Leseprobe
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
1. Einleitung
1.1 Bedeutung der IT-Sicherheit in Kleinen und Mittelständischen Unternehmen.
1.2 Ziele dieser Arbeit
1.3 Aufbau dieser Arbeit
1.4 Literaturreview
2. Theoretische Grundlagen
2.1 Kleine und Mittelständige Unternehmen
2.2 IT-Sicherheit
3. Ist Zustand der IT-Sicherheit in KMU
3.1 Infrastruktur
3.2 Sicherheitskonzept
3.3 IT-Sicherheitsbeauftragter
3.4 Verschlüsselung
3.5 Mobilgeräte
3.6 Mitarbeitersensibilisierung
3.7 Datensicherung
3.8 Risikomanagement
3.9 Datenschutz
4. Konzepte für IT-Sicherheit in KMU
4.1 Infrastruktur
4.2 Sicherheitskonzept
4.3 IT-Sicherheitsbeauftragter
4.4 Verschlüsselung
4.5 Mobilgeräte
4.6 Mitarbeitersensibilisierung
4.7 Datensicherung
4.8 Risikomanagement
4.9 Datenschutz
5. Schlussbetrachtung
5.1 Fazit
5.2 Ausblick
Literaturverzeichnis
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildungsverzeichnis
Abbildung 1: Kernaussagen der Maßnahmen aus dem Bereich Infrastruktur
Abbildung 2: Sicherheitskonzepte und IT-Sicherheitsziele
Abbildung 3: Einsatz von Verschlüsselung nach Unternehmensgröße
Abbildung 4: Umgang mit Mobilgeräten
Abbildung 5: Sensibilisierungsangebot in Unternehmen
Abbildung 6: Sensibilisierungsangebot in Unternehmen
Abbildung 7: Umgesetzte Maßnahmen der Datensicherung
Abbildung 8: Notfallbehandlung gruppiert nach Unternehmensgröße
Abbildung 9: DSGVO - Übersicht nach Unternehmensgröße
Abbildung 10: Selbsteinschätzung der Unternehmen nach DSGVO-Konformität
Tabellenverzeichnis
Tabelle 1: Systematisierung von Unternehmen
1. Einleitung
1.1 Bedeutung der IT-Sicherheit in Kleinen und Mittelständischen Unternehmen
„Das Sprichwort stimmt, dass Sicherheitssysteme immer gewinnen müssen, der Angreifer hingegen muss nur einmal."1
Dieses Zitat stammt aus dem Buch „Die Kunst des Einbruchs", gemeint ist der „Einbruch" in IT-Systeme von Unternehmen. Damit wird die Wichtigkeit der IT-Systeme unterstrichen. Diese IT-Systeme sind umgehend zu überprüfen, sodass möglichst alle Fehlerquellen, ausgeschlossen werden können.2
Denn der Angreifer braucht im besten Falle nur einen Fehler zu finden, um in ein Computersystem einzubrechen. Der Verteidiger muss dagegen so viele Schwachstellen wie möglich beseitigen. Ein etwas ungleicher Kampf.3
Gegenstand dieser Arbeit ist die Sicherheit der Informationstechnologie betrachtet in kleinen und Mittelständischen Unternehmen. An dieser Stelle wird zunächst die enorme Bedeutung von IT-Sicherheit in Unternehmen hervorgehoben.
Digitaler Wandel verändert Privatpersonen aber insbesondere verändert Digitalisierung agierende Unternehmen nachhaltig. Diese gravierenden Veränderungen tragen wesentlich zu einer Kostensenkung bei. Unternehmen die sich konsequent selber digitalisieren, können dadurch wesentliche Effizienzsteigerungen erzielen. Damit werden die Voraussetzungen geschaffen, auch in Zukunft wettbewerbsfähig zu sein. Ein entscheidender Aspekt hierfür sind durchgängige, smarte und elektronische Lösungen, zum Beispiel die Anwendung neuer Softwaresysteme.4
Jedoch sind digitalisierte Prozesse bei entsprechendem unzureichendem Schutz angreifbar. Die IT-Sicherheit in kleinen und Mittelständischen Unternehmen ist Gegenstand dieser Arbeit.
