Englisch
Deutsch
Spanisch
Norwegian
Ukrainian
„Das Thema Informationssicherheit ist für KMUs besonders relevant, denn Cyberattacken und Hackerangriffe nehmen zu.“
Florian Goldenstein
Head of IT-Security bei Konica Minolta Business Solutions Deutschland GmbH
Philipp Zeh
Manager Competence Center & Professional Services IT-Security, Konica Minolta Business Solutions Deutschland GmbH
Warum ist Datensicherheit für KMUs so wichtig?
Philipp Zeh: Für KMUs ist das Thema besonders relevant, denn Cyberattacken nehmen stetig zu. Rund 70 Prozent der deutschen Unternehmen wurden in den vergangenen zwei Jahren Opfer von Cyberangriffen. Große Unternehmen sind mittlerweile auf einem vergleichsweise guten Sicherheitsstand. Aber das macht KMUs noch attraktiver für Hackerangriffe, denn ihr Schutzgrad ist häufig deutlich niedriger.
Florian Goldenstein: Wir sollten definieren, was wir mit Datensicherheit genau meinen. Begreifen wir Daten als Synonym für Informationen? Dann sprechen wir über Informationssicherheit. In diesem Zusammenhang machen gesetzliche Auflagen das Thema für KMUs immens wichtig. Die EU-DSGVO und seit April 2019 auch das Geschäftsgeheimnisgesetz auf Basis der EU-Richtlinie 2016/943 geben Unternehmen vor, aktiv zu werden.
Welche Ziele hat Informationssicherheit?
Florian Goldenstein: Alle Geschäftsdaten und Systeme müssen zum erforderlichen Zeitpunkt ausschließlich den berechtigten Nutzern vollständig und unbeschädigt zur Verfügung stehen.
Philipp Zeh: Es geht um die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Im Englischen sprechen wir auch von der CIA Triad: confidentiality, integrity and availability.
Florian Goldenstein: Hauptziel jedes Unternehmens sollte sein, den Schutzgrad aller Informationen zu erreichen, der angemessen und passend ist.
Philipp Zeh: Im übertragenen Sinn: Bewahre ich 3,50 Euro in einem Raum auf, muss ich den nicht unbedingt mit einer Panzertür sichern. Bin ich aber hochspezialisiert und bewahre dort meine Patente auf, ist eine Panzertür unbedingt angesagt.
Welche Maßnahmen zur Informationssicherheit sind unverzichtbar?
Florian Goldenstein: Es geht zunächst um eine umfassende Bestandsaufnahme aller Informationen, die schützenswert sind. Jede Geschäftsleitung sollte sich fragen: Welche unserer Informationen sind für andere interessant? Aktive und archivierte Dateien, Verträge, Geschäftspläne. Software und Tools, mit denen gearbeitet wird. Auch Kommunikationsdienste und Dienste zum Betrieb von Klimaanlagen, der Stromversorgung, der Beleuchtung, von Druckern oder Kameras zählen dazu. Kurzum geht es um das gesamte Unternehmen und das über die Grundstücksgrenzen hinweg. Auch Informationen in der Cloud sind zuverlässig zu schützen.
Wie steht es um die Daten- und Informationssicherheit bei IoT-Geräten?
Florian Goldenstein: Jeder sollte wissen, wie sicher Informationen bei der Interaktion mit vernetzten Geräten oder Maschinen übertragen werden.
Philipp Zeh: Oft hört man: „Ach, ich bin doch ein Niemand. Wen interessiert das schon?“ Sicher interessiert es Einbrecher nicht, was jemand in seinem IoT-Kühlschrank aufbewahrt. Aber die exakte Information des Standortes und dass der Inhalt seit Tagen nicht verbraucht wird, das ist schon spannend.
Wie lange braucht es, ein Sicherheitskonzept aufzusetzen?
Philipp Zeh: Nach der Feststellung des Schutzbedarfes erfolgt die Klassifizierung aller Informationen: Wie werden die Schadensauswirkungen bei einem Angriff eingeschätzt? Eher überschaubar oder katastrophal?
Florian Goldenstein: Jedes Konzept ist individuell auf den Kunden abgestimmt. Aus dem Schutzbedarf und der Klassifizierung leiten sich die angemessenen technischen und organisatorischen Maßnahmen ab, die ein KMU ergreifen sollte. Das ist vergleichbar mit den TOMs aus der EU-DSGVO.
Dadurch ergeben sich ganz unterschiedliche Projektlagen und auch das Budget und die Geschwindigkeit von Projekten können stark variieren. Wichtig ist, dass sich KMUs von Anfang an darauf einstellen. Erfahrungsgemäß ist eine schrittweise Umsetzung des Sicherheitskonzeptes hilfreicher und sicherer, als alles auf einmal umzustellen.
Philipp Zeh: Die Umsetzung kann je nach Unternehmensgröße und Art der Informationen über mehrere Monate verteilt rund 25 Tage dauern, manchmal aber auch deutlich länger.
Florian Goldenstein: Die Kosten für die Grundimplementierung sind für jedes Unternehmen unterschiedlich und können nicht pauschal genannt werden – sie variieren je nach Unternehmensgröße, Umfang und Schutzwürdigkeit der Informationen. Zudem kommen auf die KMUs oft noch weitere Ausgaben für Tools oder für interne Mitarbeiterinnen und Mitarbeiter hinzu.
Wie unterstützt Konica Minolta Unternehmen dabei, ihre Informationen zu schützen?
Florian Goldenstein: Wir unterstützen KMUs mit einem umfassenden IT-Security-Portfolio: von der unverbindlichen Erstberatung bis zur gemeinsamen Implementierung von 360-Grad-Schutzkonzepten. Basierend auf fast 20 Jahren Erfahrung haben wir einen strategischen Analyseprozess entwickelt. Wir prüfen alle im Unternehmensalltag relevanten Bereiche: IT-Sicherheit und Information Security, Printer Device Security und Videosicherheit. Wir analysieren die Sicherheitsanforderungen und designen gemeinsam mit den KMUs ein Konzept, das auf höchstmögliche Sicherheit ausgelegt ist.
