00fcr ein professionelles Reagieren schaffen. Dabei sollten Sie aber nicht in wahllosem Aktionismus versinken. Denn viele Unternehmen sind zwar inzwischen allgemein alarmiert und sorgen f\u00fcr die gew\u00fcnschten Budgets, Menschen und Material. Doch ersetzt dies noch keinen runden Plan. N\u00f6tig ist vielmehr eine durchdachte, beispielsweise dreiteilige Sicherheitsstrategie, die nach strategischer, taktischer und operationeller Sicherheit unterscheidet.<\/p>\n

\u2022 Dazu geh\u00f6rt unter anderem auch der Desaster und Recovery-Plan mit einer entsprechenden Vorbereitung f\u00fcr einen Datenrettungsfall. Hierzu sollten sie einen Rahmenvertrag mit einem spezialisierten Datenrettungsunternehmen abschlie\u00dfen. Dies beschleunigt eine etwaige Rettungsaktion enorm, zumal sie dann auch nicht unter Hast und Druck recherchieren, Preise vergleichen oder Ansprechpartner suchen m\u00fcssen.<\/p>\n

\u2022 Bei allem m\u00fcssen sie auch die Geb\u00e4udesicherheit immer mit einbeziehen und sich nicht nur auf die Ger\u00e4te und die Software konzentrieren. Denn viele Datenpannen und\u00a0 -verluste geschehen eben auch rein physisch, also durch Diebstahl der Ger\u00e4te oder durch Feuer- und Wassersch\u00e4den. Sie m\u00fcssen also f\u00fcr \u00e4u\u00dfere und innere Zutrittskontrollen sorgen, die Zutritte dokumentieren und Routinen daf\u00fcr schaffen, wenn es einen Alarm gibt. Dies ist jedoch ohnehin Teil eines IT-Sicherheitskonzepts.<\/p>\n

\u2022 Haben Sie verschiedene Standorte, wom\u00f6glich international, potenzieren sich die n\u00f6tigen Anstrengungen und der Abstimmungsaufwand. Naturgem\u00e4\u00df machen dezentrale Strukturen alles komplexer, auch wegen etwaiger unterschiedlicher Vorschriften und Gesetze. Eine transparente Kommunikation \u2013 ohnehin immer anzuraten \u2013 ist hier besonders wichtig. Dezentrale Strukturen k\u00f6nnen zwar auch zu mehr Sicherheit f\u00fchren (weil nicht alles an einer Stelle konzentriert wird), erh\u00f6hen jedoch auch die Gefahr von Einfallstoren f\u00fcr Angreifer. Durch die komplexere Vernetzung m\u00fcssen sie umso mehr ihre IT auf Sicherheitsmerkmale pr\u00fcfen. Hierzu geh\u00f6ren Mehr-Faktor-Authentifizierungen und eine strikte IT-Sicherheits-Policy, die \u00fcber zentrale Gruppenrichtlinien auch international umgesetzt werden muss. Voraussetzung ist hier besonders ein hierarchisch gesehen hoher Einfluss der IT \u2013 idealerweise auf CEO-Ebene.<\/p>\n

\u2022 Sie sollten eine systematische Verwaltung aller mobilen Ger\u00e4te einrichten, ein sogenanntes Mobile Device Management. Schlie\u00dflich haben heutzutage viele Mitarbeiter ein Notebook, ein Smartphone und vielleicht noch ein spezielles Firmenger\u00e4t, sagen wir mal ein Messger\u00e4t, einen Barcodescanner oder eines f\u00fcr den Au\u00dfendienst, der damit seine Arbeitsleistungen nachweist. All diese Ger\u00e4te sind einerseits \u201enormale Einfallstore\u201c, andererseits ist hier die Gefahr von Wildwuchs und Eigenleben besonders gro\u00df, zumal die Gegenst\u00e4nde naturgem\u00e4\u00df h\u00e4ufig mit nach Hause und m\u00f6glicherweise dort auch verwendet werden. Daher m\u00fcssen all diese Ger\u00e4tschaften zentral verwaltet und registriert sein. Allein das ist zwar kein besonderer oder zus\u00e4tzlicher Schutz. Doch kann man so im Ernstfall besser nachvollziehen, von wo ein Angriff kam.<\/p>\n