Die Anforderungen an die IT-Sicherheit steigen mit einem zunehmenden Digitalisierungsgrad. Insbesondere in kleinen und Mittelständischen Unternehmen wird diese oftmals als reiner Kostenfaktor aufgefasst. Die langfristigen Vorteile von gut praktizierter IT-Sicherheit werden nicht richtig wahrgenommen.5
Dabei ist die Verfügbarkeit der IT-Systeme und der Daten von höchster Bedeutung, denn längere Ausfälle können zu erheblichen betrieblichen Störungen führen. Die dabei entstehenden Kosten sind meist weitaus höher als die Investitionen in die richtige IT- Sicherheit.6
Darüber hinaus sind auch die gesetzlichen Anforderungen zu beachten. Hierzu zählt zum Beispiel der Umgang mit personenbezogen Daten. Des Weiteren hat beispielsweise sogar die Datenqualität einen Einfluss auf den Wert eines Unternehmens, beispielsweise die Kundenstammdaten.7
Genau wie Kundendaten, gehört das Knowhow im Unternehmen zu den besonders schützenswerten Informationen. Die IT-Sicherheit trägt dazu bei, dass diese Information vertraulich bleiben. Damit leistet dieser Bereich der Informatik einen wesentlichen Beitrag zum nachhaltigen Erfolg eines Unternehmens.8
Die Sicherheit der Informationstechnologie in Kleinen und Mittelständischen Unternehmen ist Gegenstand dieser wissenschaftlichen Arbeit und wird im Folgenden genauer erläutert.
1.2 Ziele dieser Arbeit
Die Zielstellung dieser Arbeit ist die Definition zentraler Begriffe in Bezug auf die IT- Sicherheit in Kleinen und Mittelständischen Unternehmen in Deutschland.
Auf Basis einer von der Industrie- und Handelskammer durchgeführten Studie wird eine aktuelle Bestandsaufnahme der IT-Security-Situation in Deutschland aufgezeigt. Aufbauend auf diesen Umfrageergebnissen leitet sich die folgende Forschungsfrage dieser Arbeit ab:
Welche Maßnahmen können Kleine und Mittelständische Unternehmen ergreifen um ihre IT-Sicherheit zu verbessern?
Ziel dieser Arbeit ist es diese Frage zu beantworten anhand von konkret aufgezeigten Maßnahmen für kleine und Mittelständische Unternehmen.
Des Weiteren sollen in dieser Arbeit die Relevanz und die hohe Bedeutung der IT- Sicherheit für kleine und mittelständische Unternehmen hervorgehoben werden. Dieser Punkt hat auch den Autor dieser Arbeit dazu bewogen sich dieses Thema im Rahmen des Studienmoduls zu widmen.
1.3 Aufbau dieser Arbeit
Dem Thema IT-Sicherheit in kleinen und Mittelständischen Unternehmen wird sich in dieser Arbeit schrittweise angenähert. Zunächst werden themenspezifisch die zentralen Begriffe definiert.
Anschließend wird auf Basis einer von der IHK-Krefeld durchgeführten Studie die aktuelle Situation der IT-Sicherheit in Kleinen und Mittelständischen Unternehmen dargelegt. Die umfragebasierte Studie fand in der Region Mittlerer Niederrhein im Jahr 2019 statt.
Im vierten Abschnitt dieser Arbeit werden Handlungsempfehlungen vorgelegt um die IT-Sicherheit in Kleinen und Mittelständischen Unternehmen zu bewerten und zu verbessern.
Abgeschlossen wird diese Arbeit mit einem Fazit, sowie einem Ausblick auf die zukünftige Anwendung von IT-Sicherheitsmaßnahmen in kleinen und mittelständischen Unternehmen.
1.4 Literaturreview
An dieser Stelle wird ein kurzer Überblick über die verwendete Literatur der vorliegenden Arbeit gegeben.
Dabei wird zwischen der Fachliteratur, welche sich konkret auf das forschungsbezogene Thema bezieht und der Studie und sonstiger Literatur unterschieden.
