Datenbanken, CRM- und ERP-Systeme, Virtualisierung - auch der Mittelstand ist heute auf IT-Höchstleistungen angewiesen. Geschäftskritische Produktiv-Systeme werden dabei zentral im Rechenzentrum zusammengefasst. Dieses Herzstück der Mittelstands-IT muss bestens abgesichert sein. Ein Überblick zeigt auf, welche Schritte hierfür nötig sind.
Ein Problemfeld nach wie vor in vielen Unternehmen ist das Thema Backup und Recovery: Laut einer aktuellen Studie benötigt europaweit mehr als die Hälfte der KMU nach einem Systemausfall einen Tag bis eine Woche, um die Daten wieder herzustellen.
Schritt 1: DatensicherungDie richtige Backup-Strategie ist so wichtig wie konstante Stromzufuhr. Stellen Sie einen Plan mit Backup-Anforderungen auf. Welche Systeme sind wie wichtig für Ihr Unternehmen, und welche Sicherungs-Intervalle sind nötig? Falls möglich, sollten die Backups verschlüsselt angelegt
werden. Zur Datensicherungs-Strategie gehören auch regelmäßige Tests, ob alle Backups erfolgreich restauriert werden können.
Schritt 2: IT-Sicherheitsbeauftragten festlegenFür wichtige Unternehmensbereiche gibt es feste Ansprechpartner. Das gilt auch für IT-Sicherheit. Legen Sie pro Aufgabenfeld einen Verantwortlichen plus Stellvertreter fest, etwa für Datenschutz, Sicherheit und Virenschutz. Wichtig auch: Definieren Sie genau, welche Aufgaben damit verbunden sind.
Schritt 3: Physikalische SicherheitAuch perfekt konfigurierte Server sind wertlos, wenn sie von Feuer vernichtet oder von Dieben weggetragen werden. Zur physikalischen Sicherheit gehören abgesicherter Zutritt, Brandschutz, Notstromversorgung, Klimatisierung und redundante Komponenten (Netzanbindung, Serversysteme, Hardware-Komponenten).
Schritt 4: Schutz vor SchadsoftwareDie beste Vorgehensweise ist hier ein mehrstufiger Schutz mit zentraler Verwaltung. Wichtig: Halten Sie diesen Schutz immer auf dem aktuellen Stand. Neben den Servern müssen aber auch die Clients abgesichert werden, die auf das Rechenzentrum zugreifen.
Schritt 5. SicherheitsrichtlinienOhne genaue Richtlinien wird die Sicherheitsstrategie nicht funktionieren. Wichtig ist eine Datenklassifikation mit angepassten Zugriffsrechten der Mitarbeiter. Spezielle Szenarien erfordern spezielle Richtlinien. So ist es ein großer Unterschied, ob Mitarbeiter lokal auf die Server zugreifen oder vom Home-Office aus.
Schritt 6. Netz-TrennungKritische Punkte in jedem Netzwerk sind Übergänge zu anderen Netzen. Das kann das Internet ebenso sein wie eine Verbindung mit Kunden- oder Lieferanten-Netzen. Hier sollten Sie Firewalls einsetzen. Besondere Beachtung sollten Sie Servern schenken, die auch von außen erreichbar
sein müssen, etwa durch mobile Mitarbeiter. Ein Intrusion-Detection-System ergänzt eine klassische Firewall perfekt. Einen Schritt weiter gehen Intrusion-Prevention-Systeme, die im Falle eines Angriffs sogar aktiv eingreifen und einen Datenstrom unterbrechen können.
Schritt 7. Updates und PatchesUpdates gehören zum kleinen ABC der IT-Sicherheit und sollten regelmäßig erfolgen. Pflicht ist eine Automatisierung für den Rollout von neuer Software, für den Richtlinien festgelegt werden sollten.
Schritt 8. DokumentationWelche Server sind aktuell in Betrieb, welchen Zweck haben sie, welche Hardware ist verbaut, und wie sieht die genutzte Software aus? Triviale Fragen bei einer Hand voll Maschinen, bei zehn oder mehr Servern aber spart eine aktuelle Dokumentation Zeit in Notfällen. Neben der
Infrastruktur und der genutzten Hardware gehören auch Service-Kontakte in die Doku.