Ziel der Arbeit ist, unter Berücksichtigung vorhandener Richtlinien zur Informationssicherheit, wie BSI IT-Grundschutz, ISO 27001 oder VdS 10000 für KMU, zielgerichtete Maßnahmen und Empfehlungen zu konzeptionieren, um ein zunächst vereinfachtes IT-Grundschutz-Profil zu entwickeln. Dieses soll bei Bedarf als Hilfestellung für weiterführende, individuelle Sicherheitskonzepte geeignet sein. Die Maßnahmen werden dabei möglichst praxisnah am Beispiel eines Referenzunternehmens beschrieben und berücksichtigen die Vorgehensweisen moderner Cyberangriffe. Maßnahmen im Rahmen des Datenschutzes (DSGVO) werden in dieser Arbeit nicht behandelt.
IT-Infrastrukturen und Anforderungen an die IT-Sicherheit können auch bei KMU bereits sehr komplex werden. Das Thema IT-Sicherheit im Bereich KMU wird oft aus Gründen des fehlenden Fachpersonals, des fehlenden Know-hows oder schlichtweg aufgrund des erforderlichen Finanzierungsaufwandes rudimentär behandelt. Dazu kommen neue Herausforderungen beim Aufbau von Netzwerken im Zuge der Digitalisierung und Industrie 4.0 sowie häufig auch der Einsatz von Cloud-Technologie.
Viele Unternehmen sind bereits Opfer eines Cyberangriffs gewesen und möchten im Rahmen des oft notwendigen Neuaufbaus der IT-Infrastruktur die Sicherheit verbessern. Der entstandene finanzielle Schaden, auch durch Verlust der Reputation bei Kunden, ist dabei meist um ein vielfaches höher, so dass sich präventives Vorgehen unter Einsatz der erforderlichen Ressourcen an dieser Stelle als durchaus sinnvoll darstellt.
Inhaltsverzeichnis
- 1 EINLEITUNG
- 1.1 Aktuelle Lage der IT-Sicherheit bei KMU
- 1.2 Zielsetzung und Vorgehensweise
- 1.3 Begriffsdefinitionen und Abgrenzung
- 2 GRUNDLAGEN
- 2.1 Vorgaben und Richtlinien zur Informationssicherheit
- 2.1.1 BSI IT-Grundschutz
- 2.1.2 ISO/IEC Normreihe 2700x
- 2.1.3 ISIS 12 Methodik
- 2.1.4 VdS 10000/10020
- 2.1.5 Weitere Richtlinien und Empfehlungen
- 2.1.5.1 IEC 62443
- 2.1.5.2 IT-Sicherheitsgesetz
- 2.1.5.3 CIS-Controls
- 2.2 Referenzmodell eines KMU
- 2.2.1 Organisation
- 2.2.2 Netzwerk
- 2.2.3 Active Directory
- 2.2.4 Unternehmensanwendungen
- 2.2.5 Cloud-Anwendungen
- 2.2.6 Industrial-IT
- 2.2.7 Sicherheitssysteme
- 2.1 Vorgaben und Richtlinien zur Informationssicherheit
- 3 ORGANISATORISCHE MAẞNAHMEN
- 3.1 Organisation der Informationssicherheit
- 3.1.1 Leitlinie und Strategie zur Informationssicherheit
- 3.1.2 Informationssicherheitsbeauftragter (ISB)
- 3.1.3 Organisationsstruktur
- 3.1.4 Einbeziehen der Mitarbeiter
- 3.2 Prozesse und Dokumentation
- 3.2.1 Identitätsmanagement (IAM)
- 3.2.2 Inventarisierung und Dokumentation
- 3.1 Organisation der Informationssicherheit
- 4 TECHNISCHE SCHUTZMAẞNAHMEN
- 4.1 Mehrstufiges Modell
- 4.2 Stufe 0 - Basisschutz
Zielsetzung und Themenschwerpunkte
Diese Bachelorarbeit untersucht die Herausforderungen der IT-Sicherheit in kleinen und mittelständischen Unternehmen (KMU) und entwickelt ein praktisches IT-Grundschutz-Profil, das als Grundlage für individuelle Sicherheitskonzepte dienen kann. Der Fokus liegt auf der Implementierung von Maßnahmen und Empfehlungen, die an die Bedürfnisse von KMU angepasst sind.
- Analyse der aktuellen Bedrohungslage für KMU
- Bewertung und Auswahl relevanter IT-Sicherheitsrichtlinien und -standards
- Entwicklung eines IT-Grundschutz-Profils für KMU
- Beschreibung konkreter Maßnahmen zur Verbesserung der IT-Sicherheit in KMU
- Betrachtung des Einflusses moderner Cyberangriffe auf die Maßnahmen
Zusammenfassung der Kapitel
Die Arbeit beginnt mit einer Einleitung, die die aktuelle Situation der IT-Sicherheit in KMU beleuchtet. Sie erläutert die wachsende Bedrohung durch Cyberangriffe und die Herausforderungen, denen KMU bei der Implementierung von Sicherheitsmaßnahmen gegenüberstehen. Das zweite Kapitel beleuchtet verschiedene Richtlinien und Standards zur Informationssicherheit, die als Grundlage für die Entwicklung des IT-Grundschutz-Profils dienen. Anschließend werden die wichtigsten Elemente eines Referenzmodells für ein KMU vorgestellt, um die verschiedenen Bereiche der IT-Infrastruktur zu beschreiben. Das dritte Kapitel beschäftigt sich mit organisatorischen Maßnahmen zur Verbesserung der Informationssicherheit, die die Bereiche Organisationsstruktur, Prozesse und Dokumentation sowie die Einbeziehung von Mitarbeitern umfassen. Das vierte Kapitel befasst sich mit technischen Schutzmaßnahmen, die in einem mehrstufigen Modell zusammengefasst werden. Der Schwerpunkt liegt dabei auf dem Basisschutz.
Schlüsselwörter
IT-Sicherheit, KMU, IT-Grundschutz, BSI, ISO 27001, VdS 10000, Cyberangriff, Referenzmodell, Informationssicherheit, Sicherheitsmaßnahmen, Organisation, Prozesse, Technik
- Arbeit zitieren
- Nico Ohlig (Autor:in), 2021, IT-Security für KMU. Praxisnahe Maßnahmen und Empfehlungen zur grundlegenden Absicherung der IT-Systeme in kleinen und mittelständischen Unternehmen, München, GRIN Verlag, https://www.grin.com/document/1037239