Autoren: Prof. Andreas Johannsen, Robert Maurer
Der vorliegende Artikel beschäftigt sich mit den Herausforderungen zu einem sicheren Datenaustausch und der Nutzung von Informationssicherheits-Managementsystemen (ISMS) in kleinen und mittleren Unternehmen (KMU). Dabei werden zunächst die allgemeinen, sowie die spezifischen Herausforderungen und Hürden dargelegt. Darauf aufbauend werden Handlungsempfehlungen, sowie Unterstützungsmöglichkeiten für KMU dargelegt.
Die zunehmende Digitalisierung führt dazu, dass Unternehmen mit neuen Bedrohungen in ihrer IT- bzw. Informationssicherheit konfrontiert werden. Um dem entgegenzuwirken, müssen individuell notwendige Schutzmaßnahmen strategisch abgeleitet und darauf aufbauend passende Strategien zum Schutz des eigenen Unternehmens entwickelt werden. Hierfür eignen sich insbesondere Informationssicherheits-Managementsysteme (ISMS). Diese finden in kleinen und mittleren Unternehmen (KMU) bisher noch selten Anwendung. Gründe gibt es dafür viele. Hauptverantwortlich sind laut einer Studie [1] folgende:
- Hoher Ressourcenaufwand, z. B. Kosten und Personal
- Unsicherheit über den Mehrwert
- Hoher Zeitaufwand und mangelnde Motivation
- Komplexität bei der Entwicklung und Einführung
- Schwierige Bestimmung des genauen Anwendungsbereiches
Die Herausforderungen für KMU sind vielfältig. Standards zur Ermöglichung einer zielgerichteten Vorgehensweise sind jedoch selten. Kleine und mittelständische Unternehmen haben oft Schwierigkeiten, geeignete ISMS auf dem Markt zu finden. Die meisten verfügbaren Lösungen sind nicht auf ihre spezifischen Bedürfnisse und Ressourcen zugeschnitten. Obwohl
Branchenstandards wie VdS 10000 und CISIS12 existieren, sind diese noch nicht völlig ausgereift und haben zudem einen geringen Bekanntheitsgrad.
Remote Work und sicherer Datenaustausch
Gerade durch die Covid-19 Pandemie ist das Thema “Remote Work” aus einer Vielzahl von Organisationen nicht mehr wegzudenken. Insbesondere zu Beginn der Pandemie waren Unternehmen gezwungen, ihren Mitarbeiter:innen kurzfristig einen Online-Arbeitsplatz und -Methoden zur Verfügung zu stellen.
Für KMU stand dabei der Erhalt der Arbeitsfähigkeit und des Produktivitätsniveaus im Vordergrund. Die Herausforderungen und möglichen Risiken an die Informationssicherheit wurden erst nachgelagert betrachtet [2]. Zusätzlich erhöht sich speziell in Kooperationen zwischen KMU die Wahrscheinlichkeit von Informationssicherheitsvorfällen, da gemeinsam genutzte Ressourcen wie beispielsweise System-Schnittstellen und -Plattformen eine größere Angriffsfläche für Cyberangriffe bieten. Somit ist es zwingend erforderlich, sowohl beim Thema Remote Work, als auch beim Datenaustausch zwischen Kooperationsparteien ein ganzheitliches und individuelles Informationssicherheitskonzept, mit klaren Rahmenbedingungen, Regeln und informationstechnisch abgesicherter Software zu entwickeln.
Handlungsempfehlungen
Das Thema Informationssicherheit wird immer mehr an Bedeutung gewinnen und ist bereits jetzt unabdingbar für alle Organisationen, die in irgendeiner Form online arbeiten. Dabei sollte schon jetzt die Informationssicherheit im Allgemeinen und der sichere Austausch von Daten als ein wichtiger Grundpfeiler für eine erfolgreiche Unternehmensführung verstanden werden. Vor diesem Hintergrund sollten sich insbesondere KMU zunehmend Zeit für das Thema Informationssicherheit nehmen und sich mit den zur Verfügung stehenden Möglichkeiten auseinandersetzen.
