Main Content

Sicherheitsaudits für KMU mit dem Gütesiegel des Instituts für Technologiequalität

Welche zentrale Bedeutung IT-Systeme für ein Unternehmen haben, wird häufig erst bemerkt, wenn sie nicht funktionieren. Unsere IT-Sicherheitsaudits tragen dazu bei, dass es nicht soweit kommen muss.

Mit den Audits, die dem Anforderungskatalog des Instituts für Technologiequalität „IT-Sicherheit – Anforderung Mittelstand“ entsprechen, werden gleich zwei Ziele erreicht:

  • Mehr IT-Sicherheit für Ihr Unternehmen
  • Signal an Kunden und Geschäftspartner – Vertrauliche Daten werden sicher und vertrauenswürdig verwaltet

Knapp jedes dritte Unternehmen in Deutschland war in den letzten zwei Jahren von Angriffen auf die IT-Infrastruktur betroffen. Dabei geraten gerade kleine und mittlere Unternehmen immer häufiger in den Fokus von Angreifern, weil bei KMU geringere Sicherheitsstandards vermutet werden.

41.000 EUR Schaden pro KMU infolge von Cyberangriffen

Der Sicherheitsanbieter Kapersky hat ermittelt, dass die durchschnittlichen Kosten der unmittelbaren Schadensbegrenzung nach einem Cyberangriff für mittelständische Unternehmen bei 41.000 EUR liegen.* Hierin nicht enthalten sind Kosten durch Imageschäden und mögliche Haftungsaufwendungen für Folgeschäden bei Geschäftspartnern. Zudem werden notwendige Investitionen in die IT-Sicherheit nach einem Schadensfall nicht geringer.

Vorsorgliche Maßnahmen im Rahmen von Sicherheitsaudits wie die Erstellung und Umsetzung von IT-Sicherheitskonzepten und Notfallplänen sind im Vergleich kostengünstiger und etablieren zudem das Thema IT-Sicherheit dauerhaft in der Unternehmenskultur.

IT-Sicherheit und KMUs

Digitale Sorglosigkeit bei KMU

  • Cyberangriff auf das Netzwerk des Deutschen Bundestags in dessen Folge vertrauliche E-Mails in großem Umfang erbeutet wurden,
  • veröffentlichte Profildaten von 32 Mio Nutzern des Seitensprungportals Ashley Madison,
  • entwendete Zugangsdaten von 145 Mio Nutzern des E-Commerce Portals eBay Inc.

Diese Belege für erfolgreiche Cyberangriffe wurden einer breiten Öffentlichkeit bekannt. Zusammen mit der weit verbreiteten Annahme kein lohnendes Ziel für Cyberangriffe darzustellen, verleitet die offensichtliche Verwundbarkeit großer Netzwerke insbesondere KMU zu der falschen Schlussfolgerung, dass sich Maßnahmen zur Verbesserung der IT-Sicherheit nicht auszahlen. Das BSI bezeichnet das als digitale Sorglosigkeit. Dabei könnten 95% der gängigen Angriffe durch die Ausschöpfung vorhandener IT-Sicherheitsstandards und organisatorischer Maßnahmen abgewehrt werden.**

Vorgehensweise IT-Sicherheitsaudits

Das IT-Audit basiert auf einem standardisierten Anforderungskatalog, der vom Institut für Technologiequalität entwickelt wurde. Die Computer Manufaktur Berlin ist zertifizierter Auditor für IT-Sicherheit und führt das Sicherheitsaudit vor Ort im Unternehmen durch. Bei Erfüllung der vorgegeben Kriterien wird das ITQ Gütesiegel „IT-Sicherheit. Anforderungen Mittelstand“ vergeben.

Auch ohne Siegelvergabe liefert das Sicherheitsaudit eine wichtige Standortbestimmung für KMU. In dem abschließenden Prüfbericht wird nachvollziehbar dokumentiert, welche IT-Systeme geschäftsrelevant sind, welche Notfallpläne fehlen, welche Sicherheitsregelungen nicht greifen und welche Schulungsmaßnahmen erforderlich sind.

Der Prüfbericht bildet einen Handlungsleitfaden für die Behebung von Sicherheitslücken und ermöglicht eine Abschätzung der notwendigen Investitionen in die IT-Sicherheit.

