Sicherer elektronischer Geschäftsverkehr - eBusiness Lotse Berlin

cdserv.de

Sicherer elektronischer Geschäftsverkehr - eBusiness Lotse Berlin

Text und Redaktion

Dagmar Lange,

SAGeG, Chemnitz

Prof. Dr.-Ing. habil. Günther Neef,

PROREC – Gesellschaft für Ingenieurdienstleistungen mbH,

Chemnitz

Dr.-Ing. habil. Harald Keßler,

PROREC – Gesellschaft für Ingenieurdienstleistungen mbH,

Chemnitz

Grafische Konzeption und Gestaltung

Peter Heidrich,

PROREC – Gesellschaft für Ingenieurdienstleistungen mbH,

Chemnitz

Stand:

Dezember 2010


Vorbemerkungen.....................................................................04

1 E-Geschäftsprozesse in KMU und Handwerk............................ 05

1.1 Geschäftsprozesse im Unternehmen................................. 05

1.2 E-Geschäftsprozesse mit Unternehmen und Behörden....... 06

2 Sichere Informations-Infrastruktur........................................... 07

3 Sicherer Datenaustausch......................................................... 09

3.1 Datenaustausch im Unternehmen......................................09

3.2 Datenaustausch über Unternehmensgrenzen hinweg........ 12

4 Lösungsansatz........................................................................ 14

4.1 Grafische Darstellung von E-Geschäftsprozessen...............16

4.2 Zielgruppenorientiertes Beispiel........................................ 21

4.3 Referenzbeispiel für einen Unternehmensbereich.............. 24

4.4 Praxisbeispiele..................................................................26

4.4.1 Beispiel 1 Wareneingang.........................................26

4.4.2 Beispiel 2 Fertigung................................................29

4.4.3 Beispiel 3 Fertigung/Auslieferung...........................33

5 Checklisten............................................................................. 35

6 Fazit: Sichere Geschäftsprozesse............................................. 40

7 Informationen und Literatur.................................................... 41

8 Anhang................................................................................... 42


4 | Vorbemerkung

IT-Sicherheit ist ein Begriff, der in den vergangenen

Jahren gerade für kleine und mittlere Unternehmen einen

hohen Stellenwert erhalten hat. Gibt es doch kaum noch

ein Unternehmen, und ist es noch so klein, dass ohne

Computer, Mobiltelefon oder Verbindung zum Internet

seine Geschäftstätigkeit ausüben kann.

Der Umfang an Daten, die nicht mehr oder nicht mehr

nur in Papierform abgelegt und ausgetauscht werden, hat

sich vervielfacht und wird sich weiter erhöhen. Für

Unternehmen jeder Größe sind die sichere Speicherung

ihrer Daten aber auch deren ständige und schnelle

Verfügbarkeit mit dem Erfolg der Geschäftstätigkeit

verbunden.

Für das Management von IT-Sicherheit in Unternehmen

und Behörden wurde die Normenreihe ISO 27000

entwickelt. Die Anwendung dieser Normenreihe ist

geeignet, bestmögliche Informationssicherheit zu gewährleisten

und diese eventuell zertifizieren zu lassen.

Die Norm DIN ISO/IEC 27001 (Informationssicherheits-

Managementsysteme, Anforderungen) enthält die

formale Spezifikation und die normativen Anforderungen

an die Einrichtung, Umsetzung, Durchführung, Überwachung,

Überprüfung, Instandhaltung und Verbesserung

eines Informationssicherheits-Managementsystems.

Die internationale Norm ISO 27001 ist mit ISO 9001

(Qualitätsmanagementsysteme) und ISO 14001 (Umweltmanagementsysteme)

abgestimmt worden, um die

konsistente und integrierte Umsetzung und Durchführung

mit verwandten Managementsystemen zu

unterstützen.

Für viele kleine und kleinste Unternehmen wird es in

naher Zukunft aus personeller und finanzieller Sicht nicht

möglich sein, das Vorgehen nach der genannten

Normenreihe vollständig umzusetzen.

Während typische technische Vorsorge (wie Virenscanner,

Firewall, Backup der Daten) schon jetzt zum allgemeinen

Sicherheitsstandard auch in kleinen Unternehmen gehört,

besteht oftmals Unkenntnis darüber, wie mit geringem

Aufwand Gefährdungen der eigenen Informationsprozesse

erkannt werden können und, wo es

dringend erforderlich ist, Maßnahmen anzusetzen sind,

um bestehende Gefährdungen zu minimieren.

In dieser Broschüre wird an praktischen Beispielen

demonstriert, wie aus der Kenntnis der individuellen

Geschäftsabläufe von kleinen Unternehmen mögliche

Gefährdungen der IT-Sicherheit erkannt und Gegenmaßnahmen

abgeleitet werden können.

Das Grundprinzip besteht darin, die Zusammenhänge

zwischen Geschäftsprozessen und notwendiger

IT-Sicherheit zu erkennen, um Maßnahmen zur Sicherung

der eigenen Geschäftstätigkeit zu erzeugen. Es können

hier nur Denkanstöße gegeben werden, da jedes

Unternehmen durch seine individuellen Geschäftsprozesse

geprägt ist. Für ausgewählte, abgrenzbare Teilprozesse

sind jedoch auch zu verallgemeinernde Regeln

zu finden.


E-Geschäftsprozesse in KMU und Handwerk | 5

Jeder Unternehmer organisiert seine Geschäftstätigkeit

nach den Erfordernissen, die am Markt vorzufinden sind.

Dabei spielen Branchen- und Produkteigenheiten eine

nicht zu unterschätzende Rolle. Ein weiterer wichtiger

Gesichtspunkt für die Ausgestaltung der Geschäftsprozesse

ist der Grad der Arbeitsteilung, also die

Frage, ob das Unternehmen in eine Produktionskette

eingebunden ist oder Produkte und Leistungen mit nur

geringen Einflüssen von außerhalb erzeugt werden.

Administrative und gesetzliche Ansprüche an die

Geschäftstätigkeit gelten zwar für jedes Unternehmen

gleichermaßen und der Unternehmer ist für deren

Umsetzung verantwortlich, jedoch gibt es auch hier

Unterschiede im Grad der erforderlichen Umsetzung und

in der Art und Weise der Umsetzung.

Es gibt viele Veröffentlichungen, die unternehmensinterne

Geschäftsprozesse mit dem Ziel der Optimierung

beschreiben. Dabei spielt die Nutzung der Computertechnik

mit verschiedenen Anwendungen (Computerprogrammen)

eine immer größere Rolle. Diese

Anwendungen wurden in ihrer Entstehungsphase durch

ihre Funktionalität geprägt, das heißt, ein Trend zur

Vereinheitlichung von Geschäftsabläufen war erkennbar.

Moderne Programme unterstützen die individuelle

Prozessgestaltung und beachten auch die Anforderungen

an die Informationssicherheit immer besser. Neben der

Nutzung dieser Anwendungen sind weitere Maßnahmen

notwendig, die durch infrastrukturelle Vorkehrungen der

Informationstechnik und die Organisation im Unternehmen

die erforderliche Informationssicherheit

garantieren.

Abbildung 1: Beispiele für Geschäftsprozesse innerhalb eines Unternehmens

Eine Forderung zur Informationssicherheit

steht außer Frage: Es darf

keinen Totalverlust irgendwelcher

Geschäftsdaten geben. Dafür sind sowohl

technische als auch organisatorische

Vorkehrungen zu treffen.

