Erhalten Sie Zugang zu diesem und mehr als 300000 Büchern ab EUR 5,99 monatlich.
IT-Sicherheit in kleinen und mittelständischen Unternehmen voranbringen IT- und Informations-Sicherheit ist ein komplexes Thema und die Umsetzung nimmt oft viel Zeit und viele Ressourcen in Anspruch. Bisherige Angebote zur Umsetzung oder Beratung zu Informationssicherheit in Unternehmen sind oft schwer verständlich oder sehr teuer und daher nicht für kleine und mittelständische Unternehmen (KMU) erschwinglich. Als Resultat sind viele Unternehmen nur unzureichend gegen aktuelle Hackerangriffe geschützt, wissen nicht wie Sie die Cybersicherheit erhöhen oder Compliance zu z.B. Datenschutzvorgaben wie zur EU-DSGVO herstellen können. Basierend auf ihrer langjährigen Erfahrung in der IT- und Informations-Sicherheit haben die Autoren dieses Buches ein spezielles Framework für KMUs entwickelt, mit dem Sie selbst mit wenig Aufwand viel in der Cybersicherheit erreichen können - Einsteigerfreundlich erklärt. Lernen Sie mit dem "Selfmade ISMS" die grundlegenden Best Practices der IT-Sicherheit kennen und erhalten Sie Tipps, wie Sie diese auch selbst direkt umsetzen können. Sie als Geschäftsführer kennen die Risiken Ihres Unternehmens doch am besten oder Sie als IT-Administrator wissen auch genau wo die Probleme in dem von Ihnen verwalteten Netzwerk liegen. Kommen Sie zielgerichtet zu abgesicherten Unternehmensprozessen und lernen Sie die Gefahren und Herausforderungen der Cybersicherheit im Unternehmensalltag zu bewältigen. Sei es die Bedrohung durch einen Kryptotrojaner, die Frage, wie Sie vertrauliche Daten am besten mit Geschäftspartnern austauschen oder wie Sie Ihre Geschäftsdaten am besten vor technisch bedingtem Datenverlust schützen. Mit unseren Quick-Wins kommen Sie in 7 Schritten zur Cybersicherheit in Ihrem Unternehmen und erreichen schnelle Ergebnisse und Verbesserung des Sicherheitsniveaus. Sie können eigenhändig Schwerpunkte setzen und so Schritt-für-Schritt zu Ihrem individuell abgesicherten KMU kommen. Hierbei wird auch auf gängige Zertifizierungen wie ISO® 27001, TISAX® oder BSI-Grundschutz einge-gangen, wie sie in Deutschland und Europa verbreitet und anerkannt sind und Ihnen einen Wettbewerbsvorteil bringen können. Das komplexe Thema IT- und Informations-Sicherheit wird hier von Grund auf ausführlich erläutert und bietet den idealen Einstieg in die Welt der Informationssicherheit.
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 222
Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:
von
Marcel Schmidt
und
Jennifer Gabriel
© 2022 Marcel Schmidt, Jennifer Gabriel
1. Auflage
Umschlaggestaltung, Illustration: Adobe Stock, chinnarach
Lektorat, Korrektorat: Elisabeth Wilhelm
ISBN Softcover: 978-3-347-58651-2
ISBN E-Book: 978-3-347-58655-0
Druck und Distribution im Auftrag des Autors:
tredition GmbH, Halenreie 40-44, 22359 Hamburg, Germany
Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.
Bibliografische Information der Deutschen Nationalbibliothek:
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Haftungsausschluss: Jegliche Beschreibungen in diesem Buch wurden von den Autoren nach bestem Wissen und Gewissen hinsichtlich ihrer Richtigkeit zum Stand der Veröffentlichung verfasst. Aufgrund kurzlebiger Ereignisse kann jedoch keine Haftung für die Korrektheit übernommen werden. An diversen Stellen im Buch wird auf externe Webseiten verwiesen, für dessen Inhalte, Aktualität und Verlinkung keine Haftung übernommen wird. Die Inhalte dieser Webseiten werden nicht durch die Autoren zu eigen gemacht. Die Autoren stehen zudem in keiner wirtschaftlichen oder sonstigen Beziehung zu den verlinkten Webseiten oder im Buch genannten Firmen wie Softwareherstellern.
