IT-Sicherheit: Externe Beratung und Unterstützung
IT-Sicherheit ist ein sehr komplexes Feld, welches sich ständig weiterentwickelt. Unternehmen stellen sich die Frage: An welchen Stellen wird externe Unterstützung benötigt?
Wo können Sie Beratung in Anspruch nehmen? Wie organisieren Sie das? Wo gibt es finanzielle Unterstützung?
Inhalt
- Um was geht es? IT-Sicherheit Chefsache, aber externe Unterstützung oft hilfreich
- Vor- und Nachteile externer Unterstützung
- Wie mit Dienstleistern zusammenarbeiten?
- Wie findet man den passenden Dienstleister?
- IT-Sicherheitsbranche: Netzwerke, Kontakte...
- Technik & IT-Sicherheit: Zu kompliziert? Dienstleister nötig?
- Finanzielle Unterstützung zur IT-Sicherheit
IT-Sicherheit: Chefsache, aber externe Unterstützung ist oft hilfreich
IT-Sicherheit ist keine reine Sache der IT. Denn zur Unternehmensstrategie gehört das Risikomanagement - und hier spielt IT-Sicherheit eine große Rolle.
Die Geschäftsleitung sollte sich deshalb aktiv an der Entwicklung und Umsetzung der IT-Sicherheitsstrategie beteiligen.
Da die IT-Sicherheit aber ein sehr komplexes Feld ist, welches sich ständig weiterentwickelt, stellt sich die Frage: An welchen Stellen benötigt das Unternehmen externe Unterstützung?
Bei welchen Themen der IT-Sicherheit ist externe Unterstützung möglich?
- Technische Sicherheitsbewertungen und Audits, Penetrationstests und Vulnerability Scans:
Dies kann eine gründliche Überprüfung der aktuellen IT-Infrastruktur, der Sicherheitsrichtlinien und -verfahren und der Compliance-Status des Unternehmens umfassen. Siehe hier für weitere Informationen. - Bedrohungs- und Risikoanalyse:
Die Identifizierung potenzieller Bedrohungen und Risiken für die IT-Infrastruktur und die Daten des Unternehmens. - Implementierung von Sicherheitstechnologien:
Berater können helfen, verschiedene Sicherheitstechnologien wie Firewalls, Intrusion Detection Systeme, Endpoint-Security-Lösungen und andere zu implementieren. - Cybersecurity Incident Response:
Externe Teams können im Falle eines Sicherheitsvorfalls Unterstützung leisten, um den Vorfall zu analysieren, die Auswirkungen zu minimieren und den normalen Betrieb so schnell wie möglich wiederherzustellen. - Mitarbeiterschulungen:
Externe Experten können Schulungen und Workshops für Mitarbeiter anbieten, um das Bewusstsein für Sicherheitsrisiken zu erhöhen und Best Practices für IT-Sicherheit zu lehren. - Regulatorische Compliance:
Berater können dabei helfen, die Compliance mit verschiedenen regulatorischen Standards und Anforderungen im Bereich der IT-Sicherheit sicherzustellen. - Finanzielle Unterstützung:
Staatliche Förderprogramme können ggf. einen Beitrag leisten, die Kosten für IT-Sicherheitsmaßnahmen zu tragen.
Was müssen Sie prüfen, ehe Sie externe Unterstützung in Auftrag geben?
- Am Beginn steht eine Bestandsaufnahme: Wo steht Ihr Unternehmen bei der IT-Sicherheit? sind alle Parameter bekannt?
- Legen Sie fest, welches Maß an IT-Sicherheit Sie für Ihr Unternehmen anstreben und welches Risiko Sie bereit sind zu tragen.
Vor- und Nachteile externer Unterstützung
Externe Unterstützung für IT-Sicherheit ist nicht der allein seligmachende Weg.
Welche Vorteile hat externe Unterstützung?
- Expertise und Spezialisierung:
Externe Anbieter haben oft umfassende und aktuelle Kenntnisse und Erfahrungen in spezifischen Bereichen der IT-Sicherheit, die interne Teams möglicherweise nicht haben. Das gilt sowohl bzgl. Technik also auch bzgl. Organisation, Compliance etc. - Kosteneffizienz:
Statt ein internes Team aufzubauen und zu schulen, kann es oft kosteneffizienter sein, Experten nur dann einzusetzen, wenn sie benötigt werden. - Objektive Sichtweise:
Externe Berater haben einen frischen Blick auf die Systeme und können Probleme erkennen, die intern möglicherweise übersehen wurden.
Welche Nachteile hat es, auf externe Unterstützung zu bauen?
