IT-Grundschutz: Modulare Sicherheit für Unternehmen

Sep. 04, 2021

Jedes Unternehmen, das ein IT-Netzwerk betreibt, benötigt ein Konzept für den IT-Grundschutz.

Da streng genommen jeder über einen Router mit dem Internet verbundene PC bereits ein solches Netzwerk bildet, lässt sich die Formel verallgemeinernd verkürzen: IT-Grundschutz ist für jedes Unternehmen wichtig. Natürlich hängen die notwendigen Maßnahmen von der Komplexität der eigenen IT-Infrastruktur ab. Im einfachsten Anwendungsfall können das aktuell gehaltene Betriebssystem in Verbindung mit dem regelmäßigen Backup bereits die Anforderungen für den IT-Schutz erfüllen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hierzu in seinem aktuellen IT-Grundschutz-Kompendium wertvolle Hinweise. Das über 800 Seiten starke Werk ist modular aufgebaut. So kann sich jeder Verantwortliche die für seinen Bereich passenden IT-Sicherheitsmaßnahmen heraussuchen. Tatsächlich deckt es nahezu alle denkbaren Gefahren für die Datensicherheit von Unternehmen ab. Zudem verweist es auf die detaillierten IT-Grundschutzkataloge des BSI.

IT-Grundschutz für Unternehmen: Gesetzliche Pflichten

Deutschland und die Europäische Union stehen eher nicht im Verdacht, Unternehmern zu wenig Vorschriften und Regelungen aufzuerlegen. Entsprechend existieren gleich mehrere Normen, aus denen sich Verpflichtungen für einen IT-Schutz und Haftungsansprüche ergeben.

  • DSGVO: Die Datenschutzgrundverordnung regelt vorrangig den Umgang mit personenbezogenen Daten. Die bekannteste Auswirkung dürfte wohl das notwendige ausdrückliche Einverständnis von Betroffenen zur Speicherung ihrer Daten sein. Insbesondere aus Artikel 25 DSGVO ergeben sich auch Verpflichtungen für Unternehmen, aktiv für den Schutz der verarbeiteten personenbezogenen Daten zu sorgen.

  • GmbHG: Aus §43 des Gesetzes betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) besteht die Möglichkeit einer persönlichen Haftung des Geschäftsführers, sofern ihm obliegende Pflichten verletzt wurden. Zumindest bei fahrlässig verursachten Gegebenheiten, die dem IT-Grundschutz für Unternehmen zuwider laufen, könnten sich also Ansprüche herleiten.

  • Aktiengesetz: Gemäß §93I AktG verpflichten Vorstandsmitglieder von Aktiengesellschaften zu einer besonderen Sorgfaltspflicht. Hierunter fällt auch die Absicherung der IT-Infrastruktur.

  • Produkthaftung: Die Allgemeine Produkthaftung gilt natürlich ebenso für Hersteller von Hard- und Software. Sowohl aus dem Bürgerlichen Gesetzbuch (BGB) als auch aus dem Produkthaftungsgesetz (ProdHaftG) können Schadensersatzansprüche geltend gemacht werden.

Der starke Schutz für personenbezogene Daten hat in der heutigen Zeit unzweifelhaft seine Berechtigung. Jeder IT-Sicherheitsvorfall mit einem Abfluss von Daten sorgt potentiell für eine unkontrollierbare Beeinträchtigung der Interessen Betroffener. Niemand wünscht sich wohl, dass seine persönlichen Daten oder Firmen-Internas in Hackerforen kursieren. Aber auch das Ziel der Verfügbarkeit wichtiger Daten, um Geschäftsabläufe nicht zu gefährden, sollte beim IT-Grundschutz für Unternehmen nicht aus den Augen verloren werden.

