Lade Inhalt...

Bewertung von Gesetzen, Standards und Regularien zur IT-Sicherheit bei kleinen und mittleren Unternehmen

ISO 27000er Familie, BSI-Standards, COBIT und ITIL im Vergleich

Bachelorarbeit 2016 80 Seiten

Informatik - Wirtschaftsinformatik

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Definitionen
2.1 Sicherheitsbegriffe
2.2 Kleine und mittlere Unternehmen
2.2.1 Quantitative Abgrenzung
2.2.2 Qualitative Abgrenzung

3 Grundlagen der IT-Sicherheit
3.1 Bedeutung der IT-Sicherheit
3.2 Schutzziele der IT-Sicherheit
3.3 Mitarbeitersensibilisierung
3.4 Bedeutung der IT-Sicherheitsmaßnahmen

4 Standards, Best Practice und Gesetze
4.1 Regulatorische und gesetzliche Anforderungen
4.2 Grundsätzliches zu Standardregelwerken
4.3 IT-Grundschutz (BSI)
4.4 Standards des BSI und der IT-Grundschutzkataloge
4.5 ISO/IEC 27000er Familie
4.6 Standards der ISO/IEC 27000er Familie
4.7 COBIT
4.8 ITIL
4.9 Zertifikate
4.10 Gegenüberstellung von Standards, Best Praktiken und Gesetzen

5 IT-Sicherheit in KMU
5.1 Ökonomische Bedeutung der IT-Sicherheit für KMU
5.2 IT-Sicherheitsniveau
5.3 IT-Sicherheitsbewusstsein und IT-Sicherheitsstand in KMU
5.4 Wirtschaftlichkeitsbetrachtung vor dem Hintergrund eines KMU
5.4.1 Quantitativer und qualitativer Nutzen von IT-Sicherheitsmaßnahmen
5.4.2 Erstellung einer Wirtschaftlichkeitsbewertung anhand von Beispielen

6 Zusammenfassung

7 Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Fokus der Informationssicherheit (Quelle: Königs 2009, S. 124)

Abbildung 2: : IT-Mitarbeiter, -Nutzer und -Budget von KMU (Quelle: Dürr 2013, S. 26)

Abbildung 3: ISO/IEC2700x-Familie für ein ISMS (Quelle: Königs 2009, S. 165)

Abbildung 4: ISO 27001: Mapping der Kapitel auf den PDCA Zyklus (Quelle: Müller, O. 2015, S. 20)

Abbildung 5: Einordnung der Regelwerke bezüglich der Vollständigkeit (Quelle: Königs 2009, S. 163)

Abbildung 6: Graphische Darstellung der Wirtschaftlichkeit als Optimierungsaufgabe (Quelle: BMWi 2013, S. 144

Tabellenverzeichnis

Tabelle 1: KMU-Definition der EU (Quelle: Knop 2009, S. 8)

Tabelle 2: Quantitative Abgrenzung zur Unternehmensgröße nach Angaben des IfM-Bonn (Quelle: Rudolph 2009, S. 66)

Tabelle 3: Anzahl der sozialversicherungspflichtig Beschäftigten der Unternehmen in Deutschland 2006 nach Wirtschaftsbereichen und Umsatzgrößenklassen (Quelle: Haunschild und Wolter 2010, S. 22)

Tabelle 4: Übersicht über BSI-Publikationen zum Sicherheitsmanagement (Quelle: BSI 2008a, S. 10)

Tabelle 5: Schutzbedarf beim Grundschutz (Quelle: Kersten und Klett 2008a, S. 62)

Tabelle 6: Einhaltung gesetzlicher und vertraglicher Anforderungen (Quelle: ISO 27001- D 2015, S. 29)

Tabelle 7: Zuordnungstabelle ISO 27001 sowie ISO 27002 und IT-Grundschutz (Quelle: BSI 2011b,

Tabelle 8: BDSG-Sicherheitsmaßnahmen (Quelle: Grünendahl et al. 2012, S. 62)

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Kleine und mittlere Unternehmen (KMU) bilden mit über 99 % das Rückgrat der deutschen Volkswirtschaft (vgl. Behringer 2012, S. 5). Dabei erfolgt der größte Teil von wirtschaftlichen Aktivitäten in KMU vornehmlich mit dem Einsatz der Informationstechnologie (IT). Die IT wird deshalb als ein wichtiger Erfolgsfaktor des Unternehmenserfolges betrachtet (vgl. BMWi 2012, S. 1). Die IT kann aber dann nur zum Erfolg beitragen, wenn sie auch verlässlich arbeitet (vgl. BSI 2011a, S. 3). Viren- und Cyberangriffe richten sich nicht ausschließlich gegen Großunternehmen. Immer häufiger sind auch KMU davon betroffen (vgl. Thies 2008, S. 21). Im Rahmen elektronischer Geschäftsprozesse ist es daher wichtig, eine sichere und funktionierende IT-Infrastruktur herzustellen (vgl. ecc 2011a, S. 5). Zu diesem Zweck haben sich eine Reihe von anerkannten Normen, Standards und Best-Praktiken etabliert. Mit deren Hilfe sollen die Risiken auf ein vertretbares IT-Sicherheitsniveau reduziert werden (vgl. Königs 2009, S. 157). Häufig sind es auch gesetzliche Anforderungen, die Institutionen dazu motivieren, sich vermehrt für die Aufgabenstellungen der IT-Sicherheit einzusetzen (vgl. Köhler 2007, S. 329). Doch gerade KMU sind aufgrund mangelnder personeller und finanzieller Ressourcen bei der Umsetzung von IT-Sicherheitsmaßnahmen oft überfordert (vgl. Gründer und Schrey 2007, S. 16).

Ziel der vorliegenden Bachelorarbeit ist es, auf Basis wissenschaftlicher Erkenntnisse die Wirtschaftlichkeit von Standards und Regularien sowie Gesetzen zur IT-Sicherheit bei KMU zu bewerten.

Nach der Einleitung werden im zweiten Kapitel ausgewählte begriffliche Definitionen vorgestellt, die an vielen Stellen der vorliegenden Arbeit Anwendung finden werden. Dabei werden Begriffe verschieden interpretiert und müssen deshalb in einen Kontext eingeordnet werden. Begriffe wie Datensicherheit und Datenschutz werden häufig verwechselt und synonym genutzt. Deshalb werden zunächst die Unterschiede zwischen den Sicherheitsbegriffen erklärt. Abschließend werden die Merkmale von KMUs beschrieben. In der Literatur wird dabei zwischen quantitativen und qualitativen Kriterien unterschieden (siehe Kapitel 2.2).

