100-prozentige Informationssicherheit wird wahrscheinlich nie möglich sein. Es gibt einfach zu viele Unwägbarkeiten, außerdem entwickeln Cyberkriminelle ihre Methoden ständig weiter. Unternehmen sollten stattdessen versuchen, so widerstandsfähig wie möglich zu sein, damit ein Angriff oder Zwischenfall möglichst geringe Folgen für die Organisation und die laufenden Geschäftsprozesse hätte.

Daten nach Bedeutung kategorisieren

Um ihre Informationen optimal zu schützen, sollten sich Händler unbedingt Klarheit darüber verschaffen, welche ihrer Daten überhaupt geschäftskritisch sind und bestmöglichen Schutz benötigen. Auf Grundlage dieser Kategorisierung lassen sich dann zum Beispiel Zugriffsberechtigungen vergeben oder festgelegen, auf welche Daten Mitarbeiter auch von mobilen Geräten zugreifen können.

Wissen, wo sich die Informationen befinden

Unternehmen benötigen Klarheit, wo und wie ihre Informationen gespeichert sind und wie sie dort geschützt sind. Das Auslagern von Daten in die Cloud hat gerade für kleinere Unternehmen große Vorteile, ist häufig aber auch mit schwer kalkulierbaren Risiken verbunden. Sie müssen deshalb unbedingt klären, wo ihre Informationen hingehen und wie sie durch den jeweiligen Anbieter geschützt sind und dass Mitarbeiter nicht eigenständig Cloud Services wie zum Beispiel Dropbox verwenden.

Kunden, Lieferanten und Service Provider berücksichtigen

Beim Thema Sicherheit müssen Unternehmen auch ihre Verflechtungen mit Kunden, Lieferanten oder Service Providern berücksichtigen. Die besten internen Sicherheitsvorkehrungen helfen wenig, wenn Partner in der Lieferkette fahrlässig mit sensiblen Daten umgehen. Es muss deshalb sorgfältig geprüft werden, welche Daten für den reibungslosen Geschäftsablauf überhaupt mit Externen geteilt werden müssen und wie das am sichersten möglich ist.

Datenschutz bei Big Data im Blick behalten

Big Data bieten gerade dem Handel eine Vielzahl an Möglichkeiten. Beispielsweise lassen sich Kundendaten so detailliert auswerten, um Waren und Angebote optimal an die Bedürfnisse der Kunden anzupassen. Gerade kleinere Unternehmen, die nicht über die Infrastruktur für eigene Analytics verfügen, greifen gerne auf spezielle Anbieter zurück. Dabei ist jedoch Vorsicht geboten: Geraten Kundendaten in falsche Hände, drohen neben Imageschäden auch empfindliche Strafen.

Informationssicherheit wie andere Geschäftsrisiken behandeln

Aufgrund der existenziellen Bedeutung sollten Unternehmen IT- und Informationssicherheit genauso wie andere Geschäftsrisiken behandeln und deshalb als festen Bestandteil in ihr Risikomanagement aufnehmen. Dazu gehören:

Regelmäßig die Sicherheitsmaßnahmen prüfen

Der Cyberspace und die damit verbundenen Gefahren und Risiken für geschäftskritische Informationen entwickeln sich ständig weiter. Deshalb müssen die Sicherheitsstrategie und die darin vorgesehen Maßnahmen regelmäßig auf den Prüfstand gestellt und bei veränderter Lage überarbeitet werden.

Informationssicherheit zur Chefsache machen

IT- und Informationssicherheit sind schon lange keine rein technische Angelegenheit mehr. Das Thema sollte deshalb im Unternehmen auf höchster Ebene aufgehängt sein. Dabei geht es nicht darum, dass sich der Geschäftsführer mit technischen Fragestellungen im Detail beschäftigt, sondern sicherstellt, dass das Unternehmen organisatorisch in Sachen Sicherheit bestmöglich aufgestellt ist.

Mitarbeiter einbinden

Informationssicherheit ist heute ein „People Business“ und erfordert permanente Aufmerksamkeit des gesamten Unternehmens. Eine entscheidende Rolle spielen die Mitarbeiter. Unternehmen benötigen deshalb verbindliche Regeln und Handlungsempfehlungen für den Umgang und den Zugang zu den Geschäftsinformationen. Damit das Thema abseits aktueller Vorfälle nicht in Vergessenheit gerät, müssen die Mitarbeiter immer wieder auf die Bedeutung des Themas aufmerksam machen.

Zusammenarbeit mit anderen Unternehmen erwägen

Die meisten Unternehmen stehen beim Thema Sicherheit vor sehr ähnlichen Herausforderungen. Häufig ist Sicherheit skalierbar, deshalb ist die Zusammenarbeit mit anderen Unternehmen zum Beispiel für den Austausch von etwa Best Practices. hilfreich. Das ist zum Beispiel in Branchenverbänden oder Organisationen möglich. Im ISF sind zum Beispiel weltweit Unternehmen jeder Größe aus den unterschiedlichsten Branchen organisiert und tauschen sich rund um Informationssicherheit aus. Von den dort entwickelten Tools wie IRAM, einer Methode zur Analyse von Informationsrisiken, können aber auch kleine und mittelständische Unternehmen profitieren.

Steve Durbin, Information Security Forum (ISF)