Schritt 1: Datensicherung

Die richtige Backup-Strategie ist so wichtig wie konstante Stromzufuhr. Stellen Sie einen Plan mit Backup-Anforderungen auf. Welche Systeme sind wie wichtig für Ihr Unternehmen, und welche Sicherungs-Intervalle sind nötig? Falls möglich, sollten die Backups verschlüsselt angelegt
werden. Zur Datensicherungs-Strategie gehören auch regelmäßige Tests, ob alle Backups erfolgreich restauriert werden können.

Schritt 2: IT-Sicherheitsbeauftragten festlegen

Für wichtige Unternehmensbereiche gibt es feste Ansprechpartner. Das gilt auch für IT-Sicherheit. Legen Sie pro Aufgabenfeld einen Verantwortlichen plus Stellvertreter fest, etwa für Datenschutz, Sicherheit und Virenschutz. Wichtig auch: Definieren Sie genau, welche Aufgaben damit verbunden sind.

Schritt 3: Physikalische Sicherheit

Auch perfekt konfigurierte Server sind wertlos, wenn sie von Feuer vernichtet oder von Dieben weggetragen werden. Zur physikalischen Sicherheit gehören abgesicherter Zutritt, Brandschutz, Notstromversorgung, Klimatisierung und redundante Komponenten (Netzanbindung, Serversysteme, Hardware-Komponenten).

Schritt 4: Schutz vor Schadsoftware

Die beste Vorgehensweise ist hier ein mehrstufiger Schutz mit zentraler Verwaltung. Wichtig: Halten Sie diesen Schutz immer auf dem aktuellen Stand. Neben den Servern müssen aber auch die Clients abgesichert werden, die auf das Rechenzentrum zugreifen.

Schritt 5. Sicherheitsrichtlinien

Ohne genaue Richtlinien wird die Sicherheitsstrategie nicht funktionieren. Wichtig ist eine Datenklassifikation mit angepassten Zugriffsrechten der Mitarbeiter. Spezielle Szenarien erfordern spezielle Richtlinien. So ist es ein großer Unterschied, ob Mitarbeiter lokal auf die Server zugreifen oder vom Home-Office aus.

Schritt 6. Netz-Trennung

Kritische Punkte in jedem Netzwerk sind Übergänge zu anderen Netzen. Das kann das Internet ebenso sein wie eine Verbindung mit Kunden- oder Lieferanten-Netzen. Hier sollten Sie Firewalls einsetzen. Besondere Beachtung sollten Sie Servern schenken, die auch von außen erreichbar
sein müssen, etwa durch mobile Mitarbeiter. Ein Intrusion-Detection-System ergänzt eine klassische Firewall perfekt. Einen Schritt weiter gehen Intrusion-Prevention-Systeme, die im Falle eines Angriffs sogar aktiv eingreifen und einen Datenstrom unterbrechen können.

Schritt 7. Updates und Patches

Updates gehören zum kleinen ABC der IT-Sicherheit und sollten regelmäßig erfolgen. Pflicht ist eine Automatisierung für den Rollout von neuer Software, für den Richtlinien festgelegt werden sollten.

Schritt 8. Dokumentation

Welche Server sind aktuell in Betrieb, welchen Zweck haben sie, welche Hardware ist verbaut, und wie sieht die genutzte Software aus? Triviale Fragen bei einer Hand voll Maschinen, bei zehn oder mehr Servern aber spart eine aktuelle Dokumentation Zeit in Notfällen. Neben der
Infrastruktur und der genutzten Hardware gehören auch Service-Kontakte in die Doku.