Autor: Mag. Karlheinz Strasser, langjährige Erfahrung als IT-, Datenschutz- Outsourcing- und Krisenmanager (CC0 mit Namensnennung)

Datendiebstahl und Kompromittierung von digitalen Services konzentrieren sich zunehmend auch auf Klein- und Mittelbetriebe. Es gibt jedoch Wege, das Angriffspotential zu senken.

Man stelle sich einen mittleren Hotelbetrieb vor, der voll ausgebucht ist und die Gäste plötzlich für längere Zeit ihre Zimmer nicht mehr betreten und verlassen können. Das elektronische Zutrittssystem wurde durch eine erpresserische Verschlüsselungs-Software außer Kraft gesetzt.

Die Kunden sind sauer und die Reputation des betroffenen Betriebes ist nachhaltig beschädigt. Doch das Unternehmen ist verantwortlich, seine IT-Systeme zu schützen. Auch wenn die Wartung dieser Systeme an andere Servicebetriebe ausgelagert ist.

Kaum ein Geschäftsablauf kommt  heute ohne IT-Unterstützung aus. Jeder kann sich selbst ausmalen,  was der Ausfall kritischer IT-Services für sein Geschäft bedeutet.

Das Unternehmen muss für angemessene Schutzmaßnahmen sorgen, um Angriffe auf seine IT-Services abzuwehren. Falls ein Angriff durchgeht, müssen die Geschäftsabläufe schnellstmöglich wieder aufgesetzt werden können. Jede Verzögerung kostet Geld und Kundenzufriedenheit.

Falsche Annahmen sind gefährlich

Der Glaube, Cyber-Attacken treffen nur Großbetriebe, ist schlicht und einfach falsch. Aufgrund der professionellen Abwehrmaßnahmen in Großunternehmen suchen sich Angreifer neue, leicht zu attackierende  Ziele.

Orientierung an bestehenden Normen

Zur Gewährleistung eines IT-Grundschutzes orientieren sich Großunternehmen an internationalen Normen.  Beispiele sind ISO 27001, ISO/IEC 29100:2013, ISO/IEC 27037:2012 oder der PCI-DSS-Standard.

Oft sind diese Regelungen auf die Prozesse großer Betriebe bzw. spezifische Branchen zugeschnitten. Es macht dennoch für KMU Sinn, sich daran zu orientieren.

Klares Bekenntnis der Firmenleitung

Die offizielle Ernennung eines IT-Sicherheits- und Daten-schutzverantwortlichen ist ein wichtiges Signal an die Belegschaft und nach außen.

Identifikation der IT unterstützten Kernprozesse

Eine Sicherheits-Risiko-Bewertung ergibt rasch ein Bild über die größten Schwachstellen. Die Entscheidung, wie viel Budget für die Beseitigung der potentiellen Risiken aufzuwenden ist, fällt dadurch leichter.

Befragung des IT-Dienstleisters

Welche Normen er bei seiner Leistung berücksichtigt.

Ausarbeitung von Guidelines

Auf Basis der identifizierten Risiken und der Dienstleister-befragung werden verbindliche Guidelines zur Risiko-minderung  aufgestellt.

Wettbewerbsvorteil durch gezielte Kommunikation

Die Kommunikation Richtung Kunden, Hausbank und Lieferanten zeigt, dass das Unternehmen seine Hausaufgaben zum Thema Cyber-Sicherheit macht.