Jeder Unternehmer hat besonders seine Kernprozesse

(z. B. Konstruktion, Fertigung, Logistik) im Auge, die

planmäßig ablaufen müssen und im Wertschöpfungsprozess

die entscheidende Rolle spielen. Aber auch die

Unterstützungsprozesse als Querschnittsaufgaben

(Personal- und Finanzmanagement oder IT-Management)

stellen an die Informationsverarbeitung und damit

Sicherheit der Daten besondere Anforderungen.


6 | E-Geschäftsprozesse mit Unternehmen und Behörden

Abbildung 2: Auswahl an Geschäftsprozessen

gegliedert nach Führungsprozessen,

Kernprozessen und Unterstützungsprozessen

Ein Merkmal der in Abbildung 2 dargestellten typischen Prozesse ist deren Verknüpfung mittels Daten, wobei die

Verknüpfung selbst durch die Mitarbeiter des Unternehmens herbeigeführt wird. Diese nicht dargestellten Verbindungen

stellen jedoch, wie im Weiteren gezeigt wird, das entscheidende Bindeglied zwischen Geschäftsprozess und IT-Sicherheit dar.

Unternehmen sind über den Austausch von Geschäftsdaten

auf unterschiedliche Weise mit Geschäftspartnern

und Behörden verbunden. Der Anteil der auszutauschenden

Daten, der auf elektronischem Weg erfolgt,

ist in den vergangenen Jahren stetig angestiegen und

dieser Trend wird sich fortsetzen.

Der meiste Datenverkehr entsteht zu Lieferanten und

Kunden sowie Behörden und Dienstleistern, die

Finanzleistungen bearbeiten. Die Nutzung des Internets

mit seinen Diensten Email und WWW hat sich als

Basistechnologie für den schnellen Datenaustausch

entwickelt. Internet und Email sind jedoch Basistechnologien,

die selbst unsicher sind. Ein Wandel dieser

Technologien ist in Ansätzen erkennbar, sodass Sicherheitsverfahren

auf diese Technologien aufgesetzt werden,

wobei deren Vielfalt für den Anwender erschreckend

groß ist.

Abbildung 3: Typische Geschäftsprozesse außerhalb des

Unternehmens


Sichere Informations-Infrastruktur | 7

Die Informations-Infrastruktur, die heute in Handwerksbetrieben

bis zu mittleren Unternehmen vorhanden

ist, kann vom einfachen Personal Computer mit Drucker

und Internetanschluss bis zu komplexen Netzwerken mit

Servern und redundanten Speicherkomponenten reichen.

Abhängig ist dieser Zustand vom Geschäftsfeld und von

der Komplexität der Geschäftstätigkeit.

Firewall

Abbildung 4: der typische IT-Einzelarbeitsplatz

Entsprechend verschiedene Varianten sind auch

bezüglich der Betreuung der Informationstechnik zu

finden. Diese reichen von der Betreuung durch externe

Dienstleister bis zur Betreuung durch einen eigenen

Administrator bzw. IT-Abteilung. Aus dieser Situation

ergibt sich ein sehr unterschiedlicher Wissensstand zu

den Fragen der IT-Sicherheit in den Unternehmen.

Abbildung 5: das kleine Büro

Erfahrungen zeigen, dass die in dieser Broschüre

gezeigte Methodik Geschäftsprozess und Informationssicherheit

in ihrem Zusammenhang zu sehen, es

Geschäftsführungen und Leitungspersonal auf der einen

und auf der anderen Seite IT-Verantwortlichen

ermöglichen, eine gemeinsame Verständigungsbasis

(Sprache) zu finden.


8 | Sichere Informations-Infrastruktur

Im Folgenden werden ausgewählte Mindestanforderungen

an Technik und Organisation zur Sicherung der Geschäftsprozesse

benannt:

Halten Sie Betriebssystem und Anwendungsprogramme durch zeitnahes Einspielen von Sicherheits-

Patches und neuen Versionen auf einem aktuellen Stand.

Der Einsatz aktueller Virenschutzprogramme ist ein „Muss“.

Arbeiten Sie nicht mit Administrator-Rechten. Angreifer haben sonst ein leichteres Spiel.

Sichern Sie Ihre Datenbestände regelmäßig und üben Sie auch das Rückspielen.

In Anhängen von Email und auf WEB-Seiten kann sich Schadsoftware verbergen. Vertrauen Sie nicht

nur Ihrem Virenscanner, sondern öffnen Sie unbekannte bedenkliche Datenquellen nicht.

Für vernetzte Arbeitsplätze in kleinen Unternehmen gelten

zusätzlich folgende Hinweise:

Vergeben Sie die Rechte im Netzwerk so, dass die Beschäftigten nur Zugriff auf zugeteilte Daten und

Programme haben.

Regeln Sie bereits bei der Einstellung von Mitarbeitern die Rechte zur Nutzung der IT-Infrastruktur

und des Internets.

Passworte sind zwar lästig, bieten jedoch einen Schutz, um Angriffe zu verzögern.

Mobile Datenträger haben die Bürowelt erobert. Sie stellen ungeschützt eine ständige Gefahrenquelle

für den Verlust von Daten durch Diebstahl dar.

Mobile Datenträger sind geeignet, nahezu unbeobachtet Schadprogramme auf einen Computer zu

spielen.

Eine sichere Informations-Infrastruktur ist heute Grundlage für „sichere“ Geschäftsprozesse.


Sicherer Datenaustausch | 9

Der Austausch von Daten ist eine Grundfunktion in

jedem Geschäftsprozess. Daten sicher auszutauschen ist

kein triviales Problem, sondern ein sehr umfangreiches

und komplexes Vorhaben für jedes Unternehmen.

Die Redewendung „Das lag aber am Programm.“ kennt

jeder, ist aber symptomatisch für Unsicherheiten der

Informationsverarbeitung in der Geschäftstätigkeit

allgemein.

Um Gefährdungen und möglichen Gegenmaßnahmen zu

erkennen, ist es sinnvoll, strukturiert vorzugehen und in

einem ersten Gliederungsschritt zwischen Datenaustausch

innerhalb des Unternehmens und Datenaustausch

zu Geschäftspartnern und Behörden außerhalb

des Unternehmens zu unterscheiden.

Abbildung 6: Beispiel für Datenaustausch innerhalb und außerhalb

des Unternehmens

Viele kleine und mittlere Unternehmen vertrauen ihren

Mitarbeitern. Deshalb werden entlang des Geschäftsprozesses

häufig den Mitarbeitern mit „Bürotätigkeit“

maximale Rechte für den Zugriff auf Geschäftsdaten

eingeräumt. Begründungen dafür sind die notwendige

Flexibilität der Mitarbeiter sowie der geringere administrative

Aufwand zur Pflege der Daten. Häufig ist in

kleinen Unternehmen die Situation so, dass ein und

derselbe Mitarbeiter in verschiedenen Rollen Zugriff auf

die Datenbestände erhalten muss. Technisch ist dann in

der Regel ein Fileserver im Einsatz, dessen Verzeichnisse

mehr oder weniger gut strukturiert sind. Für den Notfall

ist oftmals eine Backup-Lösung mit unterschiedlichen

Speichermedien vorhanden.

