Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht im kürzlich veröffentlichten Bericht zur „Lage der IT-Sicherheit in Deutschland 2022“ von einer Zeitenwende bei der Cyber-Sicherheit, die durch „die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen“ notwendig wird. Das BSI weist aufgrund der „vielfältigen und dynamischen Angriffe“ darauf hin, „wie wichtig ein systematisches, ganzheitliches und pragmatisches Vorgehen zur Absicherung von digitalen Informationen ist“. [1]

Wie kann ein systematisches, ganzheitliches und pragmatisches Vorgehen aussehen?

Mit der Befolgung allgemein anerkannter Standards können sich Unternehmen in die Lage versetzen, systematisch nach Schwachstellen zu suchen, notwendige Schutzmaßnahmen umzusetzen, den Betrieb, die Überwachung, die Aufrechterhaltung und damit die Angemessenheit umgesetzter Schutzmaßnahmen zu überprüfen sowie diese Schutzmaßnahmen fortlaufend zu verbessern. Für dieses ganzheitliche Vorgehen haben sich sogenannte Informationssicherheitsmanagementsysteme (kurz: ISMS) etabliert. Mit ihnen stellen Unternehmen Richtlinien für ihre Zwecke auf und definieren geeignete Verfahren, um ihre Bemühungen für eine angemessene Informationssicherheit zu strukturieren. Sie ermöglichen somit eine individuelle Risikobewertung im Unternehmen sowie daraus abgeleitete individuelle Schutzmaßnahmen.

Zu aufwendig und zu teuer für kleine und mittlere Unternehmen? Nicht unbedingt!

Eine von der Begleitforschung Mittelstand-Digital durchgeführte Expertenbefragung zeigt, dass die größten Hürden bei der Implementierung von ISMS der finanzielle Aufwand und beschränkte personelle Ressourcen sind. Doch die Umfrage zeigt auch, dass Unternehmen, die erst einmal ein ISMS eingeführt haben, meist nachhaltig vom Mehrwert überzeugt sind. [2] Dabei müssen kleine und mittlere Unternehmen nicht die gleichen Konzepte benutzen wie Großunternehmen. Es gibt auch speziell auf kleine und mittlere Unternehmen (KMU) angepasste Konzepte, die auf deren finanzielle und personelle Möglichkeiten Rücksicht nehmen.

Dem Sprichwort „aller Anfang ist schwer“ kann mit den passenden Unterstützungsangeboten ebenfalls entgegengewirkt werden. In unserer aktuellen Publikation Kleine und mittlere Unternehmen mit Sicherheit digitalisieren – Chancen und Herausforderungen bei der Einführung und Zertifizierung von Informationssicherheitsmanagementsystemen (ISMS) stellen wir verschiedene kostenfreie und anbieterneutrale Angebote vor, die es KMU ermöglichen, ein angemessenes Schutzniveau für ihre Informationssicherheit in kleinen Schritten zu erreichen. Warum also nicht klein anfangen und die Informationssicherheit Schritt für Schritt erhöhen?

Wo soll ich anfangen? Wie bleibe ich am Ball?

Neben interaktiven Tools stellen wir in unserer Publikation verschiedene ISMS vor. Auch die, die speziell für KMU entwickelt wurden und mit bereits verhältnismäßig geringem Aufwand und wenigen Vorkenntnissen umsetzbar sind. Die Zentren im Netzwerk Mittelstand-Digital werden in den nächsten Monaten zudem kleine und mittlere Unternehmen bei der Auswahl verschiedener ISMS begleiten. Die Ergebnisse werden praxisnah und verständlich aufbereitet und über unsere Kanäle verbreitet, damit sie anderen als Vorbild dienen und sie sich ebenfalls auf den Weg machen können.

 

Quellen:

[1] BSI (2022): Die Lage der T-Sicherheit in Deutschland 2022

[2] Begleitforschung Mittelstand-Digital – WIK-Consult (2022): Kleine und mittlere Unternehmen mit Sicherheit digitalisieren