Verantwortlichkeiten in der IT Sicherheit

Aus unserer Blogreihe: IT Sicherheit für KMU

Wie gut kennen Sie Ihre IT-Systeme? Die Rolle der Unternehmensleitung in der Cybersicherheit

In der digitalen Ära ist Cybersicherheit nicht nur eine technische Herausforderung, sondern eine strategische Verantwortung. Die Frage „Wer ist in meinem Unternehmen für das Thema Cybersicherheit verantwortlich?" sollte an erster Stelle stehen. Die Antwort ist klar und universell: Die Unternehmensleitung trägt die letztendliche Verantwortung für die Sicherheit der IT-Systeme und Daten.

Wenn die Informationstechnik eines Unternehmens ausfällt—beispielsweise durch einen Ransomware-Angriff—kommt oft der gesamte Betrieb zum Erliegen. Produktion stoppt, Lieferungen verzögern sich, Bestellungen können nicht bearbeitet werden, und Kundentermine werden verpasst. Die finanziellen Einbußen sind erheblich, und die laufenden Kosten verschärfen die Situation.

Wenn zudem Kundendaten gestohlen und veröffentlicht werden, ist der Schaden für die Unternehmensreputation immens. Cybersicherheit ist daher kein Thema, das die Unternehmensleitung delegieren sollte; es erfordert ihr aktives Engagement.

Bewusstsein schaffen und Zuständigkeiten festlegen

Die Unternehmensleitung muss das Bewusstsein für Cybersicherheit schärfen und es zu einem regelmäßigen Tagesordnungspunkt in Besprechungen machen. Auch wenn sie sich nicht um technische Details kümmern muss, ist ihre strategische Entscheidungskraft entscheidend für das Sicherheitsniveau des Unternehmens.

Ebenso wichtig ist es, klare Zuständigkeiten für die Umsetzung von Sicherheitsmaßnahmen festzulegen:

• ●
  Wer ist für den Betrieb der IT-Systeme verantwortlich?
• ●
  Wer kümmert sich um die Informationssicherheit?

In kleinen Unternehmen mag dies dieselbe Person sein. In größeren Strukturen sollten diese Rollen jedoch getrennt werden. Das verhindert Interessenkonflikte und stellt sicher, dass Sicherheitsaspekte nicht zugunsten von Benutzerkomfort oder Kostenoptimierung vernachlässigt werden.

Erstellen Sie eine vollständige Inventur Ihrer IT-Landschaft

Neben der Führungsverantwortung ist eine genaue Kenntnis der eigenen IT-Systeme entscheidend. Nur so können adäquate Schutzmaßnahmen ergriffen werden. Eine umfassende Bestandsaufnahme mag nach viel Arbeit klingen, ist aber besonders für kleine Unternehmen schnell umsetzbar und von großem Nutzen.

Hardware erfassen

Beginnen Sie mit der Inventarisierung aller verwendeten Geräte, zum Beispiel:

• ●
  Computer, Smartphones, Tablets
• ●
  Server (lokal und remote)
• ●
  Peripheriegeräte wie Drucker, Scanner, Router, Switches, mobile Modems

Diese Übersicht hilft, die zu schützenden Komponenten zu identifizieren und kritische Elemente für den Geschäftsbetrieb zu erkennen.

Softwarelandschaft dokumentieren

Listen Sie alle eingesetzten Softwarelösungen auf, einschließlich:

• ●
  Art der Software und Hauptfunktionen
• ●
  Installierte Versionen
• ●
  Gültige Lizenzen und Registrierungscodes

Kritische Daten und Prozesse identifizieren

Überlegen Sie, welche Daten für Ihr Unternehmen unverzichtbar sind:

• ●
  Kundendatenbanken
• ●
  Finanz- und Buchhaltungsunterlagen
• ●
  Proprietäre Geschäftsgeheimnisse

Prüfen Sie, wo diese Daten gespeichert sind und welche gesetzlichen Vorgaben gelten. Analysieren Sie außerdem die Datenverarbeitungsprozesse, um kritische Abläufe zu erkennen, deren Beeinträchtigung den Geschäftsbetrieb gefährden könnte.

Zugriffsrechte überprüfen

Definieren Sie klar, wer Zugriff auf welche Systeme und Daten hat, zum Beispiel:

• ●
  Rollen (Administratoren, Benutzer, Gäste)
• ●
  Art des Zugriffs (lokal oder remote)

Eine saubere Dokumentation verhindert unbefugte Zugriffe, etwa durch ehemalige Mitarbeiter oder Dienstleister, und reduziert Sicherheitsrisiken.

Externe IT-Verbindungen analysieren

Ermitteln Sie alle Schnittstellen zu externen Netzwerken, insbesondere:

• ●
  Internetverbindungen
• ●
  Zugänge zu Dienstleistern und Partnern

Diese Informationen sind entscheidend, um geeignete Filter- und Überwachungsmechanismen einzurichten und den Datenverkehr zu kontrollieren.

Regelmäßige Aktualisierung und kontinuierliche Verbesserung

Eine Bestandsaufnahme ist kein einmaliges Projekt. Aktualisieren Sie Ihre Dokumentation regelmäßig, mindestens zweimal im Jahr, um Veränderungen in Ihrer IT-Infrastruktur abzubilden.

Das unterstützt Sie nicht nur bei der Auswahl passender IT-Lösungen und Sicherheitsmaßnahmen, sondern hilft auch externen Dienstleistern und ist im Falle eines Cyberangriffs besonders wertvoll.

IT-Sicherheitskultur und IT-Charta

Nachhaltige Cybersicherheit lebt nicht nur von Technik, sondern von klaren Verhaltensregeln im Unternehmen.

Wichtig sind dabei vor allem:

• ●
  Eine kurze, verständliche IT-Charta, in der geregelt ist, wie Firmengeräte, Passwörter, E-Mail und private Nutzung gehandhabt werden und wie Vorfälle gemeldet werden
• ●
  Regelmäßige Kommunikation in Meetings, im Intranet oder per kurzen Erinnerungen statt nur einmalig ein Dokument zu verteilen
• ●
  Eine Meldekultur ohne Schuldzuweisung, damit verdächtige Vorgänge frühzeitig gemeldet werden

Aktuelle Handlungsempfehlungen und Materialien – etwa zur „Allianz für Cyber-Sicherheit“ – stellt das BSI speziell für KMU bereit.

Fazit

Cybersicherheit beginnt an der Spitze des Unternehmens. Die Unternehmensleitung muss Verantwortung übernehmen und das Thema aktiv vorantreiben. Durch klare Zuständigkeiten, eine umfassende Inventur der IT-Systeme und -Prozesse sowie regelmäßige Aktualisierungen schaffen Sie die Grundlage für ein tragfähiges Sicherheitskonzept.

Dieses schützt nicht nur vor digitalen Bedrohungen, sondern sichert auch den Fortbestand und den Erfolg Ihres Unternehmens in einer zunehmend vernetzten Welt.