Wobei Investitionen in technische Systeme zur Abwehr von Angriffen kein Allheilmittel sind. 60% aller Angriffe beginnen vor Ort im Unternehmen. Hierzu gehören z.B. die Entwendung von Daten über mobile Datenträger, erfolgreiche Phishing Attacken oder die unsichere Weitergabe von Passwörtern. Daher werden organisatorische Maßnahmen zur Verbesserung der IT-Sicherheit im Rahmen der Audits gleichfalls mitbetrachtet.

Auditthemen - Auszug aus dem Anforderungskatalog

Thema

Erläuterung

IT-Sicherheitsmanagement

Existenz, Dokumentation und Reichweite von Sicherheitsregeln, Behandlung vertraulicher Daten, Regeln für den Gebrauch von Mobilgeräten

Datensicherung

Existieren Backups und werden diese regelmäßig getestet? Wie lange dauert eine Systemwiederherstellung?

Infrastruktursicherheit

Sind IT-Systeme ausreichend gegen äußere Einwirkungen und dem Zugriff Unbefugter geschützt? Sind Hard- und Software inventarisiert?

Vernetzung & Internetanbindung

Absicherung des Unternehmensnetzwerks durch eine Firewall, Sichere Konfigurationen für den Internetzugang, Sicherheitsstrategie für Webserver

Sicherheit von IT-Systemen

Nutzung vorhandener Software Schutzmechanismen, festgelegte Nutzungsrechte

IDS, VPN , WLAN

Einrichtung und Verschlüsselungsprotokoll von VPN Zugriffen auf das Unternehmensnetzwerk, Sichere WLAN-Verschlüsselung

Passwörter und Verschlüsselung

Sind Zugänge passwortgeschützt und werden Mitarbeiter im Gebrauch von Passwörtern geschult? Werden Informationen auf mobilen Datenträgern verschlüsselt?

Schutz vor Schadprogrammen

Virenscanner auf Client- und Serverebene? Handlungsanweisungen bei der Erkennung von Schadprogrammen

Inhaltssicherheit

SPAM-Filterung, Regelung für die private Nutzung von Internet und E-Mails

Software- und Systemaktualität

Patchmanagement, festgelegte Verantwortlichkeit für Sicherheit und Aktualität von Software

Notfallvorsorge

Gibt es einen Notfallplan und ist dieser den Mitarbeitern bekannt? Werden alle kritischen Notfallsituationen behandelt?

Die Themen des IT-Sicherheitsaudits sind explizit darauf ausgerichtet, klassische Schwachstellen in kleinen und mittleren Unternehmen zu identifizieren. Die Computer Manufaktur arbeitet in Kooperation mit dem auditierten Unternehmen an individuellen Lösungen zur Schließung der Sicherheitslücken und dokumentiert entsprechende Empfehlungen.

IT-Audit Konditionen

Konditionen IT-Sicherheitsaudit mit ITQ Gütesiegel

  • Unternehmen bis 20 Mitarbeiter ab EUR 3.990,00
  • Unternehmen bis 100 Mitarbeiter ab EUR 5.990,00
  • Unternehmen ab 100 Mitarbeiter ab EUR 8.990,00

(jeweils zzgl. Reisekosten und U-St.)

Die Umsetzung der vorgeschlagenen Maßnahmen innerhalb von 6 Monaten ermöglicht die Zertifizierung "Managed Security ITQ". Das Gütesiegel kommuniziert sichtbar nach außen, dass Maßnahmen zur IT-Sicherheit im Unternehmen etabliert wurden und kontinuierlich überprüft werden.

 

* Kapersky Pressemitteilung 24.09.2014: Schäden durch Cyberangriffe gehen für deutsche Unternehmen in die Hundertausende

** Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2014

Jetzt die Sicherheit der IT-Systeme in Angriff nehmen?

Ansprechpartner IT-Sicherheitsaudits und IT-Security Consulting
Ansprechpartner IT-Sicherheitsaudits
Herr Christian Gehrke

Adhoc-Beratung am Telefon

Beratungstermin vereinbaren

Leseempfehlung

Backup, Firewall, VPN, Mitarbeiterschulung. Unser IT-Service für Vertragskunden sorgt für verlässliche Sicherheitsroutinen

Nicht den richtigen Moment verpassen - das IT-Sicherheitsaudit der Computer Manufaktur gibt Ihnen die Gewissheit sicherer IT-Systeme.