Zunächst bildet die Fachliteratur zu den zentralen Begriffen im Folgeabschnitt die theoretischen Grundlagen dieser Arbeit.
Des Weiteren fundieren einige der im Hauptteil dieser Arbeit vorgestellten Statistiken und getroffenen Aussagen aus einer von der Industrie und Handelskammer mittlerer Niederrhein durchgeführten Studie.
In dieser Studie wird der aktuelle Stand der IT-Sicherheit in kleinen und mittelständischen Unternehmen ausgewertet. Hierfür wurden 115 Unternehmen befragt.
2. Theoretische Grundlagen
Dieses Kapitel behandelt die theoretischen Grundlagen der zentralen Begriffe dieser Arbeit. Im Folgenden werden die wichtigsten Begriffe definiert.
2.1 Kleine und Mittelständige Unternehmen
An dieser Stelle soll der Begriff „Kleine und Mittelständige Unternehmen" erläutert werden. In dieser Arbeit wird der Begriff mit „KMU" im weiteren Verlauf zur besseren Lesbarkeit abgekürzt.
Allgemein wird mit dem Begriff der kleinen bzw. mittelständische Unternehmen die Unternehmensgröße ausgedrückt. Eine allgemein gültige gesetzliche Definition für den Begriff gibt es jedoch nicht.
Quantitativ bezieht sich der Begriff auf Unternehmen aus allen Branchen, der freien Berufe und auch das Handwerk eingeschlossen. Kriterien für den Begriff der KMU sind festgelegte Kennzahlen, die Unternehmen aus der Kategorie der KMU nicht überschreiten.9 10
In der folgenden Tabelle sind diese „Grenzen" nach denen Unternehmen eingeteilt werden im Überblick dargestellt.
Tabelle 1: Systematisierung von Unternehmen10
Abbildung in dieser Leseprobe nicht enthalten
Die Unternehmenskategorien aus der Tabelle 1 wurden im Januar 2005 von der Europäische Kommission ausgesprochen und sind in Deutschland gültig. Die Kriterien zur Festlegung der Unternehmenskategorie sind die Zahl Mitarbeiteranzahl, der jährliche Unternehmensumsatz und die Bilanzsumme.11
Demnach sind Mikrounternehmen Unternehmen, die weniger als zehn Mitarbeiter beschäftigen haben. Der Jahresumsatz oder die Bilanzsumme von Mikrounternehmen beträgt höchstens zwei Millionen Euro jährlich.12
Kleine Unternehmen sind Unternehmen, die weniger als 50 Mitarbeiter beschäftigen. Deren Jahresumsatz oder deren Jahresbilanzsumme beträgt höchstens zehn Millionen Euro.13
Mittlere Unternehmen bzw. mittelständische Unternehmen sind Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Diese Unternehmenskategorie hat einen Jahresumsatz von höchstens 50 Millionen Euro oder eine Jahresbilanzsumme von höchstens 43 Millionen Euro.14
Eine Besonderheit der Auslegung gibt es für Unternehmen die Inhaber- oder Familiengeführt sind. Hiervon können auch größere Unternehmen nach Mitarbeiterzahl oder Umsatz, dem Mittelstand zugeteilt werden.15
In Deutschland sind 99,5 Prozent aller Unternehmen zu der Unternehmenskategorie der KMU zu zählen, das entspricht der Anzahl von rund 3,6 Millionen Unternehmen. Die hohe Bedeutung für den Arbeitsmarkt unterstreicht, dass rund 59 Prozent aller sozialversicherungspflichtigen Beschäftigten in einem KMU arbeiten. Des Weiteren ist hervorzuheben das 97 Prozent der deutschen Exporteure KMU sind.
Diese Zahlen und der damit verbundenen Bedeutung für die Wirtschaft untermauert die Wichtigkeit der KMU. Damit unmittelbar einhergehend ist die IT-Sicherheit in diesen Unternehmen sehr wichtig.16
Der Fokus der weiteren Betrachtungen dieser Arbeit beziehen sich auf die Kleinen und Mittelständischen Unternehmen.