Dass relativ wenige Schadensfälle in Form von

Datenveränderungen oder –verlusten bekannt werden, ist

vor dem Hintergrund zu sehen, dass viele Mitarbeiter mit

gespeicherten Daten wirklich sehr umsichtig umgehen,

aber auch, dass derartige Vorfälle nur selten an die

Öffentlichkeit geraten. Tritt jedoch tatsächlich ein

Schaden ein, dann ist der Aufwand für die Schadensbeseitigung

oft erheblich groß.

Unternehmen, die dieser Gruppe zuzuordnen sind, sind

oftmals auch solche, die sich noch keine generellen

Gedanken zur Optimierung ihrer Geschäftsprozesse

mithilfe der möglichen Computeranwendungen gemacht

haben oder machen konnten.

Abbildung 7: Lose gekoppelte Geschäftsprozesse

Im genannten Fall ist der Datenaustausch zwischen den

Geschäftsprozessen lose gekoppelt (siehe Abbildung 7).

Das bedeutet, Dateien werden von verschiedenen

Mitarbeitern geöffnet, verändert und wieder gespeichert.

Es ist dabei nicht ausgeschlossen, dass verschiedene

Versionen einer Datei an verschiedenen Orten (Ordnern)

gespeichert werden.

Datenverluste, Missverständnisse und Verzögerungen

können nicht ausgeschlossen werden bzw. sind regelrecht

zu erwarten.


10 | Datenaustausch im Unternehmen

Zur zweiten Gruppe gehören diejenigen Unternehmen,

die komplexe Software zur Rationalisierung ihrer E-Geschäftsprozesse

nutzen, seien es ERP-, PPS-, DMS- oder

andere Anwendungen.

ERP (Enterprise Ressource Planning): „Als integrierte, anpassbare Unternehmenssoftware unterstützen

ERP-Systeme Kern- und Supportprozesse umfassend von der Produktion über Einkaufs-, Lager- und

Verkaufsprozesse bis hin zu Personal- und Rechnungswesenprozessen. Dabei werden die zu verarbeitenden

Daten in einer gemeinsamen Datenbasis gehalten.“ (Becker Jörg, Vering Oliver, Winkelmann Axel:

Softwareauswahl und –einführung in Industrie und Handel, Berlin Heidelberg New York, Springer-Verlag, 2007,

ISBN 978-3-540-47424-1)

PPS (Produktionsplanung und -steuerung): „Ein PPS-System ist ein System aus Computerprogrammen, das den

Anwender bei der Produktionsplanung und -steuerung unterstützt und die damit verbundene Datenverwaltung

übernimmt.“ (Hesseler Martin, Görtz Marcus, Basiswissen ERP-Systeme, Herdecke Witten, W3L-Verlag, 2007,

ISBN 978-3-937137-38-4)

DMS (Dokumenten Management System): Das Dokumenten-Management umfasst dabei alle Prozesse, Abläufe

und Verantwortlichkeiten, die mit der Administration von Dokumenten zusammenhängen.“ (Götz Klaus, Schmale

Ralf, Maier Berthold, Komke Torsten, Dokumentenmanagement, 4. Auflage, Heidelberg, dpunkt.verlag, 2008,

ISBN 978-3-89864-529-4)

Die E-Geschäftsprozesse sind dann bezüglich der

verarbeiteten Daten stark gekoppelt (siehe Abbildung

8). Die Mitarbeiter greifen entsprechend ihrer sinnvoll

eingeschränkten Rechte auf eine gemeinsame Datenbasis

zu. In der Regel sind das Datenbanken, auf welche die

genannten ERP-, PPS- oder DMS-Anwendungen aufsetzen

und gemeinsam zugreifen.

Bei Einsatz der genannten Anwendungen wird das

Unternehmen zur Durchsetzung eines straffen Rollenund

Rechtemanagements hingeführt, nachdem die

Geschäftsabläufe analysiert und strukturiert wurden. Der

Antrieb zu dieser Handlungsweise entsteht im

Unternehmen selbst aus Rationalisierungsgründen, aber

auch immer häufiger durch die Mitgliedschaft in

Lieferketten oder Unternehmensnetzwerken.

Abbildung 8: Starke gekoppelte Geschäftsprozesse


Datenaustausch im Unternehmen | 11

Bereits in kleinen Handwerksbetrieben wird häufig ein

Standard-Warenwirtschaftssystem eingesetzt, um die

verschiedenen „Schreibtisch“-Aufgaben zu vereinfachen.

Dabei werden nicht immer alle in Abbildung 9

dargestellten Funktionen auch genutzt, sondern nur diejenigen,

die für das Unternehmen zutreffend sind.

Abbildung 9: Geschäftsprozesse um ein Warenwirtschaftssystem

Die Daten innerhalb eines Unternehmens liegen derzeit

in der Regel unverschlüsselt vor. Noch immer werden die

Gefährdungen, die damit verbunden sind, unterschätzt.

Ist doch das Ausspionieren von Daten nicht nur eine

theoretische Möglichkeit, um einem Unternehmen einen

Schaden zufügen zu können.

Unabhängig von der Größe des Unternehmens zeigen

Erfahrungen, dass Geschäftsdaten nur sicher sind, wenn

sowohl die Organisation im Unternehmen geordnet

wurde, die Infrastruktur auf einem aktuellen Stand

gehalten wird und alle Mitarbeiter das notwendige

Wissen über IT-Sicherheit besitzen.

Abbildung 10: Grundlegende Anforderungen an sichere Geschäftsdaten

Die Kenntnisse über die Geschäftsprozesse im Unternehmen, die darin beteiligten

Mitarbeiter und die verarbeiteten Daten ermöglichen es, Lösungen für eine sichere

Datenverarbeitung zu schaffen.


12 | Datenaustausch über Unternehmensgrenzen

Unternehmen sind mit anderen Unternehmen oder Behörden

verbunden, sodass externe E-Geschäftsprozesse

ablaufen. Der dafür notwendige Datenaustausch erfolgt

stetig wachsend auf elektronischem Wege. Kunden- und

Lieferantenbeziehungen, Beziehungen zu Unterauftragnehmern

aber auch Service- oder Supportleistungen

stellen eine Auswahl dieser Beziehungen dar und sind

Teile des Geschäftsprozesses.

Die sichere Übertragung der dafür notwendigen Daten

hat viele Facetten, die zu beachten sind.

Noch mehr als im internen Datenverkehr spielen die

Forderungen nach IT-Sicherheit im Datenverkehr über

Unternehmensgrenzen hinweg eine Rolle, weil die Nichtbeachtung

zu juristischen Verwicklungen aber auch

erheblichen finanziellen Verlusten führen kann. Die aus

Gesetzen, Anordnungen und für die Branche spezifischen

Regeln begründeten Anforderungen an Unternehmen

steigen ständig. Gerade für kleine Unternehmen ist es

kaum möglich, alle Anforderungen an Compliance umzusetzen,

obwohl auch hieraus Forderungen an die sichere

Verarbeitung und Langzeit-Speicherung von Daten

entstehen.

Abbildung 11: Datendiebstahl eine unterschätzte Gefährdung

Der Begriff Compliance (deutsch: Regelüberwachung) bezeichnet die Gesamtheit aller zumutbaren Maßnahmen,

die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im

Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Darüber hinaus soll die Übereinstimmung des

unternehmerischen Geschäftsgebarens auch mit allen gesellschaftlichen Richtlinien und Wertvorstellungen, mit

Moral und Ethik gewährleistet werden. (Wikipedia 19.04.2010)


Datenaustausch über Unternehmensgrenzen | 13

Beispielsweise können Gefährdungen für den Geschäftsablauf

entstehen, wenn Bestell- oder Lieferdaten nicht

fristgerecht, mit gefälschten Mengenangaben oder auch

an die falsche Adresse in einer Email gerichtet werden.