Die Autoren
Marcel Schmidt
Als Marcel 2001 mit der Server- und Netzwerkadministration in die IT-Branche gestartet ist, hat er zunächst eine Ausbildung zum Fachinformatiker absolviert und sich im Laufe der Jahre immer mehr für die IT-Sicherheit interessiert. Seit 2012 ist er voll und ganz als IT-Sicherheitsberater unterwegs und kennt sich bestens mit ISMS Standards aus. Neben seinem Studium der Informatik/IT-Sicherheit an der Friedrich-Alexander-Universität Erlangen/Nürnberg hat er bereits sowohl DAX Top 30 Unternehmen und Landesverwaltungen als auch kleine Familienunternehmen in allen Belangen der Informationssicherheit beraten. Mithilfe seiner gesammelten Erfahrungen konnte er die Zertifizierung zum PECB ISO/IEC 27001 Lead Implementer erreichen. Regelmäßig nimmt er an Sicherheitskonferenzen teil, in denen neue Erkenntnisse der Branche vorgestellt werden.
Jennifer Gabriel
Jennifer ist, nachdem sie sich viele Jahre in ihrer Freizeit damit beschäftigt hat, seit 2007 in der IT-Sicherheit als Quereinsteigerin unterwegs. Von Beginn an konnte sie viele Erfahrungen in renommierten Beratungsunternehmen, im Bereich Penetrationtesting und im Informationssicherheitsmanagement sammeln. 2020 schloss Jennifer ihr Studium Informatik/IT-Sicherheit mit dem Gesamtprädikat „sehr gut“ ab. In der Beratung konnte Jennifer Erfahrung in internationalen sowie DAX Unternehmen sammeln. Ihr spezielles Fachgebiet ist in den vergangenen Jahren der Bereich der kritischen Infrastrukturen (KRITIS) sowie die Finanzbranche geworden wo sie seit 2013 Informationssicherheitsmanagementsysteme in verschiedenen betroffenen Branchen einführt und auditiert.
Vorwort
IT-Sicherheit in kleinen und mittelständischen Unternehmen voranbringen
IT- und Informations-Sicherheit ist ein komplexes Thema und die Umsetzung nimmt oft viel Zeit und viele Ressourcen in Anspruch. Bisherige Angebote zur Umsetzung oder Beratung zu Informationssicherheit in Unternehmen sind oft schwer verständlich oder sehr teuer und daher nicht für kleine und mittelständische Unternehmen (KMU) erschwinglich. Als Resultat sind viele Unternehmen nur unzureichend gegen aktuelle Hackerangriffe geschützt, wissen nicht wie Sie die Cybersicherheit erhöhen oder Compliance zu z.B. Datenschutzvorgaben wie zur EU-DSGVO herstellen können.
Basierend auf ihrer langjährigen Erfahrung in der IT- und Informations-Sicherheit haben die Autoren dieses Buches ein spezielles Framework für KMUs entwickelt, mit dem Sie selbst mit wenig Aufwand viel in der Cybersicherheit erreichen können – Einsteigerfreundlich erklärt.
Lernen Sie mit dem „Selfmade ISMS“ die grundlegenden Best Practices der IT-Sicherheit kennen und erhalten Sie Tipps, wie Sie diese auch selbst direkt umsetzen können. Sie als Geschäftsführer kennen die Risiken Ihres Unternehmens doch am besten oder Sie als IT-Administrator wissen auch genau wo die Probleme in dem von Ihnen verwalteten Netzwerk liegen.
Kommen Sie zielgerichtet zu abgesicherten Unternehmensprozessen und lernen Sie die Gefahren und Herausforderungen der Cybersicherheit im Unternehmensalltag zu bewältigen. Sei es die Bedrohung durch einen Kryptotrojaner, die Frage, wie Sie vertrauliche Daten am besten mit Geschäftspartnern austauschen oder wie Sie Ihre Geschäftsdaten am besten vor technisch bedingtem Datenverlust schützen.
