TISiM - Leuchttürme

IT-Sicherheit ist für jedes Unternehmen von Bedeutung. Ob im Handwerk, Ingenieurbüro oder der Arztpraxis - Sie alle benötigen im unterschiedlichen Maß IT. Die Leuchtturm und Praxisbeispiele aus dem TISiM-Netzwerk zeigen auf, wie Unternehmen aus unterschiedlichen Branchen Ihre IT-Sicherheit verbessern konnten und wo Sie Unterstützung bei der Umsetzung finden konnten.

Kleine Maßnahmen für mehr IT-Sicherheit

Einmal auf einen Link in einer gefälschten E-Mail geklickt, schon kann sich ein Trojaner im Firmennetz einnisten. Schnell kann dadurch das gesamte Firmennetzwerk lahmgelegt werden. Das ist zwei Firmen passiert, die Arndt Nikolaus Loh kennt. „Sie waren für zwei Wochen nicht arbeitsfähig“, erzählt der Geschäftsführer von Theodor Stephan KG Ton- und Kaolinbergbau.

Die Firma hatte selbst auch schon öfter kein Netz. Die Internet- und Telefonleitungen bis zu dem Standort des Unternehmens in einem Vorort von Burbach liegen überirdisch. Bei einem Unwetter – oder wenn ein Autofahrer gegen einen Masten kracht, sind die Telefone und das Internet tot.

„Das ist in den letzten zwei Jahren allein fünf Mal passiert“, erinnert sich Loh. Drei bis fünf Tage hat es dann jeweils gedauert, bis die zwölf Mitarbeiter des Unternehmens dann wieder Netz hatten. Auch per Handy ging nichts, denn die Firma liegt in einem Funkloch. „Wir sind dann teilweise mit Handy und Laptop auf den Parkplatz des nächsten Supermarkts gefahren und haben dort alles erledigt“, erklärt Loh.

Deshalb hat er sich beim Mittelstand 4.0-Kompetenzzentrum Siegen gemeldet, weil er die IT-Sicherheit in seinem Unternehmen überprüfen lassen wollte. „Wir leben ja davon, dass wir jeden Tag unsere Arbeit machen können. Ohne Internet und Telefon wird das schwierig“, sagt er. Er wollte etwa wissen, wie die Daten des Unternehmens am besten vor einem Hacker-Angriff geschützt werden können. Der Ton, der in Burbach abgebaut wird, wird zum Beispiel für die Produktion von Dachziegeln, Fliesen oder Badezimmerwaschbecken genutzt. Die Kunden erwarten bestellungsgemäße Lieferung und das erfordert eine uneingeschränkte Erreichbarkeit, weiß Loh.

Beim Mittelstand 4.0-Kompetenzzentrum Siegen ist Nico Vitt für IT-Sicherheit zuständig. Das Kompetenzzentrum gibt es seit Oktober 2017 an der Universität Siegen. Die Mitarbeiter unterstützen kleine und mittlere Unternehmen in Südwestfalen und darüber hinaus bei Fragen und Problemen zur Digitalisierung. Dabei stehen immer die Mitarbeiter der Firmen im Mittelpunkt.

Bei der Theodor Stephan KG hat Nico Vitt eine IT-Sicherheitsanalyse durchgeführt. „Ich habe mir genau angesehen, wie hier gearbeitet wird und wie die IT-Infrastruktur aussieht“, erklärt er. Er hat sich auch zeigen lassen, wo der Server des Unternehmens