Ziel der vorliegenden Bachelorarbeit ist es, auf Basis wissenschaftlicher Erkenntnisse die Wirtschaftlichkeit von Standards und Regularien sowie Gesetzen zur IT-Sicherheit bei KMU zu bewerten.
Kleine und mittlere Unternehmen (KMU) bilden mit über 99 % das Rückgrat der deutschen Volkswirtschaft. Dabei erfolgt der größte Teil von wirtschaftlichen Aktivitäten in KMU vornehmlich mit dem Einsatz der Informationstechnologie (IT). Die IT wird deshalb als ein wichtiger Erfolgsfaktor des Unternehmenserfolges betrachtet. Die IT kann aber dann nur zum Erfolg beitragen, wenn sie auch verlässlich arbeitet.
Viren und Cyberangriffe richten sich nicht ausschließlich gegen Großunternehmen. Immer häufiger sind auch KMU davon betroffen. Im Rahmen elektronischer Geschäftsprozesse ist es daher wichtig, eine sichere und funktionierende IT-Infrastruktur herzustellen. Zu diesem Zweck haben sich eine Reihe von anerkannten Normen, Standards und Best-Praktiken etabliert. Mit deren Hilfe sollen die Risiken auf ein vertretbares IT-Sicherheitsniveau reduziert werden.
Häufig sind es auch gesetzliche Anforderungen, die Institutionen dazu motivieren, sich vermehrt für die Aufgabenstellungen der IT-Sicherheit einzusetzen. Doch gerade KMU sind aufgrund mangelnder personeller und finanzieller Ressourcen bei der Umsetzung von IT-Sicherheitsmaßnahmen oft überfordert.
Inhaltsverzeichnis
1 Einleitung
2 Definitionen
2.1 Sicherheitsbegriffe
2.2 Kleine und mittlere Unternehmen
2.2.1 Quantitative Abgrenzung
2.2.2 Qualitative Abgrenzung
3 Grundlagen der IT-Sicherheit
3.1 Bedeutung der IT-Sicherheit
3.2 Schutzziele der IT-Sicherheit
3.3 Mitarbeitersensibilisierung
3.4 Bedeutung der IT-Sicherheitsmaßnahmen
4 Standards, Best Practice und Gesetze
4.1 Regulatorische und gesetzliche Anforderungen
4.2 Grundsätzliches zu Standardregelwerken
4.3 IT-Grundschutz (BSI)
4.4 Standards des BSI und der IT-Grundschutzkataloge
4.5 ISO/IEC 27000er Familie
4.6 Standards der ISO/IEC 27000er Familie
4.7 COBIT
4.8 ITIL
4.9 Zertifikate
4.10 Gegenüberstellung von Standards, Best Praktiken und Gesetzen
5 IT-Sicherheit in KMU
5.1 Ökonomische Bedeutung der IT-Sicherheit für KMU
5.2 IT-Sicherheitsniveau
5.3 IT-Sicherheitsbewusstsein und IT-Sicherheitsstand in KMU
5.4 Wirtschaftlichkeitsbetrachtung vor dem Hintergrund eines KMU
5.4.1 Quantitativer und qualitativer Nutzen von IT-Sicherheitsmaßnahmen
5.4.2 Erstellung einer Wirtschaftlichkeitsbewertung anhand von Beispielen
6 Zusammenfassung
Zielsetzung & Themen
Ziel dieser Arbeit ist die Bewertung der Wirtschaftlichkeit von IT-Sicherheitsstandards, Gesetzen und Regularien speziell für kleine und mittlere Unternehmen (KMU), um eine Grundlage für effiziente Investitionsentscheidungen zu schaffen.
- Grundlagen der IT-Sicherheit und Definition von KMU
- Analyse gesetzlicher Anforderungen und anerkannter Standards (ISO 27000, BSI-Grundschutz, COBIT, ITIL)
- Untersuchung des IT-Sicherheitsniveaus und -bewusstseins in KMU
- Wirtschaftlichkeitsbetrachtung von Sicherheitsmaßnahmen (Kosten-Nutzen-Analyse)
- Bewertung von Zertifizierungsmöglichkeiten für den Mittelstand
Auszug aus dem Buch
3.2 Schutzziele der IT-Sicherheit
Sämtliche Unternehmen sind heute in ihren Geschäftsprozessen oft von Informationen und Daten abhängig – sei es zur Kommunikation, zur Aufbereitung oder zur Aufbewahrung relevanter Sachverhalte (vgl. Königs 2009, S. 119). Somit stellen die Informationen und Daten einen großen Teil des Unternehmenswertes dar. Aufgrund dessen ist es wichtig, die Daten so zu schützen, dass sie dem Unternehmenszweck weiterhin dienen können. Um dies zu ermöglichen, muss die Datenhaltung eines Unternehmens im Rahmen der IT-Sicherheit wichtige Voraussetzungen erfüllen (vgl. Deutsch et al. 2007, S. 57).
