Themen

Leitfaden für Ihre IT-Sicherheit

Für wie sicher halten Sie Ihr IT-System?

Diese Frage beantworten IT-Verantwortliche im Mittelstand meistens mit „Ich weiß es nicht genau“. Es bleibt das ungute Gefühl, jederzeit Opfer eines Hardwaredefektes oder einer Virus-Infektion  werden zu können. Der Ausfall des Systems und häufig auch ein Datenverlust wären die Folge. Dabei sind die meisten IT-Schäden vermeidbar. Wir haben die wichtigsten Maßnahmen zur Erhöhung der IT-Sicherheit für Sie zusammengestellt.

  1. Benennen Sie einen Verantwortlichen für IT-Sicherheit
    Dies klingt zwar ein wenig banal, aber die klare Übertragung von Verantwortung an eine Person ist eine der wichtigsten Voraussetzungen für IT-Sicherheit. Schließlich haftet die Geschäftsleitung, daher sollte der Verantwortliche möglichst hoch in der Hierarchie stehen: IT-Leiter oder Geschäftsführer eignen sich für diese Aufgabe hervorragend. Damit wird auch eine Wirkung nach innen erzielt: IT-Sicherheit ist in unserem Unternehmen wichtig.
  2. Datensicherung und Rücksicherung
    Datenverlust ist der Super-GAU unter den IT-Fehlern. Ein Systemausfall kostet zwar Zeit und Geld, aber er geht ohne bleibende Schäden vorüber. Wenn allerdings wichtige Daten unwiederbringbar verloren werden, ist der Schaden groß und nicht selten existenzbedrohend. Daher ist eine professionelle Datensicherung eine der wichtigsten Aufgaben der IT-Sicherheit. Sichern Sie Ihre Daten an mehreren Orten. Und das Wichtigste: Simulieren Sie regelmäßig den Notfall und sehen Sie nach, ob sich die Daten wirklich wieder herstellen lassen.
  3. Mitarbeitersensibilisierung
    Die größte Sicherheitslücke sitzt vor dem Bildschirm: Fast jeder IT-Fehler lässt sich rückblickend auf menschliches Versagen zurückführen. Insbesondere der nachlässige Umgang mit Mails und Webseiten ist ein häufiges Einfallstor für Viren und Trojaner. Hier fehlt es an einem hinreichenden Bewusstsein für die Gefahren und an Fachwissen. Beides sollte daher in regelmäßigen Schulungen vermittelt werden.
  4. Hard- und Softwarelösungen gegen Schadsoftware

Revisionssichere E-Mail Archivierung

Rechtskonforme E-Mail-Archivierung? Warum?

Rechtskonforme E-Mail-Archivierung erfordert gesetzlich unveränderte und unveränderbare Speicherung über sehr lange Zeiten – zwei, sechs, zehn, 30 Jahre oder sogar ewig.
Eine Manipulation der Daten muss dabei ausgeschlossen sein. Viele Archivierungsprodukte erfüllen leider diese Anforderungen nicht und entsprechen damit nicht den Richtlinien (TR 03125) des Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die Rechtssicherheit im Sinne der Beweiswerterhaltung im Fall der Fälle vor Gericht, Finanzamt etc. geht damit verloren. Die geltenden gesetzlichen Anforderungen schreiben jedoch den Einsatz einer revisionssicheren E-Mail-Archivierung zwingend und umfassend vor.

Unser Tipp: Prüfen Sie in jedem Falle ob bzw. wie Ihr Mailverkehr archiviert wird!

Was muss archiviert werden?

Mailen ist eine rechtsrelevante Kommunikationsform geworden. E-Mails zu schreiben ist leicht, schnell und billig. So können z. B. Rechnungen, Angebote, Geschäftsbriefe und sonstige Dokumente sehr viel besser, schneller und kostengünstiger verschickt werden als per konventioneller Post. Der klassische Postversand ist durch den E-Mail-Verkehr inzwischen zu fast 75% ersetzt worden. Dabei ist jedoch zu berücksichtigen, dass die Kommunikation mit Kunden oder Lieferanten, Buchführung, Personalthemen, medizinische Dokumentation, Akten der Verwaltung etc. inzwischen einer gesetzeskonformen Archivierungspflicht unterliegen.

Wer trägt die Verantwortung und was kann passieren, wenn nicht archiviert wird

Geschäftsführerhaftung: Kommen Geschäftsführer den gesetzlichen Pflichten nicht nach, drohen in schweren Fällen Geldbußen oder sogar Freiheitsstrafen.

Der Verlust von Daten – durch Soft- oder Hardwarefehler oder auch durch absichtliche Löschung – kann geschäftskritisch, zumindest aber teuer oder kompliziert werden, sollten die Daten wiederhergestellt werden müssen. Manchmal ist ein Wiederherstellen aber auch gar nicht mehr möglich, bzw. oft reicht eine für IT-Systeme übliche Datensicherung/Backup nicht aus. Außerdem ist der Zeitraum, auf den Sie zurückgreifen können, häufig viel zu gering. Wenn Sie sich beispielsweise am Ende eines zwei Jahre umfassenden Projektes mit dem Kunden über den Projektumfang streiten, wird es keine passende Datensicherung mehr geben.

Wichtig ist auch, dass Betriebe den unmittelbaren bzw. mittelbaren Zugriff seitens der Steuerbehörden langfristig sicherstellen müssen. Dies ist zwingend vorgeschrieben. Die Verantwortung liegt daher in jedem Fall beim zuständigen EDV-Leiter und schlussendlich natürlich auch beim Geschäftsführer.

Ich berate Sie gerne! Rufen Sie mich einfach an!

BSI-Richtlinie TR 03125 - Siehe auch: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03125/index_htm.html