Ohne IT läuft nichts - das gilt selbstredend auch für die kleinen und mittleren Unternehmen der Schweiz. Ihre Produkte und Dienstleistungen basieren auf Qualität, Flexibilität und Innovationskraft.

Informationssicherheit ist daher eine strategische und nicht ausschliesslich eine technische Frage. Informationssicherheit kann nur wirkungsvoll und nachhaltig umgesetzt werden, wenn sie ein fester Bestandteil der Unternehmenspolitik ist und das IT-Sicherheitsmanagement organisatorisch im Unternehmen eingebunden wird.

Die Erkennung und Festlegung der kritischen Informationen für ein Unternehmen und die anschliessende Auswahl der geeigneten Massnahmen zur Informationssicherheit sind Führungsaufgaben, die sich nur eingeschränkt delegieren lassen. Damit die Informationssicherheit erfolgreich umgesetzt werden kann, ist die volle Unterstützung des Managements nötig.

Anzeige

Die Verantwortung für die Informationssicherheit liegt beim Management, welches die notwendigen Massnahmen initiieren und deren Umsetzung kontrollieren muss.

Management ist verantwortlich

Dabei gelten die folgenden Management-Grundregeln:

Die Verantwortung für die Informationssicherheit liegt beim Management und kann nicht abgegeben werden. Es entscheidet über den Umgang mit den Risiken, stellt die notwendigen Mittel zur Verfügung und trägt das verbleibende Restrisiko.

Informationssicherheit muss in alle Prozesse und Projekte integriert werden, bei denen Informationen verarbeitet und genutzt werden.

Der Informationssicherheits-prozess muss vom Management überwacht werden.

Für den IT-Betrieb und die Informationssicherheit müssen ausreichende Ressourcen bereitgestellt werden.

Es müssen die organisatorischen Rahmenbedingungen für die Informationssicherheit geschaffen werden.

Die Umsetzung muss wirtschaftlich sein. Informationssicherheit darf nicht mehr kosten als die damit erreichte Risikominderung.

Die Informationssicherheit muss in sinnvoller Relation zum Schutzbedarf stehen (Angemessenheit).

Die Schutzmassnahmen müssen realisierbar sein und dürfen die Sicherheitslage nicht verschärfen (Praktikabilität). Sie müssen nachweisbar Bedrohungen abwehren bzw. Risiken mindern (Wirksamkeit).

Informationssicherheit darf die Geschäftstätigkeit nicht behindern und muss von allen als Notwendigkeit verstanden werden (Akzeptanz).

Die IT-Sicherheitspolitik und die Strategie müssen in regelmässigen Abständen überprüft werden.

Als Erstes muss in einem Unternehmen die Sicherheitspolitik festgelegt werden. Sie stellt grob die allgemeine Richtung der Informationssicherheit dar. Damit bestimmt die Unternehmensleitung, welchen Stellenwert sie in Sachen Sicherheit vertritt. Der Sicherheitsverantwortliche des Unternehmens und das Sicherheitskonzept unterstützen dabei die Geschäftsleitung in der Umsetzung der Strategie. Informationssicherheit betrifft ohne Ausnahme alle Mitarbeitende in einem Unternehmen. Jeder Einzelne kann durch verantwortungs- und qualitätsbewusstes Handeln und Verhalten Schäden vermeiden und zum Erfolg beitragen. Sensibilisierung für Informationssicherheit und entsprechende Schulungen der Mitarbeitenden sowie aller Führungskräfte sind daher eine Grundvoraussetzung für eine erfolgreiche Informationssicherheit.

Um Sicherheitsmassnahmen wie vorgesehen umsetzen zu können, müssen bei den Mitarbeitenden die erforderlichen Grundlagen vorhanden sein. Dazu gehört neben den Kenntnissen, wie Sicherheitsmechanismen bedient werden müssen, auch das Wissen über Sinn und Zweck von Sicherheitsmassnahmen. Auch das Arbeitsklima, gemeinsame Wertvorstellungen und das Engagement der Mitarbeitenden beeinflussen entscheidend die Informationssicherheit und steuern einen wichtigen Beitrag zu einer erfolgreichen und wirksamen Sicherheitskultur bei.

Mitarbeiter sensibilisieren

Werden Mitarbeitende neu eingestellt oder erhalten neue Aufgaben, ist eine gründliche Einarbeitung und Ausbildung notwendig. Hier empfiehlt es sich, den neuen Mitarbeitenden beim Eintrittstag kurz die Sicherheitspolitik mit den entsprechenden Weisungen vorzustellen. Wenn Mitarbeitende das Unternehmen verlassen oder sich ihre Zuständigkeiten verändern, muss dieser Prozess durch geeignete Sicherheitsmassnahmen begleitet werden (z.B. Entzug von Berechtigungen, Rückgabe von Schlüsseln und Ausweisen). Wichtig ist, dass die für die Informationssicherheit verantwortlichen Personen vorgestellt werden, damit die Mitarbeitenden bei Sicherheitsvorfällen schnell die entsprechenden Experten informieren können.

Vergessen Sie nicht, externe und temporäre Mitarbeiter entsprechend zu sensibilisieren und verlangen Sie von ihnen, dass sie eine Vertraulichkeitsvereinbarung beim Eintritt unterschreiben. Folgende Weisungen sind für ein Unternehmen zwingend notwendig:

Umgang mit E-Mail;

Umgang mit Internet;

Umgang mit IT-Sachmittel;

Umgang mit Passwörtern.

Experten an Bord holen

Das neue 10-Punkte-Programm ist einfach gehalten und Massnahmen können auch in einem kleinerern Unternehmen realisiert werden, ohne dass dafür grosse Kosten entstehen. Wo das spezifische Fachwissen in einem KMU nicht verfügbar ist, ist es ratsam, sich von einem externen Experten unterstützen zu lassen.