IT-Sicherheitsvorfall durch elementare Gefährdungen

Das Grundschutz-Kompendium setzt folgerichtig auf sehr niedriger Ebene an. Betrachtet werden dabei mögliche Elementarschäden wie zum Beispiel:

  • Wasserschäden, Feuer und Naturkatastrophen
  • Ausfall von Strom-, Kommunikations- und Versorgungsnetzen
  • Diebstahl, unabsichtlicher Verlust
  • Spionage, Sabotage und Hackerangriffe unterschiedlicher Art
  • Unberechtigte Zugriffe eigener Mitarbeiter
  • Fehlfunktionen von Hard- und Software

Hierbei geht es darum, eine Sensibilisierung für unterschiedlichste Gefährdungen zu erreichen. So ist ein räumlich nicht getrennt gelagertes Backup etwa bei einem Feuer oder Wasserschaden möglicherweise nutzlos. Aufgrund der verschiedenartigen Szenarien dürfte insbesondere klar werden, dass in der Regel ein Maßnahmenpaket notwendig ist, um einen umfassenden IT-Grundschutz für Unternehmen zu bilden und Vorkehrungen für jeden IT-Sicherheitsvorfall zu treffen.

IT-Sicherheitsmaßnahmen: Die Prozess-Bausteine

Dieser Abschnitt des Grundschutz-Kompendiums widmet sich der organisatorischen Optimierung der IT-Sicherheitsmaßnahmen.

  • ISMS - das Informations-Sicherheitsmanagement: Wesentlich hierbei ist, dass in Unternehmen bewusst ein Konzept für den IT-Schutz entworfen werden sollte. Dabei ist ausdrücklich ein geeigneter Sicherheitsbeauftragter zu benennen und mit den notwendigen Rechten auszustatten werden. Dieser sollte möglichst der Geschäftsleitung zugeordnet werden. Die Ziele und IT-Sicherheitsmaßnahmen sind möglichst schriftlich zu fixieren. Elementar ist zudem eine regelmäßige Überprüfung des Konzepts für den IT-Schutz.

  • Organisation und Personal: Sehr häufig sind Mitarbeiter für einen IT-Sicherheitsvorfall verantwortlich. Dabei können unabsichtliche Fehlbedienungen ursächlich sein. Gerade bei Cyber-Angriffen versuchen Kriminelle inzwischen, mittels des sogenannten "Social Hacking" Mitarbeiter unter Druck zu setzen oder in die Irre zu führen. Ziel ist dabei, dass Menschen absichtlich IT-Sicherheitsmaßnahmen unterlaufen, im guten Glauben, dass dies etwa aufgrund einer Notsituation nötig sei. Entsprechend empfiehlt das BSI unter anderem, Mitarbeiter zu schulen und zu sensibilisieren. Zudem sind schriftlich fixierte Arbeitsanweisungen und Einarbeitungskonzepte sinnvoll. Aber auch der seltenere Fall von absichtlichem Fehlverhalten eigener Mitarbeiter sollte beim Thema IT-Grundschutz für Unternehmen bedacht werden. Abhilfe können Sicherheitsüberprüfungen im Vorfeld und regelmäßige Kontrollen schaffen. Zudem ist ein Berechtigungsmanagement für den Zugriff auf sensible Daten wichtig. Generell sollte der IT-Schutz zur Compliance jedes Unternehmens gehören.

  • Konzepte und Vorgehensweisen: In diesem Baustein wird die Umsetzung bestimmter IT-Sicherheitsmaßnahmen beschrieben. So empfiehlt das BSI eine Verschlüsselung von Kommunikationsverbindungen. Zudem enthält er praktische Tipps für das Schlüssel und Zertifikatsmanagement. Etwa, dass für jeden Einsatzzweck ein separater Schlüssel generiert werden sollte. Weiter gehört der Datenschutz zum IT-Grundschutz für Unternehmen. Wesentlich ist ebenso ein Datensicherungskonzept. Dieses sollte Art und Umfang von Backups beschreiben und sich mit Speichermedien und der Aufbewahrung befassen. Weitere Inhalte sind unter anderem das sichere Löschen von Datenträgern und die Informationssicherheit auf Auslandsreisen.