- Kosten:
Obwohl es kosteneffizient sein kann, kann die Einstellung externer Berater immer noch teuer sein, besonders für kleine und mittlere Unternehmen. - Vertraulichkeit und Sicherheit:
Bei der Zusammenarbeit mit externen Anbietern besteht immer ein gewisses Risiko in Bezug auf Vertraulichkeit und Datensicherheit. - Abhängigkeit:
Es besteht die Gefahr einer zu starken Abhängigkeit von externen Anbietern Dies führt besonders dann zu Problemen , wenn der Vertrag endet oder der Dienstleister aus irgendeinem Grund nicht verfügbar ist. - Kommunikation und Management:
Die Zusammenarbeit mit externen Partnern erfordert zusätzliche Kommunikation und Koordination. Oft unterschützen Unternehmen diesen Aufwand. - Unternehmensspezifisches Wissen:
Externe Berater haben möglicherweise nicht das gleiche Verständnis für die spezifischen Geschäftsprozesse, die Unternehmenskultur und die interne IT-Umgebung wie interne Mitarbeiter.
Verträge und mehr - so gestalten Sie die Zusammenarbeit.
Bei einem sensiblen Thema wie IT-Sicherheit ist es sehr zu empfehlen, die Zusammenarbeit mit einem externen Dienstleister vertraglich genau zu regeln. Das betrifft:
- Vertraulichkeitsvereinbarungen (Non-Disclosure Agreements, NDAs):
Da IT-Dienstleister oft Zugang zu sensiblen Unternehmensinformationen haben, sind Vertraulichkeitsvereinbarungen oft ein wichtiger Bestandteil der Zusammenarbeit. Diese legen fest, welche Informationen vertraulich sind und wie der IT-Dienstleister diese Informationen schützen muss. Das Muster einer Vertraulichkeitserklärung finden Sie hier. - Datenschutzvereinbarungen:
Datenschutzvereinbarungen legen fest, wie der IT-Dienstleister personenbezogene Daten schützen und verarbeiten wird. - Verträge:
Verträge legen alle Aspekte der Zusammenarbeit fest, einschließlich der Verantwortlichkeiten des IT-Dienstleisters, der Zahlungsbedingungen, der Vertragsdauer und der Bedingungen für die Kündigung der Zusammenarbeit.
Als Orientierungshilfe stellt die IHK München und Oberbayern Musterverträge zur Verfügung:
Wie findet man den passenden Dienstleister?
Die Auswahl des richtigen IT-Sicherheitsdienstleisters ist eine wichtige Entscheidung, die sorgfältig getroffen werden sollte.
Bei der Auswahl eines Dienstleisters hilft der DIHK-Katalog IT-Sicherheitskriterien.
Sie können dabei z. B. wie folgt vorgehen:
- Identifizieren Sie Ihre Bedürfnisse:
Bevor Sie beginnen, Dienstleister zu suchen, sollten Sie sich darüber im Klaren sein, welche Art von Dienstleistung Sie benötigen. Dies kann von punktueller Unterstützung bis zu einer vollständigen IT-Sicherheitslösung reichen. - Recherche, Marktforschung:
Suchen Sie in ihrem persönlichen Netzwerk, auf Branchenveranstaltungen oder Online nach Lösungsansätzen, BestPractice-Beispielen und Dienstleistern.
Dienstleister variieren in Größe, Spezialgebieten, angebotenen Dienstleistungen, Kosten und Verfügbarkeit.
Hilfreich können dazu auch Listen und Initiativen sein.
Stellen Sie eine Short-List möglicher Dienstleister zusammen, die genauer betrachtet werden sollten. - Evaluierung von Anbietern:
Sobald Sie eine Liste potenzieller Anbieter erstellt haben, sollten Sie diese Anbieter bewerten. Dies könnte auf der Grundlage ihrer Erfahrung, ihres Fachwissens, ihrer Kosten und anderer Faktoren geschehen.
IT-Sicherheitsbranche: Netzwerke, Kontakte...
Das Sicherheitsnetzwerk München ist ein Verbund von Unternehmen und Forschungseinrichtungen der IT- und Cyber-Sicherheit zielt auf Kooperationen ab.
Die Initiative Deutschland sicher im Netz will KMU, Behörden/ Institutionen, Privatnutzer, Privatnutzerinnen sowie Kinder und Jugendliche für die vielfältigen Gefahren im Internet sensibilisieren und informieren. Insbesondere für kleine und mittelständische Unternehmen ist das „IT-Sicherheitspaket Mittelstand“ hilfreich.
Im IT-Sicherheitscluster e. V. arbeiten IT-Unternehmen, Unternehmen, die IT-Sicherheitstechnologien nutzen, Hochschulen und weitere Forschungs-/ Weiterbildungseinrichtungen sowie Juristinnen wie Juristen zusammen.
Das BSI hat gemäß § 3 BSIG die Aufgabe, Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik zu beraten und zu unterstützen. Hierzu kann auch auf qualifizierte Sicherheitsdienstleister verwiesen werden.
