HM[D]ATA
IT-Security

Daten sicher verarbeiten

IT-Sicherheit ist kein Wunschkonzert.
Der Unternehmer hat die gesetzliche Pflicht zum Betrieb einer IT nach "Stand der Technik". [1]

[1] u.a. nach Art. 28 Abs. 1 DSGVO, Art. 32. DSGVO, ErwGr 76 DSGVO, §2 Abs. 1 GeschGehG

Selbstschutz

Ihre Schätze kommen in den Safe, Ihre Daten in das IT-Security-Konzept.

"Daten sind das Rohöl des 21. Jahrhunderts. Es ist der Rohstoff, auf dem Sie sitzen. Schützen Sie diesen auch entsprechend."

Prävention

... klappt dann, wenn man nichts merkt und nichts passiert ist.

"Vorbeugen ist billger und beruhigender als Behebung."

Risikomanagement

Effektivität: Risiken unfassend analysieren und einschätzen, bewerten und sinvolle betriebswirtschaftliche Maßnahmen ergreifen. Alles andere sein lassen.

"Die Kunst der Prävention ist, die Risiken zu kennen - und das ist leider nicht trivial."

Meine IT-Systeme sind sicher

Diese Aussage treffen vermutlich 90% aller Unternehmer.

Bei 10% Prozent stimmt das. [2]

Woher kommt die Diskrepanz?

Wer ein Haus baut, hat einen Architekten. Wer eine IT benötigt, macht den Bauarbeiter zum Kontrolleur und Durchführenden der Endabnahme der Ausführung.
Aber: das reine Funktionieren der IT und das Bewältigen der geforderten Aufgabe hat keinerlei Korrelation zur IT-Sicherheit. Und darin liegt das Problem: IT-Sicherheit bedeutet Aufwand, den man umso weniger sieht, je besser er umgesetzt ist. Die Bereitschaft hierfür finanzielle Mittel einzusetzen ist eher als gering einzuschätzen.
Aber auch eine völlig ungeschützte IT macht keine Probleme: man bekommt ja nicht mal mit, dass man "gehackt" wurde.

Als Laie hat man keine Erfahrungswerte, keine Sinne, keine Parameter für IT-Sicherheit. Und der externe Profi übernimmt in der Regel keinerlei Haftung im Schadenfall. "Für die Sicherheit ist der Unternehmern selbst verantwortlich, das hätte er uns sagen müssen, wir haben darauf hingewiesen, aber dann hätte es mehr gekostet. Das wollte er aber nicht." lautet die regelmäßige Stellungnahme der IT-Administratoren.

Fakt ist aber auch: Jeder, wirklich jeder, der eine IT-Datenpanne hatte, hätte hinterher alles dafür getan, damit ihm vorher keine Panne passiert wäre.

Und alle anderen, die bisher verschont blieben, setzen auf das Prinzip Hoffnung anstatt aktive Prävention.

[2] Subjektive Schätzung aus der Praxis

"44% aller KMU-Unternehmer ohne eigene IT-Abteilung kapitulieren bei der Komplexität, 33% würden das Thema bearbeiten, wenn Sie einen Experten hätten, dem Sie vertrauen können. [3]"

Vogel Strauß

Insofern ist das Ignorieren von modernen und aktuellen Sicherheitslösungen weit verbreitet.
Als hinkender Vergleich mag das Autofahren ohne Sicherheitsgurt, Airbag und Knautschzone zitiert werden. Solange kein Unfall passiert, sind keine Vorteile erkennbar. Im Gegensatz zur IT-Sicherheit gibt es aber beim Autofahren Gesetze, Branchenstandards, Herstellerdruck, Aufklärung, Sicherheitsbewußtsein, eigene Erfahrung, Sinne und Kontrollmöglichkeiten.

Und um im Vergleich zu bleiben: warum aber werden in der Zubehörliste des neuen Kfz Sicherheits-Extras im Wert von mehreren tausend Euro angekreuzt, bei der IT-Sicherheit - da ohne direkt messbaren Vorteil - die Angebote eher gekürzt?

Die provokative Antwort lautet schlicht: weil auf Entscheiderebene meist die Expertise und das Bewußtsein fehlt.

Was aber auch nicht schlimm ist: keiner muss alles können und es lasten genug andere Entscheidungen auf den Schultern der Unternehmenslenker.

IT ist nur was für Nerds

Die Aussge ist genauso pauschal und falsch wie: Versicherungen sind nur was für Spießer. Die Zeiten, in denen man in Führungsebenen mit technischen Nichtwissen kokettiert hat, sind vorbei. Grundwissen im Betrieb der eigenen IT ist Schlüsselqualifikation - gerade im Zeitalter der Digitalsierung. Genauso wie betriebswirtschaftliche und rechtliche Kenntnisse, Personalführung und steuerliches Wissen.

Das Problem ist: es ist meist kaum Basiswissen vorhanden. Dann fällt der Einstieg in's Lernen schwer, gerade wenn man ein schulisches Alter überschritten hat und genug andere Dinge regeln muss.

Dabei müssen Sie gar nicht "verstehen", es genügt "mitreden können", die richtigen Fragen stellen und Antworten einschätzen zu können.

Vielleicht hilft Ihnen ein Grundlagen-Seminar von uns für einen einfachen Einstieg.

[3] lt. einer Umfrage unter 529 Versicherungsmaklern am 12. Januar 2021

"IT-Betrieb ohne geprüftes Sicherheitskonzept ist wie alleine mit einem Sack mit Gold durch einen dunklen Wald voller Räuber zu gehen."

IT-Security

Was wir für Sie tun können.

  • Ist- und Soll-Zustand

    Ganz im Sinne Ihrer Ressourcen und Anforderungen: Ermitteln des aktuellen IT-Security-Zustandes, Priorisierung und Lösungsansätze für ein adäquates IT-Sicherheitskonzept.

  • IT-Dokumentation

    Eine aktuelle IT-Dokumentation ist Ihr Nachweis zur Einhaltung der gesetzlichen Pflichten. Haben Sie diese nicht, kümmern wir uns darum.

  • Vermittlung

    Wir sprechen IT und wir können Betriebswirtschaft. So können wir zwischen Geschäftsführung und IT-Administration vermitteln, erklären den Bedarf und sorgen für die Umsetzung.

  • Angebotsprüfung

    Übermitteln Sie uns Ihre Angebote Ihrer IT-Dienstleister. Wir prüfen, ob diese budgetgerecht und umfassend sind. Gerne unterstützen wir auch bei Angebotsauswahl und Verhandlung.

  • IT-Sicherheitsbeauftragter

    Wenn Sie Ihre Reputation in Sachen IT-Security auch nach außen vermitteln wollen, übernehmen wir das Sprachrohr und die Koordination.

Do-It-Yourself: der IT-Sicherheits-Check-Up

Einen Überblick über Ihren IT-Sicherheits-Status erhalten Sie villeicht mit unseren Check-Up-Liste. Die müssen Sie nicht vollständig beantworten geschweige denn durcharbeiten.

Werfen Sie einfach mal einen Blick darauf, an welche Themen man alles denken könnte, damit Ihre IT auch sicher ist.

Und vielleicht sprechen Sie einfach auch mal mit Ihrem IT-Systemverantwortlichen. Falls Sie keine passenden Antworten bekommen, sprechen auch wir mal gerne mit ihm.

IT-Security Checkliste

Auswertung und Handlungsempfehlungen (kostenpflichtig) »