2.2 IT-Sicherheit
An dieser Stelle soll der Begriff „IT-Sicherheit“ definiert werden. Synonym wird oftmals der Begriff IT-Security verwendet. Dieses Thema der IT-Sicherheit ist ein sehr weitläufiges Themengebiet und wird an dieser Stelle deshalb im Überblick dargestellt in Bezug zu KMU.
Die IT-Sicherheit bezieht sich auf die Gewährleistung von Sicherheit der im Unternehmen eingesetzten Informationstechniken und Informationstechnologien. Hierzu zählen alle Hard- und Softwaresysteme.17
Ziel ist die reibungslose und sichere Informationsverarbeitung und die Kommunikation, dafür sind korrekte Abläufe der Hard- und Software vorausgesetzt. Damit soll auch die Daten und Informationssicherheit durch die IT-Sicherheit sichergestellt werden. Die IT- Sicherheit soll schließlich die Sicherheit bzw. Korrektheit aller Anwendungen gewährleisten, die durch Informationstechnologie ausgeführt bzw. unterstützt werden.18
Problembereiche:
In der IT-Sicherheit gibt es zahlreiche Problembereiche. So können Abläufe der IT- Anwendungen aufgrund fehlerhafter Hardwarekomponenten, zum Beispiel Prozessoren und Speicher, gestört werden. Es können auch Fehler in der Systemsoftware, sprich dem Betriebssystem, oder in Anwendungsprogrammen auftreten.19
Häufige Fehler sind auf Netzsysteme, zum Beispiel auf Kabel oder Router zurückzuführen oder der Netzsoftware zurückzuführen.20
Ein wichtiges Ziel der IT-Sicherheit ist die Sicherheit bzw. Korrektheit der Daten und Informationen, welche in den Anwendungssystemen verarbeitet werden.21
Informations- und Datensicherheit:
In Bezug auf die IT-Sicherheit ist meist die Informations- bzw. Datensicherheit gemeint, denn die Informationen bzw. die Daten sind die „Rohstoffe“ der EDV und der Kommunikation.22
Die Daten bzw. die Informationen die in einem IT-System verarbeitet, gespeichert und weitergeleitet werden, sollen gesichert werden. Das heißt es soll verhindert werden, dass diese unerlaubt verändert, manipuliert, gelöscht, beschädigt oder manipuliert werden.23
Außerdem sollen nur berechtigte Personen Zugriff auf diese Daten erhalten. In diesem Zusammenhang werden die Begriffe „Data Safety“ und „Data Security“ unterschieden. Data Safety umfasst die Maßnahmen zur Sicherung von Daten gegenüber Informations- und Datenverlusten, zum Beispiel durch das Anlegen und Speichern einer regelmäßigen Kopie (Backup) der relevanten Daten.24
Data Security umfasst die Absicherung des Zugangs zu Daten und Informationen durch geeignete Maßnahmen, zum Beispiel die Verschlüsselung.
Handelt es sich um personenbezogene Daten, dann ist der Datenschutz hierfür verantwortlich.25
Sicherheitsziele:
Die wichtigsten Ziele der IT-Sicherheit ist die Verfügbarkeit. Damit ist die Nutzbarkeit der informationstechnischen Ressourcen und vor allem der Daten, die Integrität, das heißt vor allem die Korrektheit und Verständlichkeit der Daten gemeint.
Des Weiteren ist die Vertraulichkeit, das heißt der Schutz vor unbefugten Zugriffen auf die Informationssysteme gemeint. Hierunter zählt auch die Zurechenbarkeit und die Beweisbarkeit. Mit der Verbindlichkeitseigenschaft kann sowohl die Einhaltung gesetzlicher oder vertraglicher Anforderungen und damit Rechtsverbindlichkeit für IT- Systeme sichergestellt werden.26
Die Sicherheit von IT-Systemen ist vielfältigen Gefahren ausgesetzt, die eine Gewährleistung der definierten Sicherheitsziele negativ beeinflussen können. Diese können zu materiellen wie immateriellen Schäden führen. Bedrohungen und Gefährdungen nutzen Schwachstellen in Systemen gezielt aus, die zu Risiken führen.