Mit unseren Quick-Wins kommen Sie in 7 Schritten zur Cybersicherheit in Ihrem Unternehmen und erreichen schnelle Ergebnisse und Verbesserung des Sicherheitsniveaus. Sie können eigenhändig Schwerpunkte setzen und so Schritt-für-Schritt zu Ihrem individuell abgesicherten KMU kommen. Hierbei wird auch auf gängige Zertifizierungen wie ISO® 27001, TISAX® oder BSI-Grundschutz eingegangen, wie sie in Deutschland und Europa verbreitet und anerkannt sind und Ihnen einen Wettbewerbsvorteil bringen können.
Das komplexe Thema IT- und Informations-Sicherheit wird hier von Grund auf ausführlich erläutert und bietet den idealen Einstieg in die Welt der Informationssicherheit.
Inhaltsverzeichnis
1. Aufbau
1.1. Einordnung
1.2. Aufbau des Buches
2. Einleitung
2.1. Welche Unternehmen sind gefährdet?
2.2. Warum sollte ich IT-Sicherheit umsetzen?
3. Informationssicherheitsmanagement und Standards
3.1. Governance, Risk, Compliance
3.2. Schutzziele
3.3. ISMS Standards
3.3.1. ISO 27001
3.3.2. BSI IT-Grundschutz
3.3.3. VDS 10000
3.3.4. CISIS12
3.3.5. VDA-ISA (TISAX®)
3.4. Vergleich der Standards und Mapping
4. Das ISMS Framework für KMUs
4.1. ISMS - Informations-Sicherheits-Management-System
Level 1 - Geltungsbereich und Ziele
Level 2 - Verantwortlichkeiten und Dokumentation
Level 3 - Wirksamkeit, Verbesserung und Aktualisierung
4.2. Assetmanagement und Gebrauch von Assets
Level 1 - Assetliste
Level 2 - Zulässiger Gebrauch und Rückgabe
Level 3 - Wiederverwendung und Entsorgung von Datenträgern
4.3. Personalmanagement
Level 1 - Einhaltung der Informationssicherheit und Sensibilisierung
Level 2 - Einstellungsprozess und Änderung der Beschäftigung
Level 3 - Maßregelungsprozess
4.4. Change-Management
Level 1 - Prozessdarstellung
Level 2 - Dokumentation
Level 3 - Notfalländerungen
4.5. Systemsicherheit
Level 1 - Malwareschutz und Datensicherungen
Level 2 - Updates, Monitoring und Protokollierung
Level 3 - Systemhärtung
4.6. Netzwerksicherheit
Level 1 - Netzwerkdokumentation und -separierung
Level 2 - WLAN
Level 3 - IDS/IPS
4.7. Rechtekonzept
Level 1 - Notwendigkeitsprinzip
Level 2 - Passwortanforderungen und privilegierte Zugänge
Level 3 - Notfallbenutzer oder technische Benutzerkennungen
4.8. Verschlüsselung (Kryptokonzept)
Level 1 - Grundlegende Handlungsanweisungen
Level 2 - Anpassung gemäß Empfehlungen von anerkannten Institutionen
Level 3 - Lebenszyklus von Schlüsseln
4.9. Softwareentwicklung
Level 1 - Sicherheitsanforderungen bei der Softwareentwicklung
Level 2 - Change Requests und Abnahmetests
Level 3 - Dokumentation und Versionierung
4.10. Physische Sicherheit
Level 1 - Zutrittsregelung
Level 2 - Physischer Schutz von Sicherheitsbereichen
Level 3 - Versorgungseinrichtungen
4.11. Beschaffung und externe Dienstleister
Level 1 - Management der Dienstleister
Level 2 - Auswahlkriterien und Sicherheitsanforderungen
Level 3 - Überprüfung der Sicherheitsmaßnahmen
4.12. Behandlung von Sicherheitsvorfällen
Level 1 - Meldung und Behandlung von Sicherheitsvorfällen
Level 2 - Kategorisierung
Level 3 - Dokumentation und Nachbehandlung
4.13. Compliance und Datenschutz
Level 1 - Identifizieren von Anforderungen
Level 2 - Einhalten der Anforderungen
Level 3 - Einhalten der EU-DSGVO