Auch in diesem Fall sind technische Lösung, Personalund

Unternehmensorganisation nicht voneinander zu

trennen. Wir wissen heute, dass keine technische Lösung

mit vernünftigem Aufwand zu installieren ist, die

absolute Datensicherheit garantieren kann. Um so mehr

muss der Unternehmer erwarten, dass seine Mitarbeiter

das notwendige Wissen über sicheren Datenaustausch

besitzen und dieses auch anwenden. Unterstützend

haben sich dabei eindeutige Organisationsanweisungen

zum Datenaustausch erwiesen, die von allen Mitarbeitern

zu befolgen sind.

Abbildung 12: Verbesserung der rechtlichen Situation beim Datenaustausch

nach außen

Beispielsweise soll eine Anweisung zur Nutzung von Email folgende Elemente enthalten:

Private Nutzung von Email im Unternehmen

Angaben, die eine gesendete Email enthalten muss

Verzeichnisse, in denen eingehende und gesendete Email zu speichern sind

Vertretungsregelung

Nutzung des firmeninternen Adressverzeichnisses

Signatur und Verschlüsselung des Inhalts

Durch die Kenntnis der Schnittstellen der Geschäftsprozesse

nach außen erhält das Unternehmen die Möglichkeit,

einen sicheren Datenaustausch zu organisieren.


14 | Lösungsansatz

Im Verbundprojekt „Sichere E-Geschäftsprozesse in KMU

und Handwerk“ des Netzwerkes elektronischer Geschäftsverkehr

(NEG) wurde der folgend dargestellte Ansatz zur

Erhöhung der IT-Sicherheit in kleinen und mittleren

Unternehmen erfolgreich erprobt.

Unternehmer und ihre verantwortlichen Angestellten

haben ein begrenztes Zeit- und Finanzbudget. Der Prozess

des Verbesserns der IT-Sicherheit im Unternehmen

wird sich über einen größeren Zeitraum erstrecken. Unter

Beachtung dieser praktischen Erfahrung ist ein

schrittweises Vorgehen mit planbaren Teilzielen von

Beginn an zu wählen. In Abbildung 13 werden die 3

Hauptphasen dieses Prozesses dargestellt.

Abbildung 13: Hauptphasen der Vorgehensweise


Lösungsansatz | 15

Folgende Vorgehensweise hat sich in der Praxis als tauglich erwiesen:

1. Die Geschäftsführung für die Problemlösung sensibilisieren

2. Workshop mit der Geschäftsführung und den Wissensträgern durchführen

3. Die Geschäftsprozesse gemeinsam mit den im Unternehmen Verantwortlichen aufnehmen

4. Die Datenverarbeitung besonders herausarbeiten

5. Darstellen der Geschäftsprozesse

6. Gefährdungen aufzeigen

7. Maßnahmen ableiten

8. Maßnahmen umsetzen

Zu 1. Die Geschäftsführung für die Problemlösung sensibilisieren

Die meisten Geschäftsführungen sehen in der Verbesserung der Informationssicherheit für ihr Unternehmen eine

wichtige Aufgabe, sind aus Unkenntnis der Vorgehensweise jedoch daran gehindert, diesen Prozess in Gang zu

setzen bzw. zu überwachen. Hilfreich ist ein Anschub von außen.

Zu 2. Workshop mit der Geschäftsführung und den Wissensträgern durchführen

Die rechtzeitige Einbindung der Wissensträger in den gesamten Sicherheitsprozess ist notwendig, um ein Scheitern

zu verhindern.

Zu 3. Die Geschäftsprozesse gemeinsam mit den im Unternehmen Verantwortlichen aufnehmen

Wurden die Geschäftsprozesse noch nicht erfasst, ist eine Erfassung durch die Wissensträger im Unternehmen

erforderlich. Wurde z. B. bereits eine Zertifizierung nach ISO 9000 erlangt, sind diese Prozesse schon dargestellt

worden. Eine feingranulare Erfassung ist dabei nicht notwendig (siehe auch die nachfolgenden Beispiele).

Zu 4. Die Datenverarbeitung besonders herausarbeiten

In Erweiterung zur Darstellung in ISO 9000 ist die Datenverarbeitung besonders herauszuarbeiten (siehe auch dazu

die nachfolgenden Beispiele).

Zu 5. Darstellen der Geschäftsprozesse

Die textuelle und grafische Beschreibung der Geschäftsprozesse ist eine wesentliche Grundlage für Sicherheit und

Optimierung.

Zu 6. Gefährdungen aufzeigen

Um die Gefährdungen im Geschäftsprozess zu erkennen, ist spezielles Wissen erforderlich. Häufig wird dazu der

Administrator oder das dienstleistende Unternehmen beauftragt. Als Alternative sollte aber auch die Beauftragung

eines unabhängigen Experten in Betracht gezogen werden. Die Grundschutzkataloge des BSI enthalten viele

diesbezügliche Informationen. Wegen des großen Umfangs entsteht jedoch ein großer Aufwand bei der Nutzung.

Zu 7. Maßnahmen ableiten

Es gilt hier das Gleiche, wie unter 6. dargestellt.

Zu 8. Maßnahmen umsetzen

Für die Umsetzung der Maßnahmen ist unter Abschätzung personeller und finanzieller Aufwände eine Prioritätenliste

zu erstellen. Die Durchführung ist eine Aufgabe des Administrators oder des betreuenden IT-Dienstleisters. Die

Kontrolle dabei ist natürlich wiederum Aufgabe der Geschäftsführung.


16 | Grafische Darstellung von E-Geschäftsprozessen

Wir nutzen einfache grafische Darstellungsmöglichkeiten

für Geschäftsprozesse. Falls im Unternehmen bereits eine

Zertifizierung nach ISO 9000 ff. (Qualitätsmanagementnorm)

stattgefunden hat, dann wurden die Geschäftsprozesse

bereits in erarbeiteten Dokumenten dargestellt.

Diese können und sollten wieder genutzt werden.

Sollen E-Geschäftsprozesse im Zusammenwirken mit der

IT-Sicherheit dargestellt werden, dann sind es folgende

Grundelemente, die in ihrem Zusammenwirken zu

modellieren sind:

Die Ereignisse und Aktivitäten im Geschäftsprozess

Die Mitarbeiter oder Organisationseinheit, die diese

Schritte ausführen

Die Daten, die bearbeitet werden, und IT-Systeme

Die Speicherorte dieser Daten

Abbildung 14: Schritte zur Modellierung von Geschäftsprozess und

Informationssicherheit

In den nachfolgenden grafischen Darstellungen werden

die in Abbildung 15 dargestellten Symbole verwendet:

Abbildung 15: Verwendete Symbole zur Darstellung von Geschäftsprozessen


Grafische Darstellung von Geschäftsprozessen | 17

Die folgende Abbildung 16 zeigt beispielhaft ein einfaches Szenario aus einem Geschäftsablauf am Beispiel eines

Rechnungseingangs, wobei die Bedingungen aus Gründen der schnellen Überschaubarkeit sehr einfach gestaltet sind.

Abbildung 16: Ausschnitt aus einem Geschäftsablauf

Eingehende Rechnungen werden z. B. im Sekretariat gescannt und auf einem Fileserver abgelegt.

