IT-Sicherheit für KMUs (Teil 2) – Bedeutung der Schutzniveaus

Im letzten Blogartikel, habe ich über die Bestimmung des Schutzniveaus für die eigene Unternehmens-IT geschrieben. Hier bei wurden folgende vier Schutzniveaus genannt:

– geringer Schutz erforderlich

– mittlerer Schutz erforderlich

– hoher Schutz erforderlich

– hoher Schutz mit sofortiger Umsetzung erforderlich

Die Schutzniveaus im Detail

Doch was bedeuten diese einzelnen Schutzniveaus genau nun?

Fangen wir mit dem ersten Schutzniveau an „geringer Schutz erforderlich“, dieses Niveau meint, dass der Geschäftsbetrieb auch vollständig ohne IT abgewickelt werden kann und bei einem Verlust der IT oder von Daten, die mithilfe der IT verarbeitet werden und es keine finanziellen oder sonstige Auswirkungen auf den Geschäftsbetrieb gibt.

Das Schutzniveau „mittlerer Schutz erforderlich“ bedeutet, dass ein finanzieller Schaden durch den Verlust der IT entstehen kann und auch beim Verlust von in IT-Systemen verarbeiteten Daten ein finanzieller Schaden eintreten kann. Der Geschäftsbetrieb kann ohne IT aufrechterhalten werden, jedoch nur mit Einschränkungen.

Das Schutzniveau „hoher Schutz erforderlich“ bedeutet, dass ein erheblicher finanzieller Schaden durch den Verlust der IT entsteht und auch beim Verlust von in IT-Systemen verarbeiteten Daten ein erheblicher finanzieller Schaden eintritt. Der Geschäftsbetrieb kann ohne eine funktionierende IT nur unter erheblichen Aufwänden aufrechterhalten werden, bzw. ohne eine funktionierende IT ist evtl. die Einstellung des Geschäftsbetriebs erforderlich.

Das Schutzniveau „hoher Schutz mit sofortiger Umsetzung erforderlich“ bedeutet, dass ein erheblicher finanzieller Schaden durch den Verlust der IT entsteht und auch beim Verlust von in IT-Systemen verarbeiteten Daten ein erheblicher finanzieller Schaden eintritt. Der Geschäftsbetrieb kann ohne eine funktionierende IT nur unter erheblichen Aufwänden aufrechterhalten werden, bzw. ohne eine funktionierende IT kann der Geschäftsbetrieb auch gleich eingestellt werden. Des Weiteren sind sie höchst wahrscheinlich schon als Ziel anvisiert worden und ein Angreifer hat, dank der gut öffentlich zugänglichen Dokumentation über ihren Betrieb, ein leichtes Spiel.

Maßnahmen für die einzelnen Schutzniveaus

Schauen wir uns nun einmal an, welche konkreten Maßnahmen für die einzelnen Schutzniveaus umzusetzen sind. Hierbei ist jedoch darauf verwiesen, dass je nach Branche entsprechende Branchenstandards und Gesetze weitere Vorgaben machen, die umzusetzen sind.

Schutzniveau 1 „Geringer Schutz erforderlich“

Folgende Maßnahmen sind für dieses Schutzniveau mindestens umzusetzen:

→ Absicherung des Internetanschlusses durch eine Firewall

→ Aktueller Anti-Viren/Anti-Malware Schutz

→ Patchmanagement (aktuell halten von eingesetzter Software und Betriebssystemen)

→ Inventar der IT-Assets/IT-Werte

Schutzniveau 2 „Mittlerer Schutz erforderlich“

Folgende Maßnahmen sind für dieses Schutzniveau mindestens zusätzlich zu den von Schutzniveau 1 umzusetzen:

→ Inventar der Daten und Prozesse (Dateninventar und Prozesslandkarte)

→ Einführung eines Zugriffs- und Authentifizierungssystems (z.B.: MS Active Directory)

→ Schulung der Benutzer zum Thema IT-Sicherheit und Cyberhygiene

→ Einen Business Kontinuitätsplan erstellen und pflegen

→ Eine Backup-Strategie entwickeln und umsetzen

Schutzniveau 3 „Hoher Schutz erforderlich“

Folgende Maßnahmen sind für dieses Schutzniveau mindestens zusätzlich zu den von Schutzniveau 1 und 2 umzusetzen:

→ Einführung eines Informationssicherhitsmanagementsystems (ISMS)

→ Verschlüsselung von Festplatten

→ Regelmäßige interne und externe IT-Sicherheitsüberprüfungen (IT-Sicherheitsaudits/-revisionen, externe Penetrationstests)

→ Netzwerksegmentierung

Schutzniveau 4 „Hoher Schutz mit sofortiger Umsetzung erforderlich“

Folgende Maßnahmen sind für dieses Schutzniveau mindestens zusätzlich zu den vorherigen Schutzniveaus umzusetzen:

→ Ermittlung, ob die frei Zugänglichen Daten über die Firmenstruktur gewollt oder ungewollt veröffentlicht wurden

→ Recherche ob vertrauliche Dokument außerhalb des Unternehmen aus dem Unternehmen auffindbar sind

 

Diese Aufzählung hat keinen Anspruch auf Vollständigkeit. Gern können Sie Maßnahmen aus einem höheren Schutzniveau für ein niedrigeres Schutzniveau umsetzen. In den nächsten Blogartikeln, werde ich mich genauer mit den einzelnen Maßnahmen und ihrer Umsetzung für verschiedene Betriebsgrößen und -arten von KMUs beschäftigen. Sowie, wo sinnvoll um weitere geeignete Schutzmaßnahmen ergänzen.