Die Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken kann durch ein aktives IT-Sicherheitsmanagement minimiert werden. Grundlage des IT-Grundschutzes ist, im ersten Schritt pauschale Gefährdungen zu prüfen (Standard) und für besondere Risiken entsprechend detailierte Analysen durchzuführen. Harald Pultar, Datenschutzexperte und Geschäftsführer der EDV-Beratung PULTAR GmbH aus Mainz, beschreibt die Schutzbedarfskategorien, welche die zu treffenden personellen, technischen und organisatorischen Sicherheitsmaßnahmen aufzeigen.

Als IT-Grundschutz werden Standardsicherheitsmaßnahmen für IT-Systeme bezeichnet. Um zu wissen, welche Maßnahmen in Unternehmen getroffen werden müssen, bedarf es zunächst der Feststellung des Schutzbedarfs. Pultar empfiehlt die Konfrontation mit folgenden Fragenstellungen: „Wie wichtig sind meine Kundendaten? Wie lange kann ich problemlos arbeiten, wenn mein Computer ausfällt, die Festplatte nicht mehr lesbar oder mein Internetzugang nicht nutzbar ist? Welche Daten innerhalb des Unternehmens sind so bedeutend, dass ihr Verlust oder deren Offenbarung einen Verstoß gegen ein Gesetz, einen Vertrag oder eine Vorschrift bedeutet?”

In einer Strukturanalyse muss festgestellt werden, welche Systeme und Daten vorhanden sind, wie sie verteilt, wo gespeichert und wie und wo sie gesichert sind. In der Schutzbedarfsfeststellung wird festgelegt, wie hoch der Schutzbedarf ist und wer zukünftig für welche Aufgaben der IT-Sicherheit die Zuständigkeit übernimmt. Zudem soll definiert werden, auf welchen Systemen sensible Daten verarbeitet und gespeichert werden.

Pultar rät den Unternehmen, das angestrebte Sicherheitsniveau mit Zielen und Strategien in Sicherheitsrichtlinien zu verankern. Das Sicherheitskonzept soll aufzeigen, was genau zu schützen ist, wogegen die Systeme zu schützen sind und wie ein wirksamer Schutz erreicht werden kann. „Dabei sollten sich die Verantwortlichen in einer Selbstprüfung bewusst machen, welche Standard-Sicherheitsmaßnahmen bereits umgesetzt sind und wo weiterer Handlungsbedarf besteht”, so der Datenschutzexperte. „Oft kommen Versäumnisse und Unsicherheitsfaktoren, wie der sorglose Umgang mit Passwörtern, die Nichtbeachtung von Sicherheitserfordernissen oder der fehlende Schutz vor Einbrechern erst dann zum Vorschein.”

Computersysteme und Datenspeicher, wie beispielsweise die Festplatte, können ausfallen und gravierende Schäden verursachen. Daher muss gewährleistet sein, dass die Einbußen aufgrund eines Ausfalls so gering wie möglich sind. „Eine regelmäßige Sicherung der Daten, die Lagerung der Backup-Datenträger außerhalb der Unternehmensgeschäftsräume und die Prüfung, ob Daten auf den Backup-Medien les- und nutzbar sind, gehören in ein schriftlich fixiertes Datensicherungskonzept”, klärt Pultar auf.

Bei der Nutzung von E-Mails muss insbesondere auf die Virenproblematik geachtet und Dateianhänge eingehender E-Mails sensibel gehandhabt werden. Weiterhin sollte festgelegt werden, welche Informationen nicht beziehungsweise nur verschlüsselt versendet werden dürfen.

„Der geleistete Aufwand zahlt sich in jedem Fall aus”, weiß Pultar. „So beziehen Banken zur Bewertung der Risiken bei einer Kreditvergabe die IT-Risiken der Unternehmen mit ein. Aber auch beim Abschluss einer Versicherung für IT-Systeme kann sich die vorhandene Sicherheitskonzeption positiv auf die zu zahlenden Beiträge auswirken. Zum Beispiel ist leicht nachzuweisen, dass die Wiederbeschaffung der Daten im Falle einer defekten Festplatte aufgrund der täglichen Backup-Erstellung kein Problem darstellen würde. Die Versicherung könnte sich also auf die reinen Hardwarekosten beschränken.”