  • Betrieb: Der Abschnitt enthält Anleitungen für den sicheren IT-Betrieb. Er befasst sich etwa mit der Tätigkeit des IT-Administrators, der in der Regel sehr weitgehende Recht im internen Netzwerk hat. Daher ist beispielsweise eine Vertreterregelung unerlässlich. Es sollten aber auch Vorkehrungen für den Fall getroffen werden, dass ein Administrator das Unternehmen verlässt. Dann muss es möglich sein, ihm Zugriffsmöglichkeiten auf das Netzwerk sicher zu entziehen. Insbesondere ist eine saubere Dokumentation von Tätigkeiten sinnvoll. Eines der wichtigsten Elemente ist die regelmäßige Aktualisierung von Systemen. Hier ist etwa das zeitnahe Einspielen, eine Überprüfung von Paketen und eine Dokumentation empfehlenswert. Weitere beschriebene IT-Sicherheitsmaßnahmen sind der Schutz vor Schadprogrammen, eine Protokollierung im Netzwerk und Softwaretests. Für sicherheitsrelevante Anwendungen empfiehlt das BSI regelmäßige Penetration-Tests. Ebenso enthalten sind Hinweise für die Einrichtung von Homeoffice-Arbeitsplätzen, generellen Fernzugriffsmöglichkeiten auf das Firmen-Netzwerk sowie das Outsourcing von Dienstleistungen.

  • Detektion und Reaktion: Wesentlich für die Erkennung von Sicherheitsvorfällen ist die Qualifizierung von Mitarbeitern des IT-Bereichs, aber auch von Anwendern. Wichtig nach einem IT-Sicherheitsvorfall sind festgeschriebene Meldewege und Notfallmaßnahmen, etwa die Trennung von Netzwerkverbindungen. Natürlich sollten technische Warnsysteme zur Intrusion-Detection für den Schutz des Netzwerks eingesetzt werden. Ebenso gehört zu einem Konzept aber auch die Planung einer Wiederherstellung des Netzwerks nach einem IT-Sicherheitsvorfall, sowie nach Möglichkeit die Feststellung von Beweisen eines Cyber-Angriffs. Das BSI empfiehlt regelmäßige Audits und Revisionen für diesen Zweig im IT-Grundschutz für Unternehmen.

IT-Grundschutz für Unternehmen: Die System-Bausteine

Innerhalb der System-Bausteine geben die Autoren des Kompendiums sehr konkrete Anleitungen für den IT-Schutz durch Absicherung bestimmter Anwendungen und Betriebssysteme.

  • Anwendungen: In diesem Baustein werden etwa Maßnahmen zur Absicherung von Office-Software gegeben. Hierzu zählt die Deaktivierung von aktiven Inhalten zum Schutz vor Makroviren. Ebenso aber auch die Empfehlung, wichtige Daten nur verschlüsselt zu speichern. Weitere behandelte Themen sind die Absicherung von Webbrowsern und mobiler Apps. Auch für Server-Dienste enthält der Abschnitt ausführliche Hinweise. Dies betrifft beispielsweise Verzeichnisdienste, Web- und Fileserver. Enthalten sind zudem Anleitungen zur Absicherung von Datenbanken und Maildiensten wie Microsoft Outlook und Exchange.

  • IT-Systeme: Der Abschnitt befasst sich ausführlich mit unterschiedlichen Rechnersystemen vom Server über Desktop-PCs bis hin zu mobilen Endgeräten. Die Hinweise betreffen Möglichkeiten der Protokollierung auf unterschiedlichen Systemen. Ebenso aber auch empfehlenswerte Dienste und Einstellungen wie die zur automatischen Aktualisierung von Systemen. Dabei weisen die Autoren auf Gefahren bei Übernahme von voreingestellten Funktionen hin. Hierzu zählt eine ungewollte Synchronisierung von Nutzerdaten mit Cloud-Speicher und die mögliche unbeabsichtigte Ablage von Bitlocker-Keys im Online-Nutzerkonto von Microsoft.