Mit der Benennung von themenspezifischen Qualitätskriterien und der Identifikation geeigneter Dienstleister möchte das BSI betroffenen Unternehmen eine Hilfestellung bei der Suche und Auswahl geeigneter Dienstleister bieten, um die Unternehmen im Ernstfall von einem eigenen zeitintensiven Rechercheaufwand zu entlasten. Gleichzeitig soll auf diese Weise ein gewisses Qualitätsniveau in der jeweiligen Branche etabliert werden.
Dazu führt das BSI die Liste "Qualifizierte APT-Response Dienstleister". APT steht für "Advanced Persistent Threat", was für gezielte und umfangreiche Angriffe steht.
Weitere BSI-Listen:
Aufgabe der Digitalen Ersthelfer und Ersthelferinnen ist es, Betroffene bei der Behebung von kleineren IT-Störungen- und IT-Sicherheitsvorfällen mit Ersthilfe zu unterstützen.
Auf dem Portal www.it-sicherheit.de finden Sie Anbieter, Anbieterinnen und Produkte der IT-Sicherheit. Anwender- und Anwenderinnenberichte zeigen, wie Sicherheit in der Praxis umgesetzt wird.
Rosik e. V. ist die "Rosenheimer Initiative zur Förderung der Informations- und Kommunikationstechnik". Suchanfragen gibt Rosik ggf. an seine Mitglieder weiter.
Technik & IT-Sicherheit: Zu kompliziert? Dienstleister nötig?
Es gibt eine Vielzahl von technischen Werkzeugen für die Verbesserung der IT-Sicherheit. Neben den reinen Anschaffungskosten ist für den erfolgreichen Einsatz stets das passende Fachwissen nötig. Diese kann man im Unternehmen selbst aufbauen - oder Experten dafür beauftragen, auch um von ihnen zu lernen.
Typische IT-technische Dienstleistungen für das Testen der IT-Sicherheit sind:
- Penetrationstests (Pentesting):
Dabei handelt es sich um simulierten Hacker-Angriffe auf ein Computersystem, um Sicherheitslücken zu identifizieren. Penetrationstests können auf Netzwerke, Webanwendungen, Wireless-Netzwerke, mobile Anwendungen usw. angewendet werden. - Sicherheitsbewertung von Anwendungen:
Dieser Test konzentriert sich auf die Sicherheit von Software-Anwendungen, insbesondere auf die Identifizierung von Schwachstellen, die durch unsicheren Code entstehen können. - Netzwerksicherheitsbewertung:
Diese Bewertungen konzentrieren sich auf die Sicherheit von Netzwerkgeräten und -infrastrukturen. Sie können beinhalten, Firewalls, Router, Switches und andere Netzwerkkomponenten auf Schwachstellen zu überprüfen. - Vulnerability Scanning:
Hierbei handelt es sich um automatisierte Tests, die Software, Netzwerke und Systeme auf bekannte Sicherheitslücken scannen. - Security Audit/Gap Analysis:
Dabei handelt es sich um umfassende Überprüfungen der Sicherheitsinfrastruktur eines Unternehmens und seiner Compliance gegenüber Sicherheitsbestimmungen und -standards. - Forensische Untersuchungen:
Diese werden in der Regel nach einem Sicherheitsvorfall durchgeführt, um die Ursache und den Verlauf des Angriffs zu verstehen und zukünftige Angriffe zu verhindern. - Red Team Übungen:
Ein Red Team ist eine unabhängige Gruppe, die die Rolle eines feindlichen Angreifers spielt, um die Effektivität der Sicherheitsmaßnahmen eines Unternehmens zu testen.
Finanzielle Unterstützung zur IT-Sicherheit
Es gibt diverse staatliche Förderprogramme, die insbesondere IT-Sicherheit finanziell fördern. Unterschiedlich hierbei sind dabei die Details und Regeln der Förderungen, z. B. welche Unternehmen antragsberechtigt sind.
- IHK-Förderberatung für Unternehmer
Die IHK berät Sie darüber, welche Förderprogramme für Ihr Unternehmen in Frage kommen. - Digitalbonus (Bayern):
Förderung für die Einführung oder die Verbesserung der IT-Sicherheit. Denkbare Förderbeispiele sind die Einführung von ISMS (Zertifikat) oder Programmierarbeiten für bessere IT-Sicherheit. - go-digital (Bund):
Alle Beratungs- und Umsetzungsmaßnahmen, die der IT-Sicherheit dienen, sind förderfähig. Gegenstand der Förderung in diesem Modul ist die qualifizierte Beratung von KMU und Handwerk zur Verbesserung ihres IT-Sicherheitsniveaus und des Datenschutzes. - Digital Jetzt (Bund)
Ein Ziel des Programms ist höhere IT-Sicherheit in Unternehmen. - Forschungsrahmenprogramm „Digital. Sicher. Souverän.“ (Bund)