Mit den Ursachen, dem Erkennen und dem Abwehren von Risiken setzt sich das Risikomanagement auseinander. Das Risikomanagement identifiziert und bewertet Risiken mit der Risikoanalyse. Des Weiteren sollte das Risiko entsprechend gesteuert und kontrolliert werden.27
Ziel der IT-Sicherheit muss es sein, durch geeignete Konzepte belastbare IT- Sicherheitsstrukturen im Unternehmen zu implementieren. Hieraus sollen konkrete Maßnahmen zur Gewährleistung der IT-Sicherheit hervorgehen.28
Im vierten Abschnitt dieser Arbeit werden konkrete Sicherheitsmaßnahmen für KMU’s aufgezeigt.
Maßnahmen:
Zur Gewährleistung der Sicherheit in KMU lassen sich unterschiedliche Maßnahmen ergreifen. Einerseits unterscheidet man vorrangig technische Maßnahmen. Hierzu zählen Antivirenprogramme und Firewall-Systeme, aber auch Verschlüsselungsprogramme (Kryptographie). Hinzukommen Maßnahmen zur Authentifizierung und zur Autorisierung.29
Andererseits lassen sich primär organisatorische Sicherheitsmaßnahmen aufstellen, das heißt sowohl aufbau- als auch ablauforganisatorische Maßnahmen. Dadurch soll der betriebliche Prozess sicher gestaltet werden.30
3. Ist Zustand der IT-Sicherheit in KMU
In diesem Abschnitt wird ein Überblick über den aktuellen Stand der IT- Sicherheitsmaßnahmen in KMUs gegeben. Hierfür wurde die Studie der Industrie und Handelskammer mittlerer Niederrhein herangezogen, worin im Jahr 2019 115 Unternehmen zu ihren IT-Sicherheitsmaßnahmen befragt wurden.31
Die folgenden Kategorien wurden jeweils untersucht:32
- Infrastruktur
- Sicherheitskonzept
- IT-Sicherheitsbeauftragter
- Verschlüsselung
- Mobilgeräte
- Mitarbeitersensibilisierung
- Datensicherung
- Risikomanagement
- Datenschutz
Im Folgenden werden die einzelnen Kategorien im Hinblick auf die IT- Sicherheitsmaßnahmen betrachtet.
[...]
1 (Mitnick & Simon, 2008)
2 (Mitnick & Simon, 2008)
3 (Mitnick & Simon, 2008)
4 (Bundesverband Materialwirtschaft, Einkauf und Logistik e.V., 2017)
5 (Industrie- und Handelskammer Mittlerer Niederrhein, 2019)
6 (Industrie- und Handelskammer Mittlerer Niederrhein, 2019)
7 (Industrie- und Handelskammer Mittlerer Niederrhein, 2019)
8 (Industrie- und Handelskammer Mittlerer Niederrhein, 2019)
9 (Mittelstandspreis, 2020)
10 (Die Bundesregierung, 2020)
11 (Die Bundesregierung, 2020)
12 (Die Bundesregierung, 2020)
13 (Die Bundesregierung, 2020)
14 (Die Bundesregierung, 2020)
15 (Die Bundesregierung, 2020)
16 (Mittelstandsforschung Bonn, 2016)
17 (Gabriel, 2020)
18 (Gabriel, 2020)
19 (Gabriel, 2020)
20 (Gabriel, 2020)
21 (Gabriel, 2020)
22 (Gabriel, 2020)
23 (Gabriel, 2020)
24 (Gabriel, 2020)
25 (Gabriel, 2020)
26 (Gabriel, 2020)
27 (Gabriel, 2020)
28 (Gabriel, 2020)
29 (Gabriel, 2020)
30 (Gabriel, 2020)
31 (Industrie- und Handelskammer Mittlerer Niederrhein, 2019)
32 (Industrie- und Handelskammer Mittlerer Niederrhein, 2019)