  • Industrielle IT: Informationstechnik in Produktionsanlagen hat für Unternehmen in der Regel eine Schlüsselfunktion. So kann der gesamte Produktionsprozess bei einem IT-Sicherheitsvorfall ins Stocken geraten. Das BSI gibt Empfehlungen für IT-Sicherheitsmaßnahmen zur Abgrenzung von der allgemeinen IT, etwa um bei einem Cyber-Angriff diesen sensiblen Bereich besser schützen zu können. Darüber hinaus werden Tipps zur Härtung von Systemen durch eine Vielzahl an Maßnahmen gegeben. Dazu zählen das Abschalten überflüssiger Dienste und die Verwendung sicherer Protokolle.

  • Netze und Kommunikation: Datenaustausch und Kommunikation sind für ein Unternehmen von höchster Wichtigkeit und müssen beim IT-Grundschutz für Unternehmen besonders beachtet werden. Denn beide Bereiche bergen die größten Risiken für den Einfall von schädigender Software oder einen unautorisierten Zugriff. Hierfür empfiehlt das BSI eine saubere Dokumentation des Firmen-Netzwerks. Das Trennen von Netzen in verschiedene Bereiche kann den IT-Schutz erhöhen. Zugänge von außen müssen besonders abgesichert werden, etwa durch Firewalls oder VPN-Software. Ebenso weist das BSI auf die zentrale Bedeutung von Routern und Switches hin. So sollten Ports vor unberechtigtem Zugriff geschützt und die Geräte in die Update-Strategie des Unternehmens einbezogen werden. Gleiches gilt für herkömmliche Telekommunikations-Anlagen (TK).

  • Infrastruktur: IT-Grundschutz für Unternehmen bedingt unter Umständen die Anpassung räumlicher Gegebenheiten. So sollten Serverräume speziell abgesichert werden, beispielsweise mit einem Zugangsschutz. Zudem empfiehlt es sich Vorkehrungen wie Brandschutzmaßnahmen einzuplanen. Ebenso einen Schutz vor Überspannungen durch Blitzeinschlag und eine unterbrechungsfreie Stromversorgung (USV) für besonders sensible Geräte. Aber auch an normalen Arbeitsplätzen lässt sich möglicherweise noch einiges optimierten. Dies kann Verkabelung betreffen, aber auch den Diebstahlschutz von Geräten. Enthalten sind auch IT-Sicherheitsmaßnahmen für Homeoffice und mobile Arbeitsplätze.

Der IT-Schutz als Daueraufgabe für Unternehmen

IT-Grundschutz für Unternehmen ist eine Notwendigkeit. Nicht nur gesetzliche Vorgaben sollten Antrieb sein, Vorkehrungen für einen IT-Sicherheitsvorfall zu treffen. Die Funktions- und Handlungsfähigkeit der meisten Unternehmen hängt unmittelbar mit einer intakten Informationstechnik zusammen. Entsprechende Konzepte sollten daher regelmäßig überarbeitet und hinterfragt werden. Helfen können dabei auch externe Dienstleister, die ein Unternehmensnetzwerk mit einem Penetration-Test auf Herz und Nieren testen und so den IT-Schutz erhöhen.

Blog

vor einem Monat

Wirtschaftliche Betrachtung eines SCR-Systems in einem Erdgaskraftwerk unter Berücksichtigung aktueller Standards, Förderungen und CO2-Zertifikate

Wirtschaftliche Vorteile und Umweltimpact: SCR-Systeme in Erdgaskraftwerken im Einklang mit aktuellen Emissionsstandards und CO2-Zertifikaten

vor einem Monat

Kostenvergleich: CAPEX, OPEX und ROI für neue Umweltstandards im Kohlebergbau in Deutschland vs. anderen Ländern (bei gleichen Standards und Berücksichtigung aktueller Förderungen)

Optimierung des Kohleabbaus für die Zukunft: Kosten, Umweltstandards und staatliche Förderungen im Vergleich zwischen Deutschland und anderen Ländern

vor einem Monat

Wie können Kohlekraftwerke sauberer werden? Technologien, Kosten und Rentabilität einer grüneren Zukunft

Kohlekraft neu gedacht: Saubere Energie durch moderne Technologien und strategische Investitionen