Danach erfolgt die Rechnungsprüfung und bei korrekter Rechnungslegung der Bezahlvorgang per Online-Banking.

Ausgeführt werden die Aktivitäten durch die Organisationseinheit “Buchhaltung“, in der verschiedene Mitarbeiter gleiche

Rechte besitzen können.


18 | Grafische Darstellung von Geschäftsprozessen

Die folgende Abbildung 17 zeigt den gleichen Ausschnitt erweitert um mögliche Gefährdungen, die während der

Aktivitäten eintreten können.

Abbildung 17: Ausschnitt aus einem Geschäftsablauf mit dargestellten Gefährdungen

Datenverluste bzw. –veränderungen sind mögliche Szenarien. Beim Online-Banking müssen auch die Gefährdungen

erkannt werden, die außerhalb des Unternehmens ihre Ursache haben können. Beispielhaft sind das „unsichere

Verbindung“ zur Bank durch die „offene“ Internetverbindung und die Gefahr des „Phishing“.


Grafische Darstellung von Geschäftsprozessen | 19

In einem nächsten Schritt sollen Maßnahmen gegen die erkannten Gefährdungen beschrieben werden, um daraus den

erforderlichen Handlungsbedarf abzuleiten.

Abbildung 18: Ausschnitt aus Geschäftsprozess mit Maßnahmen

Als Maßnahmen gegen Datenverlust bzw. –veränderung wurde in diesem Fall ein häufigeres „Backup“ vorgeschlagen. Um

gegen Phishing besser vorbereitet zu sein, wurde vorgeschlagen die Mitarbeiterschulung zu verbessern, wobei besonders

das Erkennen der sicheren SSL-Verbindung durch Symbole im Internetbrowser geschult werden soll.


20 | Grafische Darstellung von Geschäftsprozessen

Backup bezeichnet das teilweise oder vollständige Kopieren der in einem Computersystem vorhandenen Daten

auf ein anderes Speichermedium oder auf ein anderes Computersystem.

Versionsmanagement ist ein System, das zur Erfassung von Änderungen an Dokumenten oder Dateien

verwendet wird. Alle Versionen werden in einem Archiv mit Zeitstempel und Benutzerkennung gesichert und

können später wieder hergestellt werden.

SSL (Secure Sockets Layer) ist ein Netzwerkprotokoll zur sicheren Übertragung von Daten u. a. von Internetseiten.

Phishing werden Versuche genannt, über gefälschte WWW-Adressen an Daten eines Internet-Benutzers zu

gelangen.


Zielgruppenorientiertes Beispiel | 21

Am Beispiel eines Außendienstmitarbeiters, der die

Inbetriebnahme einer Maschine bei einem Kunden

vornimmt, wird das Vorgehen dargestellt.

Abgeleitet aus den allgemeinen dargestellten Geschäftsabläufen kann auch für spezielle Mitarbeiter oder Rollen diese

Vorgehensweise genutzt werden.

Typische Inbetriebnahmetätigkeiten (Aktionen) sind (siehe Abbildung 19):

Das Anzeigen von Zeichnungen einer in Betrieb zu nehmenden Maschine auf dem Laptop, die dort gespeichert sind,

beim Kunden vor Ort

Das Überspielen von Programmcode vom Laptop oder Speicherstick in die Steuerung der Maschine

Das Herunterladen von geändertem Programmcode aus der Datenbank des eigenen Unternehmens auf den Laptop

über das Internet

Das Speichern von Auftragsdaten (Wartezeit, Arbeitszeit, verbrauchtes Material usw.) des Außendienstmitarbeiters in

die Datenbank des Unternehmens

Abbildung 19: Tätigkeiten, abgeleitet aus den Geschäftsabläufen am Beispiel eines Außendienstmitarbeiters


22 | Zielgruppenorientiertes Beispiel

In der folgenden Darstellung sind mögliche Gefährdungen rot dargestellt. Im Beispiel ist erkennbar, dass Gefährdungen

insbesondere bei der Nutzung von Laptop und Speicherstick sowie der Datenübertragung über das Internet entstehen

können.

Abbildung 20: Zusätzliche Darstellung der Gefährdungen


Zielgruppenorientiertes Beispiel | 23

Beispielhafte Lösungsansätze (siehe Abbildung 1) sind Verschlüsselung, Installation eines VPN (Virtual private network)

sowie die Einschränkung der Nutzerrechte auf die Datenbanken, wenn von außerhalb des Unternehmens auf

Datenbestände zugegriffen wird.

Abbildung 21: Erweitert, um Maßnahmen gegen die erkannten Gefährdungen

Eine Sichtweise auf die E-Geschäftsprozesse aus Sicht des einzelnen Mitarbeiters oder

seiner Funktion im Geschäftsprozess kann Lösungsansätze für die Verbesserung der

IT-Sicherheit im Unternehmen aufzeigen.


24 | Referenzbeispiel für einen Unternehmensbereich

Eine besondere Bedeutung besitzen die Aufgaben des

Administrators bzw. der IT-Abteilung bei der Analyse der

Geschäftsprozesse.

IT-Management ist ein Unterstützungsprozess für jedes

Unternehmen. Das Unternehmen besitzt dafür eigene

Ressourcen (Administrator) oder es beauftragt einen

kompetenten Dienstleister. Das Aufgabenspektrum ist

vielgestaltig und verantwortungsvoll.

Die folgende Abbildung zeigt beispielhafte Aufgaben der Administration und deren Ressourcen.

Abbildung 22: Aufgaben, die im Zuständigkeitsbereich eines Administrators liegen


Referenzbeispiel für einen Unternehmensbereich | 25

Das schwerwiegendste Risiko für das Unternehmen entsteht dann, wenn der Administrator ausfällt.

Abbildung 23: Gefährdung und Maßnahmen für den IT-Prozess

In Abbildung 23 ist auch die wichtigste Maßnahme gezeigt, die gegen dieses Risiko wirken kann, nämlich die

Verpflichtung den gesamten IT-Prozess zu dokumentieren. Auch wenn das eine ungeliebte und häufig vernachlässigte

Aufgabe ist, muss immer wieder daran erinnert werden.


26 | Praxisbeispiele

Es folgen drei Beispiele aus kleinen Unternehmen und

Handwerksbetrieben.

Aus Übersichtlichkeitsgründen wurde die Beschreibung

der Prozesse nur bis zu einer vertretbaren Tiefe vorgenommen.

Ebenso wurden nicht alle Gefahren und Maßnahmen

beschrieben, die in den Unternehmen erkannt wurden.

Viel mehr soll die Methodik des Vorgehens dargestellt

werden. Dazu ist die gewählte Feingliedrigkeit der

gewählten Prozessdarstellung ausreichend.

Folgende Dienstleistungen werden durch das Unternehmen

angeboten:

Beratungsleistungen zur Erarbeitung von Lösungsansätzen

Planungs- und Projektierungsarbeiten

Forschungs- und Entwicklungsleistungen

Softwareentwicklung

Installation und Montage von Hardwarekomponenten

Wartungs- und Reparaturarbeiten sowie Serviceleistungen

Firmenbeschreibung

Folgende Prozesse konnten in diesem Unternehmen

als die wesentlichen erkannt werden:

Das betrachtete Unternehmen mit ca. 20 Mitarbeitern

wurde 1990 als Entwicklungs- und Vertriebsunternehmen

für Gerätetechnik gegründet. Es definiert sich heute als

Systemhaus für Mess-, Steuerungs- und Automatisierungstechnik.