Das dritte Kapitel behandelt die Grundlagen der IT-Sicherheit. Für die Aufrechthaltung vieler Unternehmen ist eine zuverlässig funktionierende IT eine Voraussetzung. Zunächst wird daher beschrieben, warum der IT-Sicherheit eine zentrale Rolle in vielen Unternehmen zukommt. Hierbei muss die IT-Sicherheit auf der Ebene von Daten bzw. Informationen drei wesentliche Kriterien einhalten. Ferner wird im zweiten Abschnitt des Kapitels auf die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität Bezug genommen. Häufig sind die Mitarbeiter für den Verlust dieser Schutzziele verantwortlich. Infolgedessen wird auf das Thema Mitarbeitersensibilisierung eingegangen. Im letzten Abschnitt des Kapitels werden die Funktionen der IT-Sicherheitsmaßnahmen erläutert.

Im vierten Kapitel liegt der Fokus auf den Standards und Gesetzen. Zu Beginn des Kapitels werden verschiedene gesetzliche Anforderungen an die IT-Sicherheit erläutert. Danach werden die gängigsten Standards und Best-Practice-Rahmenwerke thematisiert. Die Standards des BSI und die Norm ISO 27001 aus der ISO 2700x- Familie stehen hierbei im Vordergrund. Zertifikate spielen bei der Umsetzung dieser Standards eine übergeordnete Rolle. Daher wird in diesem Kapitel auf diese Thematik ebenso eingegangen. Mit einer Gegenüberstellung der Standards und Gesetzen schließt Kapitel 4.

Das fünfte Kapitel widmet sich der IT-Sicherheit in KMU. Zunächst werden in Anlehnung an statistischen Zahlen die ökonomische Bedeutung und die IT-Affinität der KMU wiedergegeben. Hierauf aufbauend werden die Voraussetzungen für ein angemessenes IT-Sicherheitsniveau beschrieben. Dann wird auf Basis ausgewählter Studien das Sicherheitsbewusstsein in KMU hinsichtlich der IT-Sicherheit gezeigt. Im Zuge dessen werden die Stärken und die Schwächen bzw. Sicherheitslücken gegenübergestellt. Ausgehend von den festgestellten Sicherheitslücken in KMU wird im letzten Abschnitt dieses Kapitels eine Wirtschaftlichkeitsuntersuchung der entsprechenden Maßnahmen der Standards ISO 27001 und ISO 27002 in Bezug auf KMU durchgeführt. Hierbei werden zunächst Anforderungen und Maßnahmen, die die Sicherheitslücken der KMU entsprechen, aus der ISO 27001 und 27002 ausgewählt, welche dann beschrieben werden. Nach jeder Beschreibung werden die Maßnahmen auf ihre Vor- und Nachteile untersucht. Parallel dazu werden die Maßnahmen mit den gesetzlichen Anforderungen in ein Verhältnis gesetzt. Am Ende erfolgt eine Gesamtbewertung.

Im abschließenden Kapitel werden die Ergebnisse zusammengefasst und ein Fazit wird gezogen.

2 Definitionen

2.1 Sicherheitsbegriffe

Der Begriff IT-Sicherheit besteht aus zwei Teilen: IT und Sicherheit. Dabei steht IT für Informationstechnologie und kann nach Enzyklo.de wie folgt definiert werden:Ä Informationstechnologie, Abkürzung IT, die Technik der Informationserfassung, -übermittlung, -verarbeitung und -speicherung mithilfe von Computern und Telekommunikationseinrichtungen ³ (Enzyklo.de 2015).

Für den zweiten Teil des Begriffes Sicherheit existieren dagegen mehrere, jedoch oft voneinander abweichende Definitionen. Häufig wird unter dem Begriff Sicherheit dieÄ Abwesenheit von Gefahren bei systematisch verbundenen IT-Komponenten ³ :LWW 2006, S. 1) verstanden.

Eine weitere Definition lässt sich beim Bundesamt für Sicherheit in der ,QIRUPDWLRQVWHFKQLN %6, ILQGHQ 'RUW KHL‰W HVÄ IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maßreduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. ³ %6,

In der alten ISO 17799 (heute: ISO 27002) wird der Begriff hiervon abweichend GHILQLHUWÄ IT-Sicherheit ist die Minimierung der Verwundbarkeit von Werten und Ressourcen ³ (FNHUW 6 6). Ähnlich verstehen Rannenberg et al. unter dem Begriff IT-Sicherheit, die bei informationstechnischen (IT-)Systemen ihrer Ansicht nach GDULQ EHVWHKWÄ dass Schutzziele trotz intelligenter Angreifer durchgesetzt werden ³ (Rannenberg et al. 1996, S. 1). Nach den letzten beiden Definitionen umfasst die Sicherheit mögliche Sicherheitsmaßnahmen gegen Bedrohungen und Angreifer, um einen umfassenden Schutz der Schutzziele zu gewährleisten.

Laut einer weiteren Definition umschreibt IT-SicKHUKHLW GLHÄ wissenschaftliche, technologische und ingenieurm äß ige Behandlung von Sicherheitsaspekten in der Informationstechnologie ³ (Thies 2008, S. 129). Die IT-Sicherheit und die Informationssicherheit können dahin gehend unterschieden werden, dass die IT- Sicherheit einen Teilaspekt der Informationssicherheit ausmacht (vgl. Königs 2009, S. 124).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Fokus der Informationssicherheit (Quelle: Königs 2009, S. 124)

Dabei verfolgt die Informationssicherheit neben dem umfassenden Schutz der Informationen das Ziel, auch Daten, Systeme, Kommunikationen, Prozeduren und Einrichtungen zu schützen, weil diese Komponenten Informationen enthalten, verarbeiten, speichern oder liefern. Somit hat die Informationssicherheit einen breiteren Fokus als die IT-Sicherheit (vgl. Königs 2009, S. 124). Während die IT- Sicherheit darauf abzielt, die Verfügbarkeit der IT-Systeme zu gewährleisten, weil diese Informationen enthalten, geht es bei der Informationssicherheit darum, die Verfügbarkeit der Informationen herzustellen, um den Benutzer zur vorgesehen Zeit den Zugriff zu ermöglichen (vgl. Königs 2009, S. 124). Jedoch werden in der deutschsprachigen Literatur die Begriffe Informationssicherheit und IT-Sicherheit häufig synonym genutzt, weil die Informationen durch IT-Systemen gespeichert und verarbeitet werden können (vgl. Witt 2006, S. 1). In dieser Bachelorarbeit wird dieser definitorischen Auffassung gefolgt.