4.14. Business Continuity Management (BCM)
Level 1 – Risiken ermitteln
Level 2 - Risiken behandeln
Level 3 - Notfallpläne ausarbeiten
5. Schnellstart für KMUs - zum eigenen ISMS in 7 Schritten
5.1. Zieldefinition, Verantwortlichkeiten festlegen
5.2. Mitarbeitende einbeziehen
5.3. Erfassung der kritischen Unternehmenswerte
5.4. Umsetzung von „Quick-Wins“
5.5. Risikoanalyse und Restrisikomitigierung
5.6. PDCA-Zyklus - Plan für die Zukunft entwickeln
5.7. Audits und optionale Zertifizierung
6. Zusätzliche Aspekte
6.1. Homeoffice und VPN
6.2. Nutzung von externen Cloudangeboten
6.3. E-Mail-Verschlüsselung
7. Anhang
7.1. Checkliste
7.2. Gängige Ports (Auswahl)
7.3. Abkürzungen und Begriffserklärungen
7.4. Register
7.5. Weiterführende Themen
1. Aufbau
1.1. Einordnung
Dieses Buch bildet den Einstieg in das „Selfmade ISMS“, mit dem Sie die Informationssicherheit kennenlernen und umsetzen können. ISMS steht dabei für InformationsSicherheitsManagementSystem oder auch engl. Information Security Management System – ein in diesem Umfeld sehr gebräuchlicher Begriff, da die Informationssicherheit eines Unternehmens mit geltenden Regelungen und Verantwortlichkeiten ganzheitlich gesteuert werden soll. Der Begriff Informationssicherheit bezieht sich auf die Sicherheit aller Daten eines Unternehmens, also auch auf Daten in Papierform, während sich die IT-Sicherheit typischerweise auf elektronisch verarbeitete Daten sowie die dazu verwendete Soft- und Hardware bezieht. Da dieses Buch den ganzheitlichen Charakter des Aufbaus eines ISMS verfolgt, werden hier selbstverständlich auch alle Aspekte der Informationssicherheit betrachtet.
Neben diesem Buch haben die Autoren auch Dokumentenvorlagen ausgearbeitet, die Sie bei der Einführung des ISMS unterstützen können. Diese wurden auf Grundlage der jahrelangen Beratungserfahrung generalisiert erstellt und können leicht an Ihre eigenen Bedürfnisse angepasst werden. Sollten Sie weitere Unterstützung benötigen, können Sie sich auch im persönlichen Gespräch beraten lassen, ein Review Ihrer Dokumentation oder ein Audit beauftragen.
Besuchen Sie gerne auch unsere Webseite:
https://www.selfmade-isms.de
Das Buch nennt Empfehlungen, die einen schlanken Weg zur Umsetzung von IT- und Informationssicherheit im Unternehmen aufzeigen, der bei den meisten KMUs in Deutschland grundsätzlich praktikabel ist. Natürlich kann es immer wieder vorkommen, dass einzelne hier vorgestellte Herangehensweisen nicht in jedem Unternehmen anwendbar sind, da allein schon durch das jeweilige Geschäftsfeld Individuallösungen nötig sein könnten. Jedoch sollten viele Aspekte, die in diesem Buch vorgestellt werden, praktikabel sein. Zudem ist das Buch auch dazu gedacht, Sie selbst in die Lage zu versetzen, eine für Ihre Bedürfnisse gängige Lösung zu finden.
1.2. Aufbau des Buches
In Kapitel 1 erhalten Sie alle wichtigen theoretischen Grundlagen. Fachjargon wird in einfacher Sprache erklärt und ihnen werden die wichtigen Aspekte eines ISMS aufgezeigt. Zur konkreten Definition der Themenfelder eines ISMS finden Sie alle wichtigen Informationen in Kapitel 2. Diese Kapitel bildet auch die Grundlage für die Umsetzungsstrategien, welche in Kapitel 3 behandelt werden.