Inhalt der Tätigkeit ist die Ausführung von Lieferungen

und Leistungen zur Lösung von Automatisierungsaufgaben

mit dem Ziel der Erhöhung von Produktivität,

Effizienz, Qualität und Sicherheit. Das Unternehmen ist

Hersteller spezifischer Messgeräte und -lösungen für Wartungsdienste.

Es werden Systemlösungen in Einheit von Projektierung,

Programmierung, Lieferung, Installation, Schulung und

Wartung angeboten. Sie umfassen sowohl Entwicklungsarbeiten

als auch Dienstleistungen sowie den

Vertrieb von Produkten anderer Hersteller.

Produkte sind z. B.:

Industrie-Computer - Systeme & -Komponenten

Software – Entwicklungssysteme

SPS- & PAC-Steuerungen

Messtechnik

Abbildung 24: Geschäftsprozesse im Unternehmen

Als Beispiel haben wir hier den Teilprozess des

Wareneingangs ausgewählt. Dieser ist Bestandteil des

Prozesses Projektbearbeitung. Die Wiederholrate von

Aufträgen ist sehr gering, sodass die Auftragsdurchführung

in Form von Projekten erfolgt.

Wegen der Verwendung vieler Zukaufteile hat der

Teilprozess „Wareneingang“ für die Qualität der Produkte

eine besondere Bedeutung.


Beispiel 1 Wareneingang | 27

In Abbildung 25 wurde dieser Teilprozess vereinfacht dargestellt. Die dabei genutzten Informationssysteme wurden

symbolisch eingetragen.

Abbildung 25: Teilprozess Wareneingang


28 | Beispiel 1 Wareneingang

Im nächsten Schritt (Abbildung 26) erfolgte die Erfassung der Gefahren (rot). Die zwei wichtigsten Gesichtspunkte zur

Einschätzung sind: organisatorische Gefährdungen aber auch Gefährdungen durch technische Einflüsse.

Beispielhaft wurden genannt:

fehlende Qualifikation der Vertretung

Phishing

Verlust der Verfügbarkeit

vorsätzliche oder unbeabsichtigte Veränderung von Daten

Als Erfolg versprechende Maßnahmen gegen diese Gefahren werden aufgeführt:

Schulung des Personals

sicherer Passwortgebrauch und Information der Mitarbeiter über Angriffsszenarien

Einrichten einer funktionierenden Backup-Lösung

Einführung von Signaturen und Zeitstempeldiensten im Datenverkehr per Email

Abbildung 26: Teilprozess Wareneingang mit Darstellung von Gefahren und Maßnahmen


Beispiel 2 Fertigung | 29

Ein mittelständiges Unternehmen entwickelt, produziert

und vertreibt kundenspezifische, präzisions-optische

Einzelteile, Komponenten und Geräte für den gesamten

optischen Spektralbereich.

Das Produktportfolio des Unternehmens reicht von

klassischen Präzisionsoptikkomponenten bis hin zu

mikrostrukturierter Optik und komplexen optischen und

opto-elektronischen Systemen, die vor allem in den

Bereichen Messtechnik, industrielle Bildverarbeitung, Medizin-,

Laser- und Weltraumtechnik, in der Halbleiterindustrie

sowie in der Sport- und Militäroptik

Anwendung finden.

Die zentrale Administration von Sicherheitsupdates für

das Betriebssystem oder Virensignaturen wird vereinfacht

und minimiert die täglichen Aufwendungen für den

Administrator.

Aus Sicht des Unternehmens dominieren die in der

Abbildung 27 dargestellten Geschäftsprozesse.

Mit ca. 100 Mitarbeitern entwickelt und produziert das

Unternehmen auf einer Produktionsfläche von 2500 qm

hauptsächlich für Industriekunden, vorwiegend in folgenden

Branchen:

Messtechnik & industrielle Bildverarbeitung

Halbleiterindustrie

Feinmechanisch-optischer Gerätebau

Foto- & Filmkameratechnik

Medizin- & Lasertechnik

Militär- & Sportoptik

Luft- & Raumfahrt

Abbildung 27: Geschäftsprozesse Unternehmen 2

Das Unternehmen hat eine große Anzahl von Computerarbeitsplätzen.

Im Zentrum aller geschäftlichen Aktivitäten

steht ein ERP-System. An dieser zentralen Stelle

erfolgt die Speicherung aller für den Betrieb wichtigen

Unternehmensdaten. Das Unternehmen löst viele

technische Sicherheitsprobleme dadurch, dass die

IT Infrastruktur auf einem möglichst aktuellen Stand

gehalten wird. So waren zum Zeitpunkt der

Untersuchungen Windows Server 2003 und auf den PC

noch aktuelle Windows-Betriebssystem XP im Einsatz.

Eine möglichst konforme Hard- und Softwarekonfiguration

ermöglicht die Wartung der IT Infrastruktur von

zentraler Stelle aus.


30 | Beispiel 2 Fertigung

Als Beispiel wurde der Teilprozess „Fertigung“ ausgewählt (siehe Abbildung 28) und weiter betrachtet. Auch in dieser

Darstellung wurden verschiedene Schritte im Geschäftsablauf vereinfacht dargestellt.

Abbildung 28: Ausschnitt aus dem Geschäftsprozess „Fertigung“

Es ist ersichtlich, das im Zentrum der Datenverwaltung des Unternehmens das ERP-System „Navision“ steht. Aller

Datenverkehr ist darauf ausgerichtet. Daneben werden jedoch auch verschiedene Dokumente in einer geordneten

Verzeichnisstruktur eines Fileservers gespeichert. Aus der Abbildung ist ebenfalls ersichtlich, dass sehr viele

Struktureinheiten bzw. Personen des Unternehmens auf diese Daten zugreifen müssen.


Abbildung 29: Fertigungsprozess mit Darstellung der Gefährdungen und Maßnahmen

Beispiel 2 Fertigung | 31


32 | Beispiel 2 Fertigung

In der Abbildung 29 wurde der Geschäftsprozess ergänzt durch ausgewählte Gefährdungen und Gegenmaßnahmen.

Bei der Analyse des „Status quo“ im Unternehmen wurden folgende Gefährdungen festgestellt:

Es wird ein neuer Mitarbeiter für das Ressort “Qualitätssicherung“eingestellt

Die Unterbringung des Servers erfolgt in einem Raum ohne Kühlung

Auf dem Fileserver ist ein sehr freizügiges Rechtemanagement eingerichtet

Auch hier sind Gefährdungen sowohl aus organisatorischer als auch technischer Richtung erkennbar.

Lösungsansätze sind in der Grafik benannt.

Für die detaillierte Aufarbeitung dieser Lösungsansätze haben sich die IT-Grundschutzkataloge des „Bundesamtes für

Sicherheit in der Informationstechnik (BSI)“ als effektives Arbeitsmittel bewährt.

Nachfolgend sind 3 Quellen (Links) genannt, in denen der Nutzer Lösungen zu den erkannten Problemen findet. Es

handelt sich dabei um sog. Bausteine bzw. Maßnahmen.

