Informationssicherheit mit Maß und Ziel

Foto: www.stock.adobe.com/ Ivan Kruk

Corona hat einmal mehr gezeigt: Die Möglichkeiten der Digitalisierung sind enorm, Stichwort Homeoffice oder Tracking Apps, doch genauso enorm sind die Gefahren von „ungeschütztem Datenverkehr“.

Hackerangriffe, Virusattacken, unvorhersehbarer Datenverlust, der Missbrauch vertraulicher Daten oder fahrlässiger Umgang mit Daten durch MitarbeiterInnen können Unternehmen in veritable Krisen stürzen oder gar lahmlegen. Der Schutz vor äußeren Einflüssen, der reibungslose Betrieb kritischer Systeme und die Einhaltung gesetzlicher Bestimmungen stellen dabei insbesondere KMUs vor ständig wachsende Herausforderungen. Mehr noch: KundInnen, InvestorInnen, Behörden und MitarbeiterInnen stellen in puncto Informationssicherheit hohe Ansprüche an Unternehmen. Wer als Unternehmen diese Ansprüche nicht erfüllt, hat nicht nur mit Vertrauensverlust und Wettbewerbsnachteilen zu rechnen, sondern im Ernstfall auch mit zivil- und strafrechtlichen Folgen. „Die Sicherheit der IT-Systeme, aber auch die Kompetenz im Umgang damit, schützt vor Datenverlust, Datenverfälschung, Computer- und Internetkriminalität. Unternehmen sollten daher eine geeignete Sicherheitsstrategie entwickeln, die vor potentiellen Gefahren schützt, und MitarbeiterInnen sensibilisieren“, sagt dazu Michael Brunner vom Institut für Informatik der Universität Innsbruck. Voraussetzung dafür: Ein zumindest grundlegendes Verständnis von Informationssicherheit und deren strategischer Implementierung und Umsetzung sowie ein tragfähiges Risikomanagement – Dinge, bei denen Brunner Unternehmen im Rahmen des Digital Innovation Hub West unterstützt.

Mensch und Maschine

Im Mittelpunkt von Informationssicherheit stehen die Vertraulichkeit, die Integrität und die Verfügbarkeit von Daten und informationsverarbeitenden Systemen: Vertraulichkeit stellt sicher, dass nur befugte Personen Zugriff auf Daten haben. Integrität garantiert, dass Daten in ihrer Vollständigkeit und unverändert vorhanden sind. Die Verfügbarkeit von Daten ist Voraussetzung, dass der Systembetrieb aufrecht erhalten bleibt. „Hier reden wir von technischen und organisatorischen Maßnahmen, also Datensicherung, Verschlüsselung, Softwareaktualisierungen, Virenschutz, Zutrittskontrollen, konkreten Handlungsanweisungen und vor allem der Unterstützung des Topmanagements“, hält Brunner fest. „Genauso wichtig ist aber der Faktor Mensch, also zu erkennen, dass den MitarbeiterInnen eines Unternehmens eine zentrale Rolle zufällt. MitarbeiterInnenschulungen, Sensibilisierung und ein routinierter Umgang mit Sicherheitsthemen im Alltag sind dabei zentral.“

Auch das vermeintlich beste und sicherste IT-System hat Schwachstellen, und auch die am besten geschulten und sensibilisierten MitarbeiterInnen machen Fehler. Den perfekten Schutz gibt es nicht. Aber ausreichend Gründe, um dennoch als Unternehmen in Sachen Informationssicherheit das Maximum herauszuholen. Denn jeder Angriff auf die IT ist automatisch ein Angriff auf das Unternehmen als Ganzes und auf dessen Handlungsfähigkeit, jeder selbstverschuldete Sicherheitsmangel ein Hemmnis bei der Erreichung der Unternehmensziele, der zudem direkte Auswirkungen auf die Kundenbeziehungen haben kann – und juristische Auswirkungen. „In einem ersten Schritt gilt es daher für ein Unternehmen, eine Risikoanalyse vorzunehmen und Schutzziele festzulegen. Darauf aufbauend können in weiterer Folge konkrete technisch organisatorische Sicherheitsmaßnahmen zur Risikominimierung umgesetzt werden. Standards und Normen wie etwa ISO 27001, der IT Grundschutz oder das österreichische Informationssicherheitshandbuch helfen dabei, das gewünschte Maß an Informationssicherheit zu erreichen“, rät Brunner.

Interessiert an Informationssicherheit? Dann informieren Sie sich hier über die Basisschulung Informationssicherheits- und Risikomanagement sowie hier über die Arbeitsgruppe Security Management für digitale Transformationsprozesse in KMUs.

Autor

Michael Brunner

Michael Brunner

Michael Brunner ist langjähriger Experte in den Bereichen Informationssicherheits- und Risikomanagement. Er verfügt über mehr als 15 Jahre Berufserfahrung in der IT-Beratung, Sicherheitsberatung und in der Softwareentwicklung für nationale und international operierende Unternehmen.