Damit schützt das Unternehmen nicht nur sich selbst, sondern ebnet auch den Weg für die
gemeinsame Arbeit innerhalb von zukünftigen Kooperationen, sowie wachsenden Kundenanforderungen an die Datensicherheit. Für KMU ist die erste Hürde oftmals der Gedanke an die möglichen Kosten zur Beauftragung eines Unternehmens für die Beratung zu den Themen der Informationssicherheit. Um dem entgegenzuwirken, stellt das Mittelstand 4.0 Kompetenzzentrum IT-Wirtschaft auch nach seiner am 01.05.2023 beendeten Projektlaufzeit, eine Vielzahl an kostenfreien Online Tools, Ratgebern und Checklisten zur Verfügung.
Kurzer Test mit großem Potenzial – Die Information Security Toolbox
Mit der Information Security Toolbox der TH Brandenburg bietet das Kompetenzzentrum IT-Wirtschaft weitere Werkzeuge, um einen praxisnahen Selbstcheck für die Informationssicherheit in Unternehmen durchzuführen. Denn Informationssicherheit wird – insbesondere bei KMU – leider noch nicht ganzheitlich gedacht. Wichtige Bestandteile werden oft isoliert und losgelöst voneinander betrachtet, obwohl diese in der Realität in einem engen Zusammenhang stehen. Das integrierte ITGRC Reifegrad-Werkzeug ermöglicht speziell für KMU einen niederschwelligen und anwendungsfreundlichen Einstieg in die Thematik.
Das kostenfreie Online Tool besteht aus einer Selbsteinschätzungs- und Auswertungskomponente. Ziel der Selbsteinschätzung ist es, den Reifegrad bezüglich des IT-Governance, Risiko und Compliance Managements zu messen und wichtige Handlungsbedarfe zu erkennen. Dabei können alle Unternehmensbereiche in der gleichen Tiefe analysiert werden: Mitarbeiter:innen eines Unternehmens können passend zu ihrer jeweiligen Rolle im Betrieb ihre individuelle Sicht
in die Bewertung einfließen lassen – dadurch werden ITGRC-Kompetenzen noch zielgenauer bewertet.
Bereit für die Cloud?
Das Cloud Cooperation Readiness Tool der TH Brandenburg bietet eine Bestandsaufnahme sowie IST-Auswertung der cloudbasierten Kooperationskompetenzen von IT-Unternehmen. Mit dem Tool kann die Kooperationsfähigkeit getestet und etwaige Handlungsbedarfe festgestellt werden. Es lassen sich zudem zentrale Herausforderungen bei der Entwicklung, Vermarktung und Nutzung von gemeinsamen IT-Produkten und Services in der Cloud abschätzen (besondere Relevanz bei Remote Work). Hierbei werden Sie zudem auf kritische Aspekte des Datenschutzes, der Compliance und der Informationssicherheit sensibilisiert.
Das Tool dient als praxisnahes Werkzeug zur Ermittlung des Handlungsbedarfs bei der angestrebten Kooperation. Darüber hinaus bieten die Webseiten des o. g. Kompetenzzentrum IT-Wirtschaft mit verschiedenen Leitlinien, wie der Information-Security-Policy, dem Kompaktleitfaden Datenschutz- und Informationssicherheit, sowie dem Leitfaden zum Informationssicherheits-Management einen kompakten und übersichtlichen Einstieg in die Thematik sowie weiterführende Verweise und Publikationen zu den für kleine und mittlere Unternehmen relevanten Themenfeldern.
Quellen
[1] Puhl, P. und Lundborg, M.: „Kleine und
mittlere Unternehmen mit Sicherheit digitalisieren – Chancen und Herausforderungen bei der Einführung und Zertifizierung von Informationssicherheits-Managementsystemen (ISMS), Hrsg. Begleitforschung Mittelstand Digital, Berlin, 2022
[2] Bitkom Studie (2022): Presseinformation/Wirtschaftsschutz, 2022, Berlin