Archiv Im Blickpunkt

Den „Faktor Mensch“ berücksichtigen


Foto: Eisenhans - stock.adobe.com
Ein modernes Unternehmen ist ohne die Nutzung von Informations- und Kommunikationstechnologien (IT) kaum noch vorstellbar. Doch wie sieht es mit der Sicherheit aus? Der Auf- und Ausbau sicherer IT-Systeme ist eine unerlässliche Investition in die Zukunft. Der Verband Deutscher Papierfabriken (VDP) leistet mit dem IT-Grundschutzprofil für Papierfabriken praktische Hilfestellung für seine Mitglieder.

Dipl.-Vw. Katrin BrabenderVerband Deutscher Papierfabriken e. V.

Die Fälle von Internetkriminalität und Datenklau haben in den letzten Jahren stark zugenommen. Fast 90 Prozent der deutschen Unternehmen waren bereits Ziel von IT-Attacken. Fachleute warnen deshalb davor, sich in falscher Sicherheit zu wiegen. Zudem kann ein Cyber-Angriff mit hohen Kosten verbunden sein.

Daten und vertrauliche Informationen sind wertvoll – für Unternehmen stehen die Wettbewerbsfähigkeit und oft auch ihre Existenz auf dem Spiel, wenn vertrauliche Daten in falsche Hände geraten. Was müssen Unternehmen tun, um ihre Daten zu schützen und – fast noch wichtiger – wie können sie ihre Mitarbeiter für diese Aufgabe sensibilisieren?

Mitarbeiter sensibilisieren

Neben technischen Lösungen muss vor allem „der Faktor Mensch“ beim Aufbau eines Informationssicherheitsmanagement-Systems berücksichtigt werden. Fakt ist nämlich, dass über 80 Prozent aller bekannten Sicherheitsvorfälle – oft unbewusst – von Mitarbeitern verursacht werden, weil sie technische Systeme umgehen und/oder Sicherheitsregeln nicht beachten.

Nur wenn die Anwender den Nutzen von Maßnahmen verstehen und ihr Verhalten anpassen, ist ein Maximum an Informationssicherheit gewährleistet.

„Was kann denn schon passieren?“, mag sich manche oder mancher denken. Aus der Perspektive von Mitarbeiterinnen und Mitarbeitern sind die Folgen von verloren gegangenen oder gestohlenen Daten nicht immer absehbar.

Deshalb muss die Unternehmensführung im Rahmen der internen Kommunikation Mitarbeiter sensibilisieren.

Praktische Beispiele können helfen, konkrete Auswirkungen zu prognostizieren und mögliche Folgen sichtbar zu machen:

  • Was kann passieren, wenn ein unternehmenseigenes Laptop oder Smartphone mit Detailinformationen zu Produkten (Rezepturen,
    Patenten usw.) gestohlen wird?
  • Welcher Schaden kann entstehen, wenn ein Vertriebsmitarbeiter zu
    einem Wettbewerber wechselt und Kundendaten auf einem USB-Stick mitnimmt?
  • Wer kann mitlesen, wenn sich Kollegen über soziale Medien darüber abstimmen, wer in der nächsten Woche welche Aufträge übernimmt?
  • Wer kann Daten missbrauchen, wenn in einem Weihnachtsmailing an die Kunden die Adressen sichtbar im AN-Feld statt unsichtbar im BCC-Feld eingegeben wurden?

Verantwortlich ist die Unternehmensleitung

Diese Beispiele zeigen, dass im Unternehmensalltag viele Gefahren lauern. Verantwortlich für Verstöße gegen den Datenschutz und die Informationssicherheit ist die Geschäftsleitung. Sie muss dafür sorgen, dass der Informationssicherheit im Unternehmen die richtige Priorität eingeräumt wird.

Nach der Erarbeitung einer Sicherheitsrichtlinie für das Unternehmen, die grundsätzliche Fragen und Regeln zum Umgang mit Daten im Betrieb behandelt, muss eine Informationskampagne zur Bekanntmachung folgen. Schulungsmaßnahmen und Trainings (auch online) können auch komplexere Anforderungen erfüllen. Mit Tests und einer Dokumentation der durchgeführten Maßnahmen können die Verantwortlichen nachweisen, alles aus ihrer Sicht Mögliche zur Vermeidung von Sicherheitsrisiken getan zu haben. Das ist im Schadensfall ein wichtiger Punkt. Von besonderer Bedeutung ist die laufende Wiederholung der Maßnahmen sowie Anpassung auf aktuelle Sicherheitsvorfälle.

Das IT-Grundschutz-Profil hilft

Der Verband Deutscher Papierfabriken (VDP) unterstützt seine Mitglieder bei dieser schwierigen Aufgabe. Er engagiert sich in der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI). Zusammen mit dem BSI hat der VDP die Erstellung eines IT-Grundschutz-Profils für Papierfabriken initiiert. Dieses Regelwerk erleichtert es IT-Sicherheitsverantwortlichen in Papierfabriken, ihr Sicherheitskonzept auf die individuellen Rahmenbedingungen im Unternehmen anzupassen.

Ein IT-Grundschutz-Profil ist ein Muster-Sicherheitskonzept, das als Vorlage für Unternehmen mit vergleichbaren Rahmenbedingungen dient. Legt man es für das Sicherheitsprofil des eigenen Unternehmens zugrunde, kann das viel Arbeit und Zeit sparen.

Das Dokument „IT-Grundschutz-Profil für Papierfabriken“ betrachtet die drei relevanten Geschäftsprozesse: Order-to-cash, Produktion, Logistik. Es enthält unter anderem

  • eine Liste der relevanten Zielobjekte (Anwendungen, IT-Systeme sowie Räumlichkeiten), die es zu schützen gilt,
  • eine Zuordnung der dazu passenden allgemeinen IT-Grundschutz-Bausteine des Bundesamtes für
    Sicherheit in der Informationstechnik (BSI) mit Anforderungen und Umsetzungshinweisen sowie
  • Empfehlungen zur Umsetzungsreihenfolge.

Zentrale Hilfestellungen für die Umsetzung im Betrieb bieten „Landkarten“ als Entscheidungsgrundlage für die Unternehmensleitung und ein „Umsetzungs-Fahrplan“ für IT-Fachleute.

Das Dokument IT-Grundschutzprofil für Papierfabriken findet sich auf der VDP Webseite (www.vdp-online.de) unter der Rubrik Ausschuss Betriebswirtschaft. Weitere allgemeine Informationen zum IT-Grundschutz stehen auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.bund.de) zur Verfügung.


Verdachtsfälle melden

Wenn Sie Verdacht auf einen Betrugsfall haben oder Opfer einer Cybercrime-Straftat sind, melden Sie diesen Vorfall umgehend bei Ihrer IT-Abteilung. Diese sollte sich dann an die
Polizei oder die Zentrale Ansprechstelle Cybercrime für Unternehmen und Behörden (ZAC) wenden.


Das Standardwerk für Informationssicherheit

Das „IT-Grundschutz-Kompendium” vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ist das Standardwerk für Informationssicherheit. Im Fokus stehen die sogenannten IT-Grundschutz-Bausteine, die alle relevanten Sicherheitsaspekte berücksichtigen. In einem ersten Teil werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Anwender aus Unternehmen und Behörden können mit den praxisnahen Bausteintexten in ihren Institutionen daran arbeiten, das Sicherheitsniveau anzuheben.