 <\/p>\n

Daher sind strikte Regelungen notwendig, die Mitarbeitern zeigen, was sie d\u00fcrfen und was nicht. So kann es etwa vorkommen und erlaubt sein, dass sich ein Mitarbeiter auf einer Dienstreise ein neues Smartphone zulegt, weil das alte gerade vollst\u00e4ndig kaputtgegangen ist. Dieser Tausch muss aber angezeigt werden. So kann beispielsweise sp\u00e4ter nachvollzogen werden, dass \u00fcber das l\u00e4ngst ausrangierte Handy bereits vor einem Jahr eine Attacke erfolgt war \u2013 die erst jetzt zum Tragen kommt. F\u00fcr die Fehlersuche, die aktive IT-basierte Sicherheitsanalyse von Anomalien oder das reaktive Ausschalten von Angriffen ist daher ein strukturiertes Mobile Device Management unerl\u00e4sslich. Auf diese Weise ist ein vollst\u00e4ndiges Register vorhanden und vor allem auch das Bewusstsein f\u00fcr die Historie aller Ger\u00e4te.<\/p>\n

 <\/p>\n

\"\"<\/p>\n

 <\/p>\n

Jan Bindig „Das IT-Security Mindset – Der Mitelstand auf dem digitalen Pr\u00fcfstand.“ FinanzBuch Verlag, 19,99 Euro, 160 Seiten, https:\/\/www.it-security-mindset.de\/<\/a><\/strong><\/p>\n

 <\/p>\n

Insgesamt sollten Sie bei allem auch die Erwartungshaltung einnehmen, dass Sie jederzeit Opfer eines Hackerangriffs werden k\u00f6nnen (was durchaus realistisch ist). Diese Alarmbereitschaft kann vor allem weniger technikaffinen Chefs helfen, sich besser auf Bedrohungsszenarien einzustellen und sich f\u00fcr das Thema zu sensibilisieren. Rechtzeitiges Erkennen von Angriffen, das Erstellen von Notfallpl\u00e4nen und -ma\u00dfnahmen sowie das Identifizieren von Schwachstellen sollten dabei im Mittelpunkt stehen. Sieht man sich letztere genau an \u2013 wie sie das Analystenhaus techconsult in Studie Security Bilanz Deutschland ver\u00f6ffentlicht hat \u2013 und macht daraus Aufgabenstellungen, so sollten Sie sich weitere folgende Punkte vornehmen:<\/p>\n

\u2022 Haben Sie anspruchsvolle L\u00f6sungen zur Erkennung von Angriffen in Ihrer Organisationen installiert, so m\u00fcssen Sie diese auch richtig umsetzen
\n\u2022 Setzen Sie Mehrfaktor-Authentifizierungsverfahren mit Smart-Cards, USB-Tokens oder sogar eine biometrische Authentifizierung ein
\n\u2022 IT-Sicherheitsl\u00f6sungen funktionieren nur so gut, wie auch Ihre Mitarbeiter dar\u00fcber informiert sind und diese befolgen<\/p>\n

Mehr Sicherheit muss effizient und praktikabel gleichzeitig sein. Schlie\u00dflich muss Ihre Organisation arbeitsf\u00e4hig bleiben \u2013 und die Mitarbeiter m\u00fcssen die Vorgaben auch akzeptieren. All dies ist eine organisatorische Herausforderung, die zwar zentral angeleitet, aber dezentral erledigt werden muss. In den allermeisten F\u00e4llen wei\u00df der Firmenchef jedoch nicht, was seine IT genau macht. Der Chef denkt, es w\u00fcrde schon alles richtig laufen \u2013 technisch, rechtlich, organisatorisch. Und die IT denkt, dass der Chef denkt, schon zu wissen, wie er die Leitplanken aufstellt. Mit anderen Worten: Jeder arbeitet vor sich hin \u2013 bis etwas passiert. Insofern m\u00fcssen Chef und IT dringender denn je zusammenkommen, ihr Wissen, ihre Erwartungen und Vorstellungen abgleichen \u2013 und Mechanismen schaffen, sich stets ein Update zu geben. Die Knackpunkte und Schwachstellen m\u00fcssen gefunden werden, man muss Pl\u00e4ne machen \u2013 und vor allem die gleiche Sprache sprechen.<\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Buchauszug Jan Bindig: „Das IT-Security Mindset – Der Mittelstand auf dem digitalen Pr\u00fcfstand.“     Strategisch managen \u2013 Datensicherheit ist Chefsache Die weltweite digitale Vernetzung unserer Wirtschaft hat dazu gef\u00fchrt, dass immer mehr Daten \u00fcberhaupt existieren und verkn\u00fcpft werden. Dies … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":19,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[8511,1890,4931,8517],"class_list":["post-671443","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-das-it-security-mindset-der-mittelstand-auf-dem-digitalen-pruefstand","tag-buchauszug","tag-finanzbuch-verlag","tag-jan-bindig"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/671443","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/comments?post=671443"}],"version-history":[{"count":2,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/671443\/revisions"}],"predecessor-version":[{"id":671517,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/671443\/revisions\/671517"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/media?parent=671443"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/categories?post=671443"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/tags?post=671443"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}