Anforderungen an Serverraum B2.4 Serverraum

https://www.bsi.bund.de/cln_183/sid_54AA9586ED6DB35821D6FBAB71052B1A/ContentBSI/

grundschutz/kataloge/baust/b02/b02004.html

Backup M 6.33 Entwicklung eines Datensicherungskonzepts

https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/m/m06/m06033.html

Einweisung Schulung B 1.13 Sensibilisierung und Schulung zur Informationssicherheit

https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/baust/b01/b01013.html

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine in Bonn ansässige zivile obere

Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern (BMI), die für Fragen der IT-Sicherheit

zuständig ist. Im BSI sind fast 500 Mitarbeiter beschäftigt.

www.bsi.de


Beispiel 3 Fertigung/Auslieferung | 33

Als drittes Beispiel wurde ein 1914 gegründeter

Familienbetrieb gewählt, der mit 11 Mitarbeitern das

gesamte Spektrum vom Treppenbau in Holz, Glas und

Edelstahl über die Fertigung von Geländeranlagen im

Innen- und Außenbereich bis zur Sanierung und

Restauration von Treppen und Geländern realisiert. Alle

Produkte werden in dem in Ostsachsen ansässigen

Handwerksunternehmen ausschließlich von Fachkräften

in handwerklicher Arbeit hergestellt. Dies ermöglicht

größte gestalterische Freiräume bei der Planung und

garantiert ein Höchstmaß an Qualität.

Im Unternehmen ist ein Warenwirtschaftssystem im

Einsatz, das den Datenaustausch bestimmt. Da dieses

Unternehmen aus wenigen Mitarbeitern besteht, werden

die aufgeführten Rollen jeweils nur zu einem kleinen

Anteil an Arbeitszeit ausgefüllt. Interessant ist, dass

gerade durch das kleine Unternehmen bereits viele

Funktionen per Internet umgesetzt werden, da für diese

Funktionen keine eigenen Ressourcen vorhanden sind.

Die Anzahl der IT-unterstützten Prozesse ist ihrem

Umfang nach gering (siehe Abbildung 30):

Abbildung 30: Geschäftsprozesse in einem Handwerksunternehmen

Die Durchdringung der Informationstechnik durch diese

Prozesse ist ungeachtet dessen hoch, wie es auszugsweise

in der Abbildung 31 dargestellt ist.

Abbildung 31: Prozessgestaltung

in einem Handwerksbetrieb


34 | Beispiel 3 Fertigung/Auslieferung

In Abbildung 32 wurden wiederum beispielhaft verschiedene erkannte Gefährdungen dargestellt:

Ungeschützte Serveraufstellung

Notwendigkeit ordnungsgemäßer Einträge in das Warenwirtschaftssystem, auch wenn die Eingebenden nur selten

damit arbeiten

Notwendigkeit hoher Verfügbarkeit des Internets auch im ländlichen Raum

Geeignete Maßnahmen lassen sich daraus

ableiten:

Abbildung 32: Prozessgestaltung

in einem Handwerksbetrieb

mit Darstellung von Gefahren

und Gegenmaßnahmen

Einsatz eines Serverschrankes

Ständige Weiterbildung der Mitarbeiter

Wechsel des Internet-Providers


Checklisten | 35

Die folgenden Checklisten sollen Anregung dafür sein, das Problem IT-Sicherheit im Unternehmen als wichtige Aufgabe zu

verorten.

Die Beantwortung der Fragen durch die verantwortlichen Wissensträger im Unternehmen sollte Schwerpunkte zur Minimierung

von Risiken durch IT-Angriffe aufzeigen.

Wie lange darf die IT-Infrastruktur ausfallen, ohne dass schwerwiegende Schäden für die Geschäftstätigkeit zu

erwarten sind?

< eine Stunde

< 6 Stunden

< ein Tag

< 3 Tage

Welche Geschäftsprozesse in ihrem Unternehmen werden IT-unterstützt?

Einkauf

Manuell Teilweise Integriert

Fertigung

Konstruktion

Arbeitsplanung

Vertrieb

Service

Buchhaltung

Qualitätssicherung

IT-Management


36 | Checklisten

Was sind die wichtigsten Gesetze und Regeln, die für das Unternehmen zutreffen? Sind diese geregelt?

Trifft zu

Ist geregelt

Bundesdatenschutzgesetz, § 9 BDSG

KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)

Aktiengesetz, § 91 II und § 116 AktG

GmbH-Gesetz, § 43 GmbHG i.V. m. §§ 91 II, 116 AktG

Handelsgesetzbuch, § 239 Abs. 4 HGB

„Basel II“ (Vorschriften des Baseler Ausschusses für Bankensicherheit)

Branchenregelungen

Wer sind Ihre Hauptlieferanten?

Datenaustausch

Lieferant Papier Fax Elektronisch

Wer sind Ihre Hauptkunden?

Datenaustausch

Kunde Papier Fax Elektronisch


Checklisten | 37

Wer sind Ihre Unterauftragnehmer/Kooperationspartner?

Z. B. Steuerbüro

Elektronischer

Datenaustausch?

Mit welchen Behörden müssen Sie Daten austauschen?

Datenaustausch

Behörde Papier Fax Elektronisch

Welche Geschäftsprozesse wickelt Ihr Unternehmen nach außen ab?

Datenaustausch

Geschäftsprozess Email VPN Shop

Z. B. Warenbestellung


38 | Checklisten

Welche Daten tauschen Sie mit externen Partnern aus?

Daten

Externer

Partner

Eingehend/

Ausgehend

Verschlüsselt

Z. B.: Rechnungen LI GmbH E

Welche Datenträger bzw. Internet nutzen Sie für den externen Datenaustausch?

Daten

Datenträger/Internet

Eingehend/

Ausgehend

Z. B.: CAD-Zeichnungen CD E + A

Welche Regelungen gibt es für die Mitarbeiter bezüglich Informationssicherheit?

Schriftlich geregelt

Beispiel: IT-Sicherheitsbelehrung bei Eintritt in das Unternehmen

Ja/Nein

X


Checklisten | 39

Haben Sie folgende Sicherheitsprobleme schriftlich geregelt?

Sicherheitsproblem

Ja/Nein

Nutzung des Internets (WWW, Email, soziale Netzwerke)

Verwendung mobiler Datenspeicher

Passwortgebrauch

Meldepflicht bei unvorhergesehenen Ereignissen

Haben Sie folgende Maßnahmen bereits zufriedenstellend umgesetzt?

Maßnahmen

Ja/Nein

Rechtemanagement (Zugang, Zugriff)

Zentrales Update- und Patch-Management

Backup-Mangement

Firewall und Virenschutz

Management für mobile Datenträger

Schutz zentraler Technik in Serverraum oder Serverschrank

Vertretungsregelung

Was sind die Gefährdungen, die für Unternehmen kritische Situationen erwarten lassen?

1 Z .B.: Ausfall des Administrators

2

3

4

5

6

7


40 | Fazit

Sichere E-Geschäftsprozesse benötigen eine sichere

IT-Infrastruktur, qualifizierte verantwortungsbewusste

Mitarbeiter und geordnete Geschäftsprozesse.

Eine systematische Aufarbeitung der E-Geschäftsprozesse

eines Unternehmens und des dafür notwendigen

Datenverkehrs lässt Gefährdungen und Schwachstellen

für die Informations- und Kommunikationssicherheit

sichtbar werden.

