IT-Sicherheit im Unternehmen nachweisen

Ein Unternehmen der Elektronikbranche entwickelt Hard- und Software. Die Kunden werden bei Bedarf von der Definitionsphase, über die notwendigen Entwicklungsarbeiten, bis hin zur Einführung der Produkte unterstützt. Fragen im Zusammenhang mit der IT-Sicherheit spielen zunehmend eine große Rolle, da z. B. erweiterte Dienstleistungen zu Service, Wartung und Monitoring durch einen internetbasierten Fernzugriff auf die Systeme und Anlagen der Kunden erbracht werden. Die Kunden arbeiten oft bereits mit einem sehr hohen IT-Sicherheitsstandard und fordern dies auch von ihren Partnern ein. Auf Grund dieser Ausgangssituation möchte bzw. muss der Unternehmer den Nachweis erbringen, dass seine Firma selbst ein hohes IT-Sicherheitsniveau aufweist.

Durch das Netzwerk zum richtigen Kontakt

Der geschäftsführende Gesellschafter hatte im Zusammenhang mit einem Digitalisierungsprojekt bereits Kontakt zu einem Mittelstand 4.0-Kompetenzzentrum. Darum erkundigt er sich im Netzwerk ob er Hilfestellung zu einem hinreichenden und für sein Unternehmen passenden IT-Sicherheitskonzept erhalten kann. Durch die Vermittlung im Netzwerk kam der Kontakt zum Mittelstand 4.0-Kompetenzzentrum Chemnitz zustande.
In einem ersten Dialoggespräch schilderte der Unternehmer ausführlich die Problemstellung.

Vorgehen abstimmen und Maßnahmen definieren

Ausgehend von der dargestellten Problemstellung wurde in einem weiteren Gespräch die konkrete Vorgehensweise abgestimmt. In einem ersten Schritt musste das aktuell vorhandene IT-Sicherheitsniveau im Unternehmen erfasst und analysiert werden. Gemeinsam mit einem IT-Dienstleister sollten bei Bedarf Maßnahmen definiert und umgesetzt werden, sodass die IT-Sicherheit im Unternehmen dem Stand der Technik bzw. einem hinreichenden Niveau entspricht. Zur Gewährleistung eines permanent guten IT-Sicherheitsniveaus war es außerdem erforderlich, entsprechende Verantwortlichkeiten und Regelungen festzulegen, um die Wirksamkeit der Maßnahmen kontinuierlich überprüfen und ggf. anpassen zu können.

Analyse – Teil 1

Im ersten Schritt der Analyse nutzte der Unternehmer das Sicherheitstool Mittelstand (www.sitom.de), um sein Unternehmen im Bereich IT-Sicherheit einzuschätzen. Für die tatsächliche Feststellung des vorhandenen IT-Sicherheitsniveaus wurde anschließend die Checkliste aus dem Leitfaden IT-Sicherheit des BSI (Bundesamt für Sicherheit in der Informationstechnik) bearbeitet. Diese Liste wurde um einige zusätzliche Fragen des IT-Dienstleisters erweitert.

Analyse – Teil 2

Die Untersuchung der IT-Sicherheit, insbesondere des Firmennetzwerkes einschließlich der angeschlossenen Hardware-Komponenten, gilt als Schwerpunktthema und wurde im Unternehmen durchgeführt.

Hierzu kam der Demonstrator „Schwachstellen-Scanner“ des Kompetenzzentrums Chemnitz zum Einsatz.

Das Ergebnis war zum einen eine Inventarliste der vorhandenen aktiven Netzwerkgeräte und zum anderen ein Bericht über die gefundenen Schwachstellen dieser Geräte bzw. deren fehlerhafte oder unzureichend sichere Konfiguration.

Analysen auswerten und Handlungsbedarf ableiten

Die Auswertung der jeweiligen Ergebnisse der einzelnen Analysen bzw. Erhebungen erfolgte in zwei Stufen. Zunächst wurden die Resultate parallel vom eingebundenen IT-Dienstleister und von den Kollegen des Kompetenzzentrums ausgewertet, aufbereitet und an den Unternehmer übergeben. Darauf aufbauend wurden in einem gemeinsamen Workshop nochmals die Ergebnisse durch die beteiligten Partner diskutiert und der weitere Handlungsbedarf abgeleitet.

Maßnahmen umsetzen und IT-Sicherheit steigern

Auf Basis der ausgewerteten Analysen bzw. des dazu durchgeführten Workshops wurden durch den IT-Dienstleister und das Kompetenzzentrum verschiedene Maßnahmen zusammengestellt, die der Erhöhung und Aufrechterhaltung eines hinreichenden IT-Sicherheitsniveaus im Unternehmen dienen. Zu den wesentlichsten Punkten der geplanten Realisierungen gehören die Installation einer neuen Firewall und Änderungen im Zusammenhang mit der Datensicherung.

Die Umsetzung der Maßnahmen wird zu einem Teil durch das Unternehmen bzw. seine Mitarbeitenden und zum anderen durch den IT-Dienstleister erfolgen.