Der Zugriff auf diese Informationen und Daten ist zu begrenzen und zu kontrollieren, sodass nur bestimmten Personen des Unternehmens ein Zugriff gestattet wird (vgl. Eckert 2014, S. 6). In der Literatur wird in diesem Kontext von den Schutzzielen der IT-Sicherheit gesprochen. Diese sogenannten Schutzziele sind Vertraulichkeit, Verfügbarkeit und Integrität. Etwas präziser werden diese Schutzziele mit der Vertraulichkeit von Informationen, der Integrität von Daten und der Verfügbarkeit von Datenträgern umschrieben (vgl. Kersten und Klett 2008a, S. 43). Im Folgenden werden die zuvor genannten Schutzziele erläutert.
Zusammenfassung der Kapitel
1 Einleitung: Hinführung zur Bedeutung der IT-Sicherheit für KMU als Rückgrat der deutschen Wirtschaft und Zielsetzung der Arbeit.
2 Definitionen: Abgrenzung zentraler Begriffe der IT-Sicherheit sowie quantitative und qualitative Definition von KMU.
3 Grundlagen der IT-Sicherheit: Erläuterung der Bedeutung, der Schutzziele und der Rolle der Mitarbeitersensibilisierung sowie Sicherheitsmaßnahmen.
4 Standards, Best Practice und Gesetze: Darstellung regulatorischer Anforderungen und Analyse gängiger Standards wie BSI-Grundschutz, ISO/IEC 27000er Familie, COBIT und ITIL.
5 IT-Sicherheit in KMU: Analyse der wirtschaftlichen Bedeutung, des aktuellen Sicherheitsstandes und Wirtschaftlichkeitsbetrachtung unter Berücksichtigung von KMU-spezifischen Rahmenbedingungen.
6 Zusammenfassung: Synthese der Ergebnisse zur Notwendigkeit und Umsetzbarkeit von IT-Sicherheitsstrategien in KMU.
Schlüsselwörter
IT-Sicherheit, KMU, Informationssicherheit, ISO 27001, IT-Grundschutz, Risikomanagement, Wirtschaftlichkeit, Datenschutz, Best Practice, Compliance, Sicherheitsmaßnahmen, Sensibilisierung, IT-Governance, Datensicherheit, Notfallmanagement.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit untersucht, wie KMU die Wirtschaftlichkeit von IT-Sicherheitsstandards und gesetzlichen Anforderungen bewerten und umsetzen können.
Was sind die zentralen Themenfelder?
Die Arbeit fokussiert sich auf IT-Sicherheitsgrundlagen, regulatorische Anforderungen, internationale Standards wie ISO 27001 sowie deren spezifische Anwendung und Wirtschaftlichkeit in KMU.
Was ist das primäre Ziel der Arbeit?
Das Ziel ist die Bewertung der Wirtschaftlichkeit von Standards und Regularien, um KMU eine Hilfestellung bei der Entscheidung für angemessene IT-Sicherheitsinvestitionen zu geben.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer wissenschaftlichen Literaturanalyse und der Anwendung von Kosten-Nutzen-Betrachtungen für Sicherheitsmaßnahmen im Kontext von KMU.
Was wird im Hauptteil behandelt?
Der Hauptteil analysiert Grundlagen, gesetzliche Pflichten, diverse Sicherheitsstandards, das IT-Sicherheitsbewusstsein in KMU sowie praktische Ansätze zur Wirtschaftlichkeitsbewertung.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird maßgeblich durch die Begriffe IT-Sicherheit, KMU, ISO 27001, IT-Grundschutz und Wirtschaftlichkeit bestimmt.
Wie unterscheidet sich die ISO 27001 vom IT-Grundschutz des BSI?
Die ISO 27001 bietet mehr Flexibilität bei der Prozessgestaltung, während der IT-Grundschutz detaillierte, strukturierte Umsetzungshinweise für spezifische Gefährdungslagen bereitstellt.
Warum stellt das "Social Engineering" ein spezifisches Problem für KMU dar?
Da KMU oft weniger formelle Sicherheitsprozesse haben und auf Vertrauen basieren, nutzen Angreifer soziale Fähigkeiten aus, um Mitarbeiter zur Preisgabe vertraulicher Informationen zu bewegen.
Was bedeutet "Wirtschaftlichkeit" im Kontext der IT-Sicherheit?
Wirtschaftlichkeit liegt vor, wenn der Nutzen einer Sicherheitsmaßnahme (durch Risikominimierung und Schadensvermeidung) den finanziellen und personellen Aufwand für deren Implementierung rechtfertigt.
- Citation du texte
- Ertan Oeztas (Auteur), 2016, Bewertung von Gesetzen, Standards und Regularien zur IT-Sicherheit bei kleinen und mittleren Unternehmen, Munich, GRIN Verlag, https://www.grin.com/document/339309