Die in dieser Broschüre verwendete Methodik und

grafische Darstellung ermöglicht es, dass Geschäftsführung

und verantwortlichen Mitarbeitern auf der einen

Seite und Administratoren und IT-Sicherheitsexperten auf

der anderen Seite Bezug nehmend auf eine gemeinsame

Datenbasis eine gemeinsame Sprache finden. Einbezogen

in die gewählte Darstellung werden die Mitarbeiter in

ihren Rollen sowie die eingesetzte IT-Infrastruktur. Diese

Gemeinsamkeit ist notwendig, um Gefährdungen durch

die Informationsprozesse für das Unternehmen zu

erkennen und ein gemeinsames Handeln zu deren

Beseitigung zu initiieren.

Die im Verbundprojekt „Sichere E-Geschäftsprozesse in

KMU und Handwerk“ des NEG gesammelten Erkenntnisse

zeigen, dass bei einer solchen Herangehensweise auch

für die Branchen spezifische Erkenntnisse gewonnen

werden können, weil trotz aller Unterschiedlichkeit der

E-Geschäftsprozesse in den einzelnen Unternehmen auch

Gemeinsamkeiten erkennbar sind.

Im Projekt wurde das gesammelte Fachwissen der

Grundschutzkataloge des BSI einerseits zur Erkennung

von Gefährdungssituationen und andererseits zur

Festlegung notwendiger Maßnahmen herangezogen.

Zur Darstellung der Prozessabläufe wurde das kostenfreihe

Programm „ARIS Express 2.2„ verwendet. Dieses

eignet sich sehr gut für die Anwendung in kleinen

Unternehmen.

Das Nutzen externer Kompetenzen und die eigene

Mitwirkung bei der Veränderung von Geschäftsprozessen

können zur Lösung der erforderlichen Sicherheitsanforderungen

an die E-Geschäftsprozesse führen.

(Konfuzius)


IT-Grundschutz-Kataloge des BSI

https://www.bsi.bund.de/cln_183/DE/Themen/weite

reThemen/ITGrundschutzKataloge/itgrundschutzkat

aloge_node.html

Handlungsanleitungen 2007 bei ecc-handel:

http://www.ecchandel.de/branchenspezifische_handlungsanleitung

en_fuer_3569901.php

Handlungsanleitungen 2008 bei ecc-handel:

http://www.ecchandel.de/handlungsanleitungsreihe_sichere.php

Handlungsanleitungen 2009 bei ecc-handel

http://www.ecc-handel.de/handlungsanleitungsreihe_sichere_10576701.php

Studie "Informationssicherheit im Unternehmen

2009":

http://www.ec-net/EC-Net/Navigation/Bibliothek/

publikationen,did=330946.html

www.wikipedia.de

http://office.microsoft.com/de-de/clipart

PROGRAMM: ARIS Express 2.0 von IDS Scheer AG

DIN ISO/IEC 27001


42 | Anhang

Das Verbundprojekt „Sichere E-Geschäftsprozesse in KMU

und Handwerk“ des Netzwerks Elektronischer Geschäftsverkehr

wird vom Bundesministerium für Wirtschaft und

Technologie (BMWi) unterstützt und soll helfen, in kleinen

und mittleren Unternehmen mit verträglichem Aufwand

die Sicherheitskultur zu verbessern. Das

Gesamtprojekt setzt sich neben dieser und zwei weiteren

Einsteigerbroschüren insbesondere aus den nachfolgenden

Tätigkeiten zusammen:

Unter der Überschrift „Stammtische

IT-Sicherheit“ wird eine Reihe regionaler „Unternehmerstammtische“

bundesweit etabliert

Die kostenfreien Stammtische sind ein

Forum für Dialog und Information und bilden

eine Plattform für den Austausch von

Unternehmern untereinander

Die jährlich veröffentlichte Studie „Netzund

Informationssicherheit in Unternehmen“

zeigt auf, wie es um die Informationssicherheit

in Unternehmen bestellt ist und

wie leicht unternehmensfremde Personen

an Geschäftsdaten kommen können. Die

kompletten Berichtsbände finden Sie zum

kostenlosen Download unter:

http://www.bit.ly/it-sicherheit

Kostenfreie IT-Sicherheitsratgeber bieten insbesondere

KMU neutrale und praxisnahe

Hinweise und Tipps, wo Sicherheitslücken

bestehen und wie mit ihnen umgegangen

werden sollte. Themenschwerpunkte sind

u. a. "Basisschutz für den PC", "Sicheres

Speichern und Löschen von Daten", uvm.

Download unter:

https://www.it-sicherheit.de

Aktuelle und neutrale Informationen zur

Informationssicherheit werden Ihnen im

Internet auf der Informationsplattform des

NEG unter der Rubrik „Netz- und Informationssicherheit“

angeboten:

http://www.ec-net.de/sicherheit


Kompetenzzentren vor Ort | 43

Wir hoffen, dass Ihnen diese Handlungsanleitung als

wertvolle erste Hilfestellung bei der Planung und

Durchführung Ihres IT-Sicherheitsprojekts dient.

Kompetenzzentrum

SAGeG Chemnitz

Strasse der Nationen 25

09111 Chemnitz

Ansprechpartner: Dagmar Lange

Telefon: 0371 690012-11

Fax: 0371 69001912-11

E-Mail:

langed@chemnitz.ihk.de


Das Netzwerk Elektronischer Geschäftsverkehr

– E-Business für Mittelstand und Handwerk

Das Netzwerk Elektronischer

Geschäftsverkehr (NEG) ist eine

Förderinitiative des Bundesministeriums

für Wirtschaft und

Technologie. Seit 1998 unterstützt

es kleine und mittlere

Unternehmen bei der Einführung

und Nutzung von E-Business-

Lösungen.

Beratung vor Ort

Mit seinen 29 bundesweit verteilten

Kompetenzzentren informiert

das NEG kostenlos, neutral

und praxisorientiert – auch vor

Ort im Unternehmen. Es unterstützt

Mittelstand und Handwerk

durch Beratungen, Informationsveranstaltungen

und Publikationen

für die Praxis.

Das Netzwerk bietet vertiefende

Informationen zu Kundenbeziehung

und Marketing, Netz-und

Informationssicherheit, Kaufmännischer

Software und RFID sowie

E-Billing. Das Projekt Femme

digitale fördert zudem die

IT-Kompetenz von Frauen im

Handwerk. Der NEG Website

Award zeichnet jedes Jahr herausragende

Internetauftritte von

kleinen und mittleren Unternehmen

aus. Informationen zu

Nutzung und Interesse an

E-Business-Lösungen in Mittelstand

und Handwerk bietet die

jährliche Studie „Elektronischer

Geschäftsverkehr in Mittelstand

und Handwerk“.

Das Netzwerk im Internet

Auf www.ec-net.de können

Unternehmen neben Veranstaltungsterminen

und den Ansprechpartnern

in Ihrer Region auch alle

Publikationen des NEG einsehen:

Handlungsleitfäden, Checklisten,

Studien und Praxisbeispiele geben

Hilfen für die eigene Umsetzung

von E-Business-Lösungen.

Fragen zum Netzwerk und

dessen Angeboten beantwortet

Markus Ermert, Projektträger im

DLR unter 0228/3821-713 oder

per E-Mail: markus.ermert@dlr.de.

Diese Broschüre wird vom SAGeG Kompetenzzentrum

Elektronischer Geschäftsverkehr im Rahmen des

Verbundprojekts „Sichere E-Geschäftsprozesse in KMU

und Handwerk“ als Teil der BMWi-Förderinitiative

„Netzwerk Elektronischer Geschäftsverkehr“

herausgegeben.

Weitere Magazine dieses Users
Ähnliche Magazine