Verantwortlichkeiten in der IT Sicherheit

Aus unserer Blogreihe: IT Sicherheit für KMU

Wie gut kennen Sie Ihre IT-Systeme? Die Rolle der Unternehmensleitung in der Cybersicherheit

In der digitalen Ära ist Cybersicherheit nicht nur eine technische Herausforderung, sondern eine strategische Verantwortung. Die Frage „Wer ist in meinem Unternehmen für das Thema Cybersicherheit verantwortlich?" sollte an erster Stelle stehen. Die Antwort ist klar und universell: Die Unternehmensleitung trägt die letztendliche Verantwortung für die Sicherheit der IT-Systeme und Daten.

Wenn die Informationstechnik eines Unternehmens ausfällt—beispielsweise durch einen Ransomware-Angriff—kommt oft der gesamte Betrieb zum Erliegen. Produktion stoppt, Lieferungen verzögern sich, Bestellungen können nicht bearbeitet werden, und Kundentermine werden verpasst. Die finanziellen Einbußen sind erheblich, und die laufenden Kosten verschärfen die Situation.

Wenn zudem Kundendaten gestohlen und veröffentlicht werden, ist der Schaden für die Unternehmensreputation immens. Cybersicherheit ist daher kein Thema, das die Unternehmensleitung delegieren sollte; es erfordert ihr aktives Engagement.

Bewusstsein schaffen und Zuständigkeiten festlegen

Die Unternehmensleitung muss das Bewusstsein für Cybersicherheit schärfen und es zu einem regelmäßigen Tagesordnungspunkt in Besprechungen machen. Auch wenn sie sich nicht um technische Details kümmern muss, ist ihre strategische Entscheidungskraft entscheidend für das Sicherheitsniveau des Unternehmens.

Es ist unerlässlich, klare Zuständigkeiten für die Umsetzung von Sicherheitsmaßnahmen festzulegen:

• ●Wer ist für den Betrieb der IT-Systeme verantwortlich?
• ●Wer kümmert sich um die Informationssicherheit?

In kleinen Unternehmen mag dies dieselbe Person sein, aber in größeren Strukturen sollten diese Rollen getrennt sein. Dies verhindert Interessenkonflikte und stellt sicher, dass Sicherheitsaspekte nicht zugunsten von Benutzerkomfort oder Kostenoptimierung vernachlässigt werden.

Erstellen Sie eine vollständige Inventur Ihrer IT-Landschaft

Neben der Führungsverantwortung ist eine genaue Kenntnis der eigenen IT-Systeme entscheidend. Nur so können adäquate Schutzmaßnahmen ergriffen werden. Eine umfassende Bestandsaufnahme mag nach viel Arbeit klingen, ist aber besonders für kleine Unternehmen schnell umsetzbar und von großem Nutzen.

Hardware erfassen

Beginnen Sie mit der Inventarisierung aller verwendeten Geräte:

• ●Computer, Smartphones, Tablets
• ●Server (lokal und remote)
• ●Peripheriegeräte wie Drucker, Scanner, Router, Switches, mobile Modems

Diese Übersicht hilft, die zu schützenden Komponenten zu identifizieren und kritische Elemente für den Geschäftsbetrieb zu erkennen.

Softwarelandschaft dokumentieren

Listen Sie alle eingesetzten Softwarelösungen auf, einschließlich:

• ●Art der Software und Hauptfunktionen
• ●Installierte Versionen
• ●Gültige Lizenzen und Registrierungscodes

Tipp: Bewahren Sie diese Informationen sicher auf, idealerweise physisch in einem Aktenordner. Dies erleichtert Wartung und Neuinstallation und ist im Notfall unverzichtbar.

Kritische Daten und Prozesse identifizieren

Überlegen Sie, welche Daten für Ihr Unternehmen unverzichtbar sind:

• ●Kundendatenbanken
• ●Finanz- und Buchhaltungsunterlagen
• ●Proprietäre Geschäftsgeheimnisse

Prüfen Sie, wo diese Daten gespeichert sind und welche gesetzlichen Vorschriften gelten. Analysieren Sie auch die Datenverarbeitungsprozesse, um kritische Abläufe zu erkennen, deren Beeinträchtigung den Geschäftsbetrieb gefährden könnte.

Zugriffsrechte überprüfen

Definieren Sie klar, wer Zugriff auf welche Systeme und Daten hat:

• ●Rollen (Administratoren, Benutzer, Gäste)
• ●Art des Zugriffs (lokal oder remote)

Eine genaue Dokumentation verhindert unbefugte Zugriffe, beispielsweise durch ehemalige Mitarbeiter oder Dienstleister, und reduziert Sicherheitsrisiken.

Externe IT-Verbindungen analysieren

Ermitteln Sie alle Schnittstellen zu externen Netzwerken:

• ●Internetverbindungen
• ●Zugänge zu Dienstleistern und Partnern

Diese Informationen sind entscheidend, um effektive Filter- und Überwachungsmechanismen einzurichten und den Datenverkehr zu kontrollieren.

Regelmäßige Aktualisierung und kontinuierliche Verbesserung

Eine Bestandsaufnahme ist kein einmaliges Projekt. Aktualisieren Sie Ihre Dokumentation regelmäßig, mindestens zweimal im Jahr, um Veränderungen in Ihrer IT-Infrastruktur abzubilden.

Dies unterstützt Sie nicht nur bei der Auswahl passender IT-Lösungen und Sicherheitsmaßnahmen, sondern ist auch für externe Dienstleister und im Falle eines Cyberangriffs von großem Nutzen.

IT-Sicherheitskultur und IT-Charta

Nachhaltige Cybersicherheit lebt nicht nur von Technik, sondern von klaren Verhaltensregeln im Unternehmen.

• ●IT-Charta: Halten Sie in einer kurzen, verständlichen IT-Charta fest, wie Firmengeräte, Passwörter, E-Mail und private Nutzung erlaubt sind und wie Vorfälle gemeldet werden.
• ●Regelmäßige Kommunikation: Erinnern Sie in Meetings, im Intranet oder per kurzen Infos immer wieder an diese Regeln – statt einmalig ein Dokument zu verteilen.
• ●Meldekultur statt Schuldzuweisung: Ermutigen Sie Mitarbeitende, verdächtige Vorgänge frühzeitig zu melden, ohne Angst vor Sanktionen. Nur so erfahren Sie rechtzeitig von Vorfällen.

Aktuelle Handlungsempfehlungen und Materialien – etwa zur „Allianz für Cyber-Sicherheit“ – stellt das BSI speziell für KMU bereit.

Fazit

Cybersicherheit beginnt an der Spitze des Unternehmens. Die Unternehmensleitung muss Verantwortung übernehmen und das Thema aktiv vorantreiben. Durch klare Zuständigkeiten, eine umfassende Inventur der IT-Systeme und -Prozesse sowie regelmäßige Aktualisierungen schaffen Sie die Grundlage für ein robustes Sicherheitskonzept.

Dieses schützt nicht nur vor digitalen Bedrohungen, sondern sichert auch den Fortbestand und den Erfolg Ihres Unternehmens in einer zunehmend vernetzten Welt.