Aktuelle Situation in vielen kleinen und mittleren Unternehmen (KMU)
Unternehmen aller Größen sind durch Cyberangriffe bedroht, deren Häufigkeit kontinuierlich zunimmt. Angriffsvektoren können sein: kompromittierte E-Mails, Telefonanrufe zur Vorbereitung von Angriffen, Innentäter mit Zugriff auf kritische Informationen oder Komponenten, Systeme, die mit dem Internet verbunden sind und nicht über einen ausreichenden Schutz verfügen.
Als Folge eines Angriffs kann eine Kompromittierung der wichtigen Systeme und Dateien erfolgen, ohne die ein Weiterbetrieb nur schwer möglich ist. Die Situation in KMU ist dadurch gekennzeichnet, dass Security-Spezialist*innen und das entsprechende Knowhow in vielen Fällen fehlen und sich darüber hinaus die Bedrohungslage stetig verschärft.
Voraussetzung eines Informationssicherheitsprozesses
Um als kleines oder mittleres Unternehmen gegen mögliche Cyberangriffe gewappnet zu sein, bietet es sich an, das Thema Informationssicherheit als kontinuierlichen Prozess im Unternehmen einzuführen und zu verfolgen. Dies ermöglicht es einem Unternehmen, sich bestmöglich auf einen Cyberangriff vorzubereiten. Um einen Informationssicherheitsprozess im Unternehmen etablieren zu können ist es eine zwingende Voraussetzung, dass das Thema durch die Unternehmensleitung erkannt und aktiv unterstützt wird, denn nur unter diesen Voraussetzungen kann das Vorhaben gelingen.
Die ersten Schritte
Nach dem Kommitment der Geschäftsleitung sind im nächsten Schritt verantwortliche Personen zu benennen, die den Informationssicherheitsprozess im Unternehmen Schritt für Schritt vorantreiben. Hierzu wird zunächst eine Informationssicherheitsstrategie entwickelt. In dieser wird das anzustrebende Informationssicherheitsziel ermittelt und schriftlich festgehalten. Anschließend wird mit Maßnahmen begonnen, um dieses Ziel Schritt für Schritt zu erreichen. Dazu gehört beispielsweise das Erstellen von Richtlinien, in denen festgehalten wird, wie eine Datensicherung durchzuführen ist und wie bei einem Verdacht auf sogenanntes Social Engineering umzugehen ist. Dabei handelt es sich um die Manipulation von Mitarbeitenden durch E-Mails, Anrufe oder persönliche Gespräche, in denen die angegriffene Person zu Tätigkeiten gebracht wird, die sie unter normalen Umständen nicht durchführen würde, wie zum Beispiel das Öffnen einer kompromittierten Datei.
Weiteres Vorgehen
Nach der Einführung der ersten Schritte ist es wichtig, dass diese auch aktiv „gelebt“ werden. Das bedeutet, dass alle Mitarbeitenden, die für sie ermittelten Richtlinien aktiv unterstützen und bei Auffälligkeiten die verantwortlichen Personen kontaktieren und um Unterstützung bitten. So wird gewährleistet, dass einfache Angriffe im Unternehmen keinen Schaden anrichten können. Zusätzlich ist es wichtig, weitere Prozesse im Unternehmen nachhaltig zu etablieren. Hierzu gehören zum Beispiel die Schulung von Mitarbeitenden, die Einführung eines Risikomanagements, die Erfassung kritischer Assets sowie die kontinuierliche Überprüfung der eingeführten Prozesse.
Unterstützung durch das Mittelstand-Digital Zentrum Hannover
Sie arbeiten in einem kleinen oder mittleren Unternehmen, konnten Ihre Geschäftsleitung überzeugen einen Informationssicherheitsprozess im Unternehmen einzuführen oder sind selbst in der Geschäftsführung tätig und haben die Wichtigkeit des Themas erkannt? In diesen Fällen bietet es sich an, die kostenfreie Schulung des Mittelstand-Digital Zentrums Hannover zur Einführung eines Informationssicherheitsprozesses im Unternehmen durchzuführen. Anmelden können Sie sich hier.
