Übersicht zu Informationssicherheit
Einführung | Cyber-Security | Normen und Vorschriften | Weitere Informationen
Einführung
Die Aufrüstung in sichere Informationstechnik in Unternehmen gewinnt vor allem für kleine und mittlere Unternehmen (KMU) an Relevanz, da diese einem erhöhten Risiko durch Cyber-Angriffen ausgesetzt sind. KMU’s verfügen oft nicht über ein eigenes IT-Team und haben nur begrenzt Erfahrung und Kenntnis über IT-Sicherheit. Die Sicherheit kann schon mit einfachen organsiatorischen Mitteln erheblich verbessert werden:
- IT-Sicherheit als Unternehmensphilosophie
- Erarbeitung einer Sicherheitsleitlinie
- Regelmäßige Mitarbeiter-Schulungen und Geheimhaltungspflicht
- Erstellung eines Notfallplans
- E-Mail-Richtlinien
- Verhaltenscodex für Soziale Medien
- Umgang mit Passwörtern
- Nutzung mobiler Endgeräte
- Nutzung von externen Speichermedien (USB-Sticks, SD-Karten, HDD-Festplatten) und Cloud-Diensten
- Sicherung von Geschäftsräumen und Unterlagen
- Regelmäßige Software-Updates
- Regelmäßige Datensicherungen
Cyber-Security für kleine und mittlere Unternehmen (KMU)
Viele Unternehmen des deutschen Mittelstandes haben sich eine Position als Weltmarktführer erarbeitet – und werden damit zum lohnenden Ziel für Spione und Hacker. Moderne Produktionsanlagen haben heute meist eine Verbindung zum Internet, zum Beispiel für Fernwartung oder Prozessoptimierung. Das macht sie angreifbar. Aber auch auf organisatorischer Ebene gibt es Sicherheitslücken, etwa wenn Mitarbeiter auf Freigaben, Verzeichnisse und Dateien zugreifen können, die sie für ihre Arbeit gar nicht benötigen.
Wenn Daten gestohlen oder Produktionsanlagen sabotiert werden, könnte ein Angriff einen hohen Kostenaufwand für die Unternehmen bedeuten. Mangelnde Cyber-Security kostet rund 1,6 Prozent des Bruttoinlandsproduktes.
Die Richtlinie VdS 10000 „Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ bietet Hilfe zum Selbstschutz für ein vollständiges, pragmatisches Informationssicherheits-Managementsystem. Die aktuell gültige Richtlinie VdS 10000 ist im Dezember 2018 in Kraft getreten und ersetzt die Richtlinie VdS 3473 vom Juli 2015.
Normen und Vorschriften
Für die Informationssicherheit in Unternehmen gelten eine Reihe von Normen und Vorschriften:
- BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise
- BSI-Standard 100-3 Risikoanalyse auf der Basis von IT-Grundschutz
- BSI-Standard 100-4 Notfallmanagement
- DIN EN 50173-1:2018-10 Informationstechnik – Anwendungsneutrale Kommunikationskabelanlagen – Teil 1: Allgemeine Anforderungen
- DIN EN 50173-2:2018-10 Informationstechnik – Anwendungsneutrale Kommunikationskabelanlagen – Teil 2: Bürobereiche
- DIN EN 50173-3:2018-10 Informationstechnik – Anwendungsneutrale Kommunikationskabelanlagen – Teil 3: Industriell genutzte Bereiche
- DIN EN 50173-4:2018-10 Informationstechnik – Anwendungsneutrale Kommunikationskabelanlagen – Teil 4: Wohnungen
- DIN EN 50173-5:2018-10 Informationstechnik – Anwendungsneutrale Kommunikationskabelanlagen – Teil 5: Rechenzentrumsbereiche
- DIN EN 50173-6:2018-10 Informationstechnik – Anwendungsneutrale Kommunikationskabelanlagen – Teil 6: Verteilte Gebäudedienste
- DIN EN 50174-1:2020-10 Informationstechnik – Installation von Kommunikationsverkabelung – Teil 1: Installationsspezifikation und Qualitätssicherung
- DIN EN 50174-2:2018-10 Informationstechnik – Installation von Kommunikationsverkabelung – Teil 2: Installationsplanung und Installationspraktiken in Gebäuden
- DIN EN 50174-3:2017-11 Informationstechnik – Installation von Kommunikationsverkabelung – Teil 3: Installationsplanung und Installationspraktiken im Freien
- DIN EN ISO 9001:2015-11 Qualitätsmanagementsysteme – Anforderungen
- DIN EN ISO 22301:2020-06 Sicherheit und Resilienz – Business Continuity Management System – Anforderungen
- DIN ISO 31000:2018-10 Risikomanagement – Leitlinien
- ISO/IEC 27005:2018-07 Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Risikomanagement
- VdS 10000:2018-12 Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), Anforderungen
- VdS 10010:2022-07 VdS-Richtlinien zur Umsetzung der DSGVO, Anforderungen
- VdS 10020:2020-04 Cyber Security für kleine und mittlere Unternehmen (KMU), Leitfaden zur Interpretation und Umsetzung der VdS 10000 für Industrielle Automatisierungssysteme
Weiterführende Informationen
- Neue BSI-Broschüre zur Cyber-Sicherheit für KMU (Planerbrief 38 – November-Dezember 2022)
- IT-Grundschutz (BSI)
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- BSI für Bürger