Informationssicherheit ohne Bürokratiemonster

Michael Mrak

Michael Mrak

3 min read
Informationssicherheit ohne Bürokratiemonster
Photo by FlyD / Unsplash

Ob Ransomware, CEO-Fraud oder Datenlecks durch Drittdienstleister, die Bedrohungslage für Unternehmen hat sich in den letzten Jahren massiv verschärft. Gerade jetzt, da wieder vermehrt gezielte Ransomware-Angriffe auf kleine und mittelgroße Unternehmen stattfinden, ist Informationssicherheit kein “nice to have” mehr, sondern betriebliche Notwendigkeit.

Gelebte Informationssicherheit muss kein bürokratisches Monstrum sein. Mit einem pragmatischen, risikobasierten Ansatz lassen sich bereits mit überschaubarem Aufwand wirksame Sicherheitsmaßnahmen etablieren. Wie können kleinere Unternehmen ohne überbordende Bürokratie eine solide Basissicherheit erreichen? Und warum sollte man Informationssicherheit nicht als Fixkosten, sondern eine unternehmerische Risikoversicherung betrachten? Ich habe die wesentlichen Punkte im Folgenden strukturiert zusammengefasst.

Keine Maßnahmen ohne Kontext

Bevor es um Technik oder Richtlinien geht, muss ein Grundverständnis geschaffen werden: Welche digitalen Werte besitze ich im Unternehmen? Welche Abläufe sind geschäftskritisch? Und welche Auswirkungen hätte ein Ausfall z. B. durch ungewollte Verschlüsselung der Serverdaten oder Datenabfluss?

Pragmatischer Ansatz:

  • Führen Sie einen kurzen Risiko-Workshop durch (2h intern mit Geschäftsführung, IT, Datenschutzbeauftragten)
  • Ziel des Workshops sollte die Identifikation der wichtigsten Assets des Unternehmens sein (z. B. Kundendatenbank, Buchhaltung, IP)
  • Als Ergebnis erhalten Sie eine Priorisierung nach Geschäftsrelevanz und Schutzbedarf

Zuständigkeiten klären

Viele Sicherheitsvorfälle entstehen nicht durch böswillige Angriffe, sondern durch fehlende Zuständigkeiten oder fehlendes Sicherheitsbewusstsein.

Pragmatischer Ansatz:

  • Benennen Sie eine eine Person, die für Informationssicherheit die Verantwortung hat, das kann auch jemand aus der IT oder dem Management sein.
  • Verankern Sie das Thema aber unbedingt auch auf Geschäftsführungsebene.
  • Erstellen Sie eine einfache Aufgabenliste mit Verantwortlichkeiten (z. B. Softwareupdates durchführen, Backup prüfen, Awareness-Mails verschicken).

Technische Basismaßnahmen umsetzen

Technik schützt nicht alles, aber ohne Technik schützt dich nichts. Die folgenden Maßnahmen kosten in Relation zum möglichen Schaden wenig bis nichts. Sie bringen aber enormen Sicherheitsgewinn. Damit erreichen Sie 80 % Schutz mit 20 % Aufwand! :

Checkliste für Basissicherheit:

  • Datensicherung: täglich, automatisiert, offline / Wiederherstellung testen!
  • Updates & Patchmanagement für Betriebssysteme, Software, Router, Firewalls sicherstellen.
  • Multi-Faktor-Authentifizierung (MFA): bei E-Mail, Cloud-Diensten, Remote-Zugängen ist sie obligatorisch.
  • Endpoint Protection: zumindest aktueller Virenscanner mit zentralem logging, Firewall am Notebook, Web- und URL-Filterung u.s.w.
  • Netzwerksegmentierung: produktive Systeme sollten niemals im gleichen Netz wie private Geräte betrieben werden.
  • E-Mail-Filter & Spam-Schutz: Ransomware kommt meist per Mail.

Mitarbeitende immer einbinden

Der Mensch ist zugleich größte Schwachstelle aber auch wichtigste Ressource jedes Systems. Ziel sollte daher nicht die Kontrolle, sondern die Schärfung von Bewusstsein und Eigenverantwortung sein.

Pragmatischer Ansatz:

  • Senden Sie regelmäßig Awareness-Mails mit realen Fallbeispielen (z. B. aktuelle Fälle von CEO-Fraud) an die Mitarbeitenden aus.
  • Bieten Sie Schulungsvideos oder kurze Online-Kurse (auf Basis von z. B. BSI, ENISA oder eigene Inhalte) an.
  • Führen Sie Phishing-Tests in Kooperation mit der IT durch.

Regelungen mit Augenmaß gestalten

Richtlinien müssen gelebt werden können und sollten nicht in der Schublade verstauben.

Pragmatischer Ansatz:

  • Erstellen Sie einige wenige einfache Richtlinien: z. B. „Passwort- & Accountregeln“, „Verwendung externer Geräte“, „Backup & Restore“
  • Jede Richtlinie sollte maximal 2-3 Seiten Inhalt haben, mehr wird nicht gelesen.
  • Alle Mitarbeiter:innen sollten die Richtlinien verstehen können und aktiv zustimmen

Der Ernstfall ist keine Theorie mehr

Fragen Sie sich: Wenn morgen alles verschlüsselt ist – was tun wir dann?

Pragmatischer Ansatz:

  • Notfallnummern sollten allgemein bekannt sein und erste Maßnahmen klar definiert sein (IT, Dienstleister, Polizei, Datenschutzbehörde)
  • Diese Kontaktliste sollte auch analog verfügbar sein
  • Spielen Sie 1 x pro Jahr eine “Tabletop-Übung” durch (z.B. was tun wir bei einem Befall mit Ransomware?)

Fortlaufend verbessern, aber nicht übertreiben

Informationssicherheit ist kein Projekt, sondern ein kontinuierlicher Prozess, aber mit gesundem Augenmaß und klarer Prioritätensetzung.

Pragmatischer Ansatz:

  • Führen Sie 1 x pro Jahr einen interner Selbstcheck durch:
    • Was hat sich verändert?
    • Welche neuen Risiken gibt’s?
  • Tools wie das BSI IT-Grundschutz-Kompendium oder das CIS Controls Framework helfen als Orientierung
  • Setzen Sie bei spezifischen Fragestellungen auf punktuelle externe Unterstützung, beispielsweise bei Audits oder Policy-Reviews.

Informationssicherheit ist eine Investition

Informationssicherheit ist keine Ausgabe für Checklisten, vielmehr ist sie ist eine Investition in die betriebliche Widerstandsfähigkeit. Und sie muss gerade in kleinen Unternehmen nicht in ISO-Zertifikate, Revisionsberichte und teure Tools münden. Ein pragmatischer, risikobasierter Ansatz reicht aus, um 80 % der Gefahren mit vertretbarem Aufwand zu kontrollieren.

Gerade in Zeiten zunehmender Ransomware-Angriffe ist jetzt der richtige Moment, sich zumindest um den Basisschutz zu kümmern. Nicht weil sie müssen, sondern weil es wirtschaftlich sinnvoll ist.

Read more