Abschließend wird eine weitere Definition zur IT-Sicherheit vorgestellt. Nach Eckert unterteilt sich die IT-Sicherheit in vier Bereiche, die gesondert dargestellt werden müssen. 'LH YLHU %HUHLFKH ODXWHQ ÄFunktionssicherheit³, ÄInformationssicherheit³, ÄDatensicherheit³ und ÄDatenschutz³ (vgl. Eckert 2014, S. 4ff). Diese werden nach Eckert wie folgt definiert:

Eine Funktionssicherheit liegt vor, wenn die tatsächlich realisierte Funktionalität der IT-Systeme (Ist-Funktionalität) mit der Soll-Funktionalität der IT-Systeme übereinstimmt. Danach heißt es, dass die IT-Komponenten unter normalen Betriebsbedingungen funktionsbereit sein müssen (vgl. Eckert 2014, S. 4ff).

Nach Eckert istÄ die Informationssicherheit die Eigenschaft eines funktionssicheren Systems, nur solche Systemzustände anzunehmen, die zu keiner unautorisierten Informationsveränderung oder -gewinnung führen ³ (Eckert 2014, S. 5). Diese Definition stimmt mit der Definition des Schutzziels Integrität überein, die beschreibt, dass unautorisierte Subjekte Informationen und Daten nicht erzeugen, verändern oder ergänzen dürfen (siehe Kapitel 3.2).

Auch die Definition der Datensicherheit stimmt mit der Eigenschaft des Schutzziels Vertraulichkeit überein (siehe Kapitel 3.2). Laut Ecket heißt Datensicherheit, dass die Systeme nur solche Zustände annehmen dürfen, die unautorisierte Zugriffe auf Systemressourcen und Daten abblocken. Diese Begriffserklärung umfasst zudem die Maßnahme zur Gewährleistung der Datensicherheit ± die Datensicherung, die mittels Backups die Daten vor Verlust schützen soll (vgl. Eckert 2014, S. 5).

Unter Datenschutz wird der Schutz von personenbezogenen Daten als Teil der Privatsphäre entsprechend den gesetzlichen Anforderungen der Datenschutzgesetze verstanden (vgl. Eckert 2014, S. 6).

Auch in zahlreichen anderen Literaturen wird explizit darauf verwiesen, dass die Begriffe Datensicherheit und Datenschutz voneinander getrennt werden sollen (vgl. Kersten und Klett 2008a, S. 52). Bei der Datensicherheit geht es um den technischen Schutz der Daten vor unautorisiertem Zugriff. Die Bezeichnung Datenschutz ist dagegen ein juristisch geprägter Begriff, der sich auf den umfassenden Schutz von personenbezogenen Daten bezLHKW /DXW GHU 5HJHOXQJ ]X ÄTechnischen und organisatorischen 0D‰QDKPHQ³ des § 9 BDSG sollen allerdings mit Datensicherheit die Schutzziele des Datenschutzes erreicht werden (vgl. Dinger und Hartenstein 2008, S. 276).

2.2 Kleine und mittlere Unternehmen

KMU zeichnen sich durch geringe Mitarbeiter- und Umsatzzahlen aus (vgl. Behringer 2012, S. 22). Zur Klassifizierung des Begriffes werden sowohl quantitative Kriterien als auch qualitative Kriterien berücksichtigt (vgl. Knop 2009, S. 7). Quantitative Abgrenzungen können durch statistisch vorhandene Zahlenwerte vorgenommen werden (vgl. Rudolph, S. 64). Die quantitativen Kriterien stellen vor allem für wirtschaftspolitische Zwecke einfache Klassifizierungsmethoden dar, mit denen in der Praxis eine Differenzierung von KMU und Großunternehmen vorgenommen werden kann. Jedoch sind die Zahlenwerte vereinfachende Anhaltspunkte, denn unter KMU werden mehrere Wirtschaftsbereiche zusammengefasst. Diese sind z. B. Industrie, Handel, Handwerk, Dienstleistungen und Freie Berufe. Für jeden dieser Bereiche existieren spezifische Eigenheiten (vgl. Knop 2009, S. 7). Demzufolge müssen für die Definition des KMU auch qualitative Gesichtspunkte in Betracht gezogen werden, die beschreibende Wesensmerkmale enthalten. Durch diese Merkmale werden unter anderem die organisatorische und die strukturelle Homogenität der KMU aufgezeigt (vgl. Rudolph, S. 64).

2.2.1 Quantitative Abgrenzung

Eine gängige Definition nimmt die EU-Kommission vor. Laut dieser zählen zu den KMU allgemein alle Betriebe, die eine Beschäftigtenzahl von höchstens 250 Personen und einen Umsatz bis zu 50 Millionen ¼ haben (vgl. Matzer 2008, S. 17). Die EU präzisierte diese Abgrenzung zum 01. Januar 2005. Sie teilt die Unternehmen in Kleinstunternehmen, kleine Unternehmen und mittlere Unternehmen ein (vgl. Knop 2009, S. 8). Die Abgrenzung der Arten von KMU wird in der folgenden Tabelle dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: KMU-Definition der EU (Quelle: Knop 2009, S. 8)

Demnach definiert die EU Unternehmen als klein bei einer Mitarbeiteranzahl bis zu 49 Personen und einem Jahresumsatz oder einer Bilanzsumme bis zu 10 Millionen ¼ Zu den mittleren Unternehmen zählen alle Wirtschaftssubjekte, die eine Beschäftigtenanzahl von höchstens 250 Personen aufweisen und einen Jahresumsatz von höchstens 50 Millionen ¼ RGHU HLne Bilanzsumme von höchstens 43 Millionen ¼ haben. Zusätzlich grenzt die EU-Kommission die Kleinstunternehmen mit den Charakteristika von unter zehn Arbeiter und bis zu 2 Millionen Jahresumsatz oder Bilanzsumme ab (vgl. Bolsinger 2006, S. 31). Wie in der Tabelle 1 zu sehen ist, trifft die EU-Kommission ein weiteres Kriterium ± die Unabhängigkeit des klein- und mittelständigen Unternehmens. Nach diesem Kriterium dürfen Unternehmen, die nicht selbst zu den KMU gezählt werden, mit nur höchstens 25 % Stimmrechtsanteil oder Kapital an dem zu klassierenden Unternehmen beteiligt sein (vgl. Harich 2015, S. 23). Anders formuliert heißt es, dass ein Unternehmen mindestens zu 75 % unabhängig sein muss. Folglich müssen alle Kriterien, die in der Tabelle 1 aufgeführt sind, erfüllt werden, wobei es beim zweiten Kriterium genügt, wenn einer der beiden Grenzen eingehalten wird (vgl. Knop 2009, S. 8).

Eine weitere Abgrenzung zur Unternehmensgröße bei KMU findet sich beim Institut für Mittelstandsforschung in Bonn (IfM) (vgl. Rudolph 2009, S. 66).

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Quantitative Abgrenzung zur Unternehmensgröße nach Angaben des IfM-Bonn (Quelle: Rudolph 2009, S. 66)

Hier werden ebenfalls die quantitativen Abgrenzungskriterien Mitarbeiteranzahl und jährlicher Umsatz für die Definition verwendet. Im Gegensatz zu der EU-Kommission wird beim IfM nicht zwischen Kleinst- und Kleinunternehmen unterschieden. Laut dem IfM gehören alle Wirtschaftssubjekte zu kleinständischen Unternehmen, die höchstens neun Personen beschäftigen und einen jährlichen Umsatz von höchstens 1 Million aufweisen. Als mittelständische Unternehmen gelten nach IfM alle Unternehmen, deren Mitarbeiteranzahl zwischen 10 und 499 Personen liegt und bei denen der jährliche Umsatz sich im Intervall von 1 Million ¼ ELV Millionen ¼ verortet. Quantitative Abweichungen zur KMU-Definition der EU liegen neben der Nicht-Unterscheidung zwischen Kleinst- und Kleinunternehmen bei der Beschäftigungszahl vor (vgl. Rudolph 2009, S. 66).

Zur Berechnung der KMU-Anteilwerte in der volkswirtschaftlichen Gesamtrechnung erweiterte das IfM die bisher bekannte Definition zur Abgrenzung der Unternehmensgröße. Demnach fallen die Mitarbeiter- und Umsatzzahlen je Branchenzugehörigkeit anders aus. So beschäftigen die Unternehmensnahe Dienstleistungen und sonstige Dienstleistungen weniger Mitarbeiter und erzielen geringeren Umsatz als z. B. das verarbeitende Gewerbe und der Handel (vgl. Haunschild und Wolter 2010, S. 22). Nach Wirtschaftsbereichen klassifiziert entsteht für KMU in Abhängigkeit von den oben genannten Kriterien folgende Tabelle:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 3: Anzahl der sozialversicherungspflichtig Beschäftigten der Unternehmen in Deutschland 2006 nach Wirtschaftsbereichen und Umsatzgrößenklassen (Quelle: Haunschild und Wolter 2010, S. 22)

Darüber hinaus wird die Größenordnung von IT-Mitarbeitern, IT-Nutzern und IT- Budget in KMU wie in Abbildung 2 dargestellt eingegrenzt (vgl. Dürr 2013, S. 26)

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: : IT-Mitarbeiter, -Nutzer und -Budget von KMU (Quelle: Dürr 2013, S. 26)

2.2.2 Qualitative Abgrenzung

Bei qualitativen Merkmalen wird nicht die Unternehmensgröße berücksichtigt, vielmehr werden spezielle Unternehmenstypen bzw. die Art und Weise der Unternehmensführung zur Unterscheidung herangezogen (vgl. Knop 2009, S. 9). Qualitative Abgrenzung findet sich besonders in der Wahl von Rechtsform, Produktionspolitik und Innovationstätigkeit. Zu den KMU zählen Freiberufler, einzelne Handwerker in Selbstständigkeit und kleinere Familienbetriebe, aber auch größere Personen- und Kapitalgesellschaften (vgl. Bolsinger 2006, S. 32).

Im Gegensatz zu Großunternehmen ist ein KMU dadurch gekennzeichnet, dass kein Auseinanderfallen von Eigentum und Verfügungsmacht vorliegt. Die zentrale Figur eines KMU ist der Inhaber (vgl. Behringer 2012, S. 23). In der Regel wird ein KMU vom Eigentümer selbst geführt (vgl. Rudolph 2009, S. 67). Der Geschäftsführer ist für die Leitung und die Kontrolle zuständig und trägt die volle Verantwortung für das Unternehmen. Auch der wirtschaftliche Erfolg ist zum größten Teil vom Inhaber des Betriebs abhängig. Die Ziele des Unternehmens sind mit den Zielen des Unternehmers deckungsgleich (vgl. Bolsinger 2006, S. 33).

Die Kundenbeziehung in einem KMU wird generell auf der Vertrauensebene aufgebaut. Im Gegensatz zu Großunternehmen wird der Kontrolle weniger Aufmerksamkeit geschenkt. Das Unternehmen geht auf individuelle Kundenwünsche ein und erstellt dementsprechende Leistungen. Dadurch werden Wettbewerbsvorteile wie Flexibilität und Geschwindigkeit erreicht (vgl. Dürr 2013, S. 26). Eine flache Hierarchie liegt auch zwischen der Leitung und dem Betriebspersonal vor. Die Kontakte zwischen ihnen sind eng und informell (vgl. Knop 2009, S. 9). Ebenso wird auf moderne Managementmethoden verzichtet (vgl. Dürr 2013, S. 26).

Darüber hinaus herrscht eine Knappheit bei finanziellen und personellen Ressourcen (vgl. Behringer 2012, S. 161). Merkmale wie geringe Risikobereitschaft des Unternehmenseigentümers und vorwiegende Konzentration auf ein Handlungsfeld sind weitere charakteristische Abgrenzungskriterien, die ein KMU auszeichnen (vgl. Knop 2009, S. 9).

3 Grundlagen der IT-Sicherheit

3.1 Bedeutung der IT-Sicherheit

In der heutigen Zeit ist die Durchführung eines modernen Geschäftsprozesses ohne den Einsatz von IT kaum vorstellbar (vgl. Dinger und Hartenstein 2008, S. 181). Bei den meisten Unternehmen gilt die IT daher als der bedeutendste Unterstützer des Kerngeschäftes. In vielen Fällen macht die IT sogar selbst das Kerngeschäft aus. Dazu gehören bspw. ÃOutsourcerµ, die Maschinen und Anlagen für andere Unternehmen führen (vgl. Goltsche 2006, S. 5). Darüber hinaus nimmt die IT eine Substitutionsrolle ein, indem sie die bisher vertrauten Methoden durch modernere Prozessmethoden verdrängt. Als Beispiel dazu ist der Warenverkehr anzuführen, der zum größten Teil nicht mehr real, sondern virtuell zwischen IT-Systemen stattfindet (vgl. Spitz et al. 2011, S. XI). Hierbei spielt unter anderem das Internet eine zentrale Bedeutung. Der Grund dafür sind vor allem zahlreiche Geschäfte, die heute im und über das Netz erledigt werden. Parallel wächst die räumliche Verteilung der IT-Systeme, sodass Standorte miteinander verkuppelt werden müssen. In den letzten Jahren hat sich die Technik derart entwickelt, dass die meisten Daten und Anwendungen über mobile Geräte gespeichert und verarbeitet werden können (vgl. Grünendahl et al. 2012, S. 1).

Da die Abhängigkeit von IT-Systemen konsequent ansteigt, ist es maßgeblich, Schutzkonzepte für einen sicheren Betrieb der IT zu entwickeln (vgl. Spitz et al. 2011, S. XI). Denn mit dem steigenden Grad der IT-Nutzung besteht das Risiko, dass ein Schaden im Schadensfall viel größer ausfällt als davor. Länger dauernde Ausfälle der IT-Systeme würden sich z. B. negativ auf die Produktion auswirken. Demnach müssen Anstrengungen unternommen werden, dass der Geschäftsprozess im Falle einer Störung weitergeführt werden kann (vgl. ecc 2011b, S. 5). Ausgehend von solchen Überlegungen und Erkenntnissen gilt die Sicherheit der Informationsverarbeitung als ein entscheidender Erfolgsfaktor für Institutionen, der u. a. die Wettbewerbsfähigkeit in einer Volkswirtschaft fördern soll (vgl. Stelzer 1993, S. VII).

Zudem fallen viele Unternehmensentscheidungen auf Basis sensibler Informationsdaten, die in den Computern abgespeichert sind. Deshalb ist es wichtig, die Informationsdaten vor Verlust oder Diebstahl zu schützen, da ein unterschätzter Risikofaktor die Existenz des Unternehmens bedrohen kann (vgl. Gründer und Schrey 2007, S. 289). Ein denkbarer Fall wäre es beispielsweise, dass die Konkurrenz an die Kundendaten herankommt. Als Folge würde sich das Unternehmen gegenüber den Kunden und den Lieferanten schadenersatzpflichtig machen, weil die Daten nicht so geschützt waren, wie der Gesetzgeber es vorsieht. Es kann z. B. auch vorkommen, dass ein Unternehmen aufgrund eines Problems im IT-System seine dringend fälligen Zahlungen nicht nachkommen kann, weil ihm die relevanten Informationen dafür nicht mehr vorliegen. Gerade in KMU können bereits kleine Sicherheitsvorfälle zum Konkurs führen (vgl. Deutsch et al. 2007, S. 57).

Wirtschaftliche Schäden aufgrund vorhandener IT-Risiken stellen nur einige Gründe dar, sich vermehrt für die Aufgabestellung der IT-Sicherheit zu engagieren. Neben den quantitativ messbaren Schäden, wie z. B. Produktionsverlust wegen Ausfallzeiten von Rechnern, sind vor allem Imageverluste im Rahmen der IT-Sicherheit ernst zu nehmende Faktoren (vgl. Grünendahl et al. 2012, S. 7).

3.2 Schutzziele der IT-Sicherheit

Sämtliche Unternehmen sind heute in ihren Geschäftsprozessen oft von Informationen und Daten abhängig ± sei es zur Kommunikation, zur Aufbereitung oder zur Aufbewahrung relevanter Sachverhalte (vgl. Königs 2009, S. 119). Somit stellen die Informationen und Daten einen großen Teil des Unternehmenswertes dar. Aufgrund dessen ist es wichtig, die Daten so zu schützen, dass sie dem Unternehmenszweck weiterhin dienen können. Um dies zu ermöglichen, muss die Datenhaltung eines Unternehmens im Rahmen der IT-Sicherheit wichtige Voraussetzungen erfüllen (vgl. Deutsch et al. 2007, S. 57).

Der Zugriff auf diese Informationen und Daten ist zu begrenzen und zu kontrollieren, sodass nur bestimmten Personen des Unternehmens ein Zugriff gestattet wird (vgl. Eckert 2014, S. 6). In der Literatur wird in diesem Kontext von den Schutzzielen der IT-Sicherheit gesprochen. Diese sogenannten Schutzziele sind Vertraulichkeit, Verfügbarkeit und Integrität. Etwas präziser werden diese Schutzziele mit der Vertraulichkeit von Informationen, der Integrität von Daten und der Verfügbarkeit von Datenträgern umschrieben (vgl. Kersten und Klett 2008a, S. 43). Im Folgenden werden die zuvor genannten Schutzziele erläutert.

Vertraulichkeit bedeutet, dass nur berechtigten Personen der Zugriff auf Informationen gewährt wird (vgl. Deutsch et al. 2007, S. 57). Es kommt zu einem Verlust der Vertraulichkeit, wenn Informationen oder Daten von Unbefugten zur Kenntnis genommen werden (vgl. Köhler 2007, S. 222). Im Umkehrschluss heißt es, dass jemand im Unternehmen bestimmen muss, wem der Zugriff auf IT-Systeme erlaubt ist (vgl. Kersten und Klett 2008a, S. 43). Das heißt, die zugreifenden Personen müssen eindeutig identifiziert und ihre Identität muss verifiziert werden (Authentizität) (vgl. Eckert 2014, S. 6). Dabei besteht bei der Vertraulichkeit das Problem, dass die Befugten manchmal nicht realisieren, dass ein Verlust der Vertraulichkeit vorliegt. Es kann in zwei Formen zum Verlust der Vertraulichkeit kommen: Entweder werden die Informationen durch Befugte an Unbefugte weitergegeben oder es liegt eine Schwachstelle im System vor, die ermöglicht, dass Unbefugte auf vertrauliche Informationen zugreifen können. Bei der Weitergabe von Informationen von Befugte an Unbefugte kann unterschieden werden, ob dies beabsichtigt oder unbeabsichtigt geschehen ist (vgl. Kersten und Klett 2008a, S. 45).

Vertraulichkeit ist unabdingbar, da bspw. Informationen über aktuelle Schwachstellen oder beabsichtige Sicherungsmaßnahmen in dem IT-System vorhanden sind, die einer unbefugten Person mit kriminellen Absichten wichtige Hinweise auf mögliche Angriffspunkte liefern können (vgl. Stelzer 1993, S. 119).

Ist eine Person authentifiziert und berechtigt, auf sensible Informationen und Daten zuzugreifen, muss dafür gesorgt werden, dass das System auch einen Zugriff ermöglicht. Dies wird unter der Eigenschaft der Verfügbarkeit subsumiert (vgl. Eckert 2014, S. 6). Dabei muss der Zugriff bedarfsorientiert sein, d. h., die IT-Systeme müssen in der vereinbarten Qualität, am vereinbarten Ort und zur vereinbarten Zeit zur Verfügung stehen (vgl. Deutsch et al. 2007, S. 57ff). In anderen Worten ausgedrückt, muss die Funktionalität der IT-Systeme in einer akzeptablen Zeit gewährleistet werden, weil die Verfügbarkeit der Daten von der Verfügbarkeit der IT- Systeme abhängig ist (vgl. Kersten und Klett 2008a, S. 47). Zusammenfassend lässt sich sagen, dass die Verfügbarkeit auf zwei Arten verletzt werden kann: Zu einem kann es sein, dass die Befugten keinen Zugriff auf Daten haben, weil diese gelöscht oder vernichtet wurden. Zu anderem kann es dazu kommen, dass die Daten zwar vorhanden sind, aber nicht in der akzeptablen Zeit vorliegen, weil die Funktionalität der IT-Systeme beeinträchtigt ist (vgl. Kersten und Klett 2008a, S. 48).

Unter Datenintegrität wird verstanden, dass die zu schützenden Daten ohne Berechtigung nicht erzeugt, verändert oder ergänzt und somit nicht verfälscht werden können (vgl. Kersten und Klett 2008a, S. 45). Sollen jedoch Veränderungen der Daten vorgenommen werden, müssen dementsprechend die Zeit und das Datum des Eingriffs sowie der Autor identifizierbar sein, damit er im Nachhinein die Durchführung einer solchen Aktion nicht leugnen kann (Verbindlichkeit) (vgl. Eckert 2014, S. 11). Eine Möglichkeit, sich vor Manipulationen zu schützen, ist die Vergabe von Nutzungs- und Zugriffsrechten an einzelne Personen (vgl. Köhler 2007, S. 222). Die Integrität muss gesichert sein, da z. B. unerwünschte Änderungen an Informationen über Unternehmensstrategien negative Einflüsse auf die Sicherheitsstrategie und somit auf das Informationssicherheitssystem haben können (vgl. Stelzer 1993, S. 119).

Sämtliche Sicherheitsmaßnahmen, die im Bereich der IT-Sicherheit ergriffen werden können, haben den Zweck, einem oder mehreren der oben aufgeführten Prinzipien zu dienen. Dabei wird beabsichtigt, die geltenden Rechtsverordnungen zu erfüllen und ökonomischen Schaden, wie z. B. IT-bedingte Katastrophen, zu verhindern. Wichtige Gründe für IT-bedingte Katastrophen sind z. B. Diebstahl von mobilen Geräten, Trojaner, Viren, aber auch gelöschte Festplatten (vgl. Deutsch et al. 2007, S. 58ff). Wie im folgenden Abschnitt deutlich wird, liegt die entscheidende Ursache von ITKatastrophen im Verhalten der Mitarbeiter in einem Unternehmen.

3.3 Mitarbeitersensibilisierung

Ä (LQH .HWWH LVW QXU VR VWDUN ZLH LKU VFKZlFKVWHV *OLHG ³ (ecc 2011b, S. 54).

Technische Sicherheitsmaßnahmen im Rahmen der IT-Sicherheit reichen für einen umfassenden Schutz nicht aus (vgl. Fröhlich und Glasner 2007, S. 184). Daher ist es auch wichtig, innerbetriebliche Gefahren zu eliminieren. Nach der RSA-Studie Gefahrenbarometer Deutschland-Sicherheitsrisiken für den deutschen Mittelstand, die 2010 durchgeführt wurde, glauben rund 58 % der befragten KMU, dass die größte Bedrohung von den Mitarbeitern ausgeht (vgl. ecc 2011b, S. 54). Das Herunterladen von beschädigten Daten und Programmen aus dem Internet, die Nutzung von infizierten mobilen Geräten und USB-Sticks, unter anderem aber auch der leichtsinnige Umgang mit Passwörtern und E-Mail-Anhängen können sensible Informationen und Daten gefährden (vgl. ecc 2011b, S. 51).

Neben den AngriffHQ GLH WHFKQLVFKHU 1DWXU VLQG LVW GDV Ä6RFLDO (QJLQHHULQJ³ HLQ heikles Thema. Hierbei versucht ein Angreifer, sich durch ÄVR]LDOH )lKLJNHLWHQ³ den Mitarbeitern eines Unternehmens anzunähern. Das Ziel des Angreifers ist es, Zugriff auf sensitive und vertrauliche Informationen zu erlangen (vgl. SAP AG 2010, S. 14). Die IT- oder Geschäftsleitung muss daher den Umgang mit sensiblen Informations- und Datensystemen regeln und Handlungsanweisungen geben. Was die Mitarbeiter können und wo ihre Grenzen sind, muss entsprechend ihrer Rolle im Geschäftsprozess klar definiert sein (vgl. ecc 2011b, S. 59). Den meisten Mitarbeitern fehlt es jedoch an Akzeptanz von IT-Sicherheit: Sie halten nicht viel davon, fühlen sich bei ihrer Arbeit sogar gestört oder behindert. Häufig kann beobachtet werden, dass sie bewusst geregelte Sicherheitsvorkehrungen übergehen (vgl. Kersten und Klett 2008a, S. 17).

Auch wenn den Mitarbeitern nicht bewusst ist, welche wichtige Rolle sie im Rahmen der IT-Sicherheit spielen, bilden sie den wesentlichen Faktor eines Sicherheitsprogrammes. Daher sollte ihnen ihre Eigenverantwortung innerhalb dieses Sicherheitsprogramms vermittelt werden (vgl. Fröhlich und Glasner 2007, S. 184). Zur Unterstützung von Fachkompetenz sowie Qualitäts- und Kostenbewusstsein empfiehlt es sich, interne Schulungen durchzuführen (vgl. Grünendahl et al. 2012, S. 96). Dabei sollte solch eine Investition nicht als ein Kostenfaktor betrachtet werden. Im Gegenteil bewirken Investitionen in das Personal sofort einen messbaren positiven Effekt (vgl. Scheibeler 2002, S. 39). In solchen Sicherheitstrainings und Schulungen müssen die Mitarbeiter auf die zuvor angesprochenen Gefahren und weitere Risiken aufmerksam gemacht werden, sodass sich ihr Sicherheitsbewusstsein erhöht. Denn mit steigender Kenntnis über die Gefahren wird ein Mitarbeiter eher das angestrebte Sicherheitsniveau erreichen (vgl. Stelzer 1993, S. 43). Jeder Mitarbeiter muss mit den IT-Sicherheitszielen und IT-Sicherheitsmaßnahmen vertraut sein, die für den eigenen Arbeitsplatz wichtig sind (vgl. Kersten und Klett 2008a, S. 17). Dabei sollte der Trainingsfokus insbesondere auf neu eingestellte Mitarbeiter gerichtet werden (vgl. Fröhlich und Glasner 2007, S. 184). Zudem ist es wichtig, solche Schulungs- und Trainingsprogramme je nach Bedarf im Jahr zu wiederholen, um die Sensibilisierung aufzufrischen (vgl. Kersten und Klett 2008a, S. 17).

Neben Nachlässigkeiten im Umgang mit dem IT-System und den sensiblen Informationen und Daten können enttäuschte und unzufriedene Mitarbeiter eine Gefahr für das Unternehmen sein. Sie versuchen bspw. durch Ausspähen der Betriebsgeheimnisse und Übermittlung dieser an ein Konkurrenzunternehmen dem Arbeitgeber gezielt Schaden zuzufügen (vgl. Kersten und Klett 2008a, S. 144). Meist werden sie auch dafür mit Geld belohnt (vgl. Hummelt 1997, S. 67). In diesem Sinne muss unterschieden werden, ob Mitarbeiter durch vorsätzliches Handeln bewusst versuchen, dem Unternehmen einen Schaden zuzufügen, oder das fahrlässige Handeln von Mitarbeiter zu Schaden führt.

3.4 Bedeutung der IT-Sicherheitsmaßnahmen

Sicherheit in der IT kann nur gewährleistet werden, wenn in Abhängigkeit von den Bedrohungen auch Sicherheitsmaßnahmen ergriffen werden. In der Regel wird durch eine Maßnahmenergreifung der Umsatz oder der Gewinn nicht gesteigert. Vielmehr dient sie zur Vermeidung bzw. Minimierung von Risiken und Gefahren, die sich auf den Umsatz, den Gewinn oder das Image des Unternehmens auswirken können (vgl. Gründer und Schrey 2007, S. 20). Eine 100%-ige Sicherheit kann durch den Einsatz von Sicherheitsmaßnahmen nicht erreicht werden. Jedoch ist es mit entsprechenden Maßnahmen möglich, die Häufigkeiten der negativen Ereignisse und die Konsequenzen solcher Ereignisse minimal zu halten (vgl. Königs 2009, S. 1). Zudem muss es den Entscheidungsträgern bewusst werden, dass Investitionen in 6LFKHUKHLWVPD‰QDKPHQ NHLQ ÄOlVWLJHV hEHO³ VLQG, sondern sich auch positiv in der Bilanz auszeichnen lassen können. Dennoch können durch die Implementierung einer sinnvoll erscheinenden Maßnahme neue Verwundbarkeiten entstehen. Die positive Wirksamkeit einer Maßnahme setzt somit eine gute Maßnahmenwahl voraus (vgl. Harich 2015, S. 28).

Es liegen nicht nur ökonomische Gründe für die Realisierung von Maßnahmen vor. Um mögliche Strafkosten zu vermeiden, sollen die IT-Sicherheitsmaßnahmen die gesetzlichen Anforderungen an die IT-Sicherheit erfüllen (vgl. Kersten und Klett 2008a, S. 6).

Dabei lässt sich bei IT-Sicherheitsmaßnahmen zwischen technisch basierten Maßnahmen und benutzerzentrierten Maßnahmen unterscheiden. Bei Ersterem handelt sich um Systeme, die die Angriffe größtenteils eigenständig abwehren. Dazu gehört z. B. eine Firewall, die sämtliche Angriffe autonom blockiert, für die sie entwickelt wurde. Die Konfiguration muss dabei vom Benutzer vorgenommen werden. Dennoch arbeitet sie nach der Konfiguration völlig selbstständig. Benutzerzentrierte IT-Sicherheitsmaßnahmen setzten dagegen die ständige Einbeziehung des menschlichen Faktors voraus. Beispielsweise kann die Unternehmens- oder die IT-Fachabteilung gewisse Regelungen einführen (sogenannte Sicherheits-Policies), die beschreiben, wie sich die Mitarbeiter bei der Nutzung von IT-Systemen zu verhalten haben. Diese Art der Sicherheitsmaßnahmen erfordert die ständige Interaktion oder die Anwendung mit ihnen. Zu diesen IT- Sicherheitsmaßnahmen zählen auch Richtlinien und Standards, nach denen sichere Systeme oder Software entwickelt und benutzt werden (vgl. Peters 2010, S. 34).

Vor allem müssen die IT-Sicherheitsmaßnahmen in ihrer Umsetzung sicherstellen, dass ein angemessener Schutz der im Kapitel 3.2 beschriebenen Schutzziele Vertraulichkeit, Verfügbarkeit sowie Integrität der Informationen und Daten erreicht wird und der Ablauf der Geschäftsprozesse störungsfrei und korrekt gewährleistet ist (vgl. Thies 2008, S. 6). IT-Sicherheit ist aber ein komplexes Thema, daher reicht eine einzelne Sicherheitsmaßnahme für das Erreichen dieser Schutzziele nicht aus. Es müssen eine Reihe von Maßnahmen eingeleitet werden (vgl. Kappes 2007, S. 5). Darüber hinaus müssen bereits ergriffene Maßnahmen ständig auf ihre Wirksamkeit überprüft und kontinuierlich verbessert werden, da diese eventuell weiterentwickelte Bedrohungen nicht mehr bekämpfen können (vgl. SAP AG 2010, S. 11ff).

4 Standards, Best Practice und Gesetze

4.1 Regulatorische und gesetzliche Anforderungen

Maßnahmen zur IT-Sicherheit werden meist aus wirtschaftlichen Überlegungen ergriffen. Doch oft werden Unternehmensführer auch durch gesetzliche Anforderungen dazu gezwungen (vgl. Köhler 2007, S. 329). Aus unterschiedlichen Rechtsvorgaben lassen sich Handlungsverpflichtungen und Haftungsrisiken für Geschäftsführer ableiten, wenn sie dem Thema IT-Sicherheit nicht die erforderliche Aufmerksamkeit und Fürsorge schenken (vgl. Grünendahl et al. 2012, S. 2). Zu den Rechtsvorschriften zählt das KonTraG, das BDSG, das HGB und auch das Strafgesetzbuch usw. Diese nehmen direkt oder indirekt Bezug auf die IT-Sicherheit (vgl. Deutsch et al. 2007, S. 56).

Das KonTraG verlangt gemäß § 91 Abs. 2 eine Risikovorsorge durch ein Überwachungssystem (vgl. Bundestagesblatt 2015) und macht bei Versäumnissen diesbezüglich die Geschäftsführung dafür verantwortlich (vgl. Witt 2006, S. 4). Eine einfache Delegierung der IT-Sicherheit an den Systemadministrator ist daher nicht ausreichend (vgl. Gründer und Schrey 2007, S. 6). Auch nach BDSG werden der Geschäftsführung und den IT-Verantwortlichen Pflichten im Rahmen der Einhaltung der IT-Sicherheit zugewiesen (vgl. Kappes 2007, S. 11ff). Gemäß § 9 BDSG hat jedes Unternehmen die Pflicht, angemessene technische und organisatorische Sicherheitsvorkehrungen hinsichtlich des Schutzes von personenbezogenen Daten zu treffen (vgl. BMJV 2015a). Nicht nur im BDSG werden Anforderungen zum Datenschutz formuliert. Zahlreiche weitere Gesetze erfordern implizit entsprechende Maßnahmen. Dazu gehört bspw. § 78a SGB X zum Schutz personenbezogener Sozialdaten, § 4 TDDSG zum Schutz von personenbezogenen Nutzerinteressen von Telediensten und § 18 MDStV zum Schutz von personenbezogenen Nutzerinteressen von Mediendiensten (vgl. Witt 2006, S. 131). Das Thema Datenschutz sollte deshalb in den Unternehmen ernst genommen werden, da sonst persönliche Haftungsrisiken für die Geschäftsführung und mögliche Schadenersatzansprüche von Betroffenen entstehen können (vgl. UIMC o. J., S. 30).

Eng verknüpft mit dem Datenschutz ist die Einhaltung des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG. Da heißt esÄ Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich ³ (BMJV 2015b). In Anlehnung an diesem Artikel müssen Unternehmen gemäß § 100 Abs. 1 TKG beim Betrieb einer 7HOHNRPPXQLNDWLRQVDQODJH JHHLJQHWH 0D‰QDKPHQ ]XUÄ Erkennung, Eingrenzung und Beseitigung von Störungen und Fehlern an Telekommunikationsanlagen ³ ergreifen (BMJV 2015c). Zudem müssen bestimmte Unternehmensformen nach dem Urteil des OLG Hamm, welches im Jahr 2003 gefallen ist, auch nicht-personenbezogene Unternehmensdaten schützen. Sie müssen eine tägliche Sicherung und eine wöchentliche Vollsicherung durchführen. Ansonsten handelt das jeweilige Unternehmen grob fahrlässig. Falls unternehmensrelevante Daten verloren gehen, kann die Geschäftsführung für den Schaden haftbar gemacht werden (vgl. ecc 2011a, S. 6).

Neben dem ordnungsmäßigen Umgang mit Daten unterliegt die Bearbeitung von Daten, die geistiges Eigentum vertreten (Copyright), strengen gesetzlichen Regelungen. Das unerlaubte Kopieren und Verbreiten von Software ist ohne die Erlaubnis des geistigen Eigentümers illegal und strafbar. Deshalb muss eine ITSicherheitsleitlinie auch solche Vorgaben enthalten, die sowohl für die Mitarbeiter als auch für Dritte, die auf irgendeiner Art die Gelegenheit bekommen, auf Computer zuzugreifen, das unberechtigte Kopieren verhindern. Ansonsten könnten sich die Verantwortlichen wegen einer unzureichenden Absicherung der Computer strafbar machen (vgl. Kersten und Klett 2008a, S. 127).

Zudem existiert eine Vielzahl von branchenspezifischen Regularien, aus denen sich Anforderung an die IT ergeben, wie z. B. Basel II und MaRisk für Banken und Versicherungsunternehmen (vgl. Müller 2011, S. V). Ein wichtiges Kriterium, das nach Basel II eingehalten werden muss, ist das operationelle Risiko. Darunter wird das Riko von Verlusten als Folge des Versagens oder der Unangemessenheit von IT- Systemen verstanden. Demnach müssen Unternehmen operationelle Risiken erfassen und bewerten sowie künftig ihre IT-Systeme überprüfen lassen. Die Banken müssen deshalb vor der Vergabe von Krediten die IT-Risiken des Kreditnehmers berücksichtigen (vgl. Köhler 2007, S. 338). Darüber hinaus ist es nach Basel II erforderlich, Kriterien wie die Redundanz kritischer IT-Systeme und die Existenz von Notfallplänen oder wirksame Maßnahmen zur Abwehr gegen interne und externe Angriffe auf die IT-Systeme einzuhalten (vgl. Grünendahl et al. 2012, S. 3).

[...]

Details

Seiten
80
Jahr
2016
ISBN (eBook)
9783668303997
ISBN (Buch)
9783668304000
Dateigröße
2.5 MB
Sprache
Deutsch
Katalognummer
v339309
Institution / Hochschule
Johann Wolfgang Goethe-Universität Frankfurt am Main – Deutsche Telekom Stiftungsprofessur für Betriebswirtschaftslehre, insb. Wirtschaftsinformatik, Mobile Business & Multilateral Security
Note
1,3
Schlagworte
KMU kleine und mittlere Unternehmen ISO 27001 ISO 27002 ISO 27003 ISO 27004 ISO 27005 ISO 2700x ISO 2700er Familie BSI-Standards 100-1 100-2 100-3 100-4 BSI-Grundschutz IT-Grundschutz-Kataloge IT-Grundschutzhandbuch IT-Grundschutz-Kompakt COBIT IT-Sicherheit

Autor

Zurück

Titel: Bewertung von Gesetzen, Standards und Regularien zur IT-Sicherheit bei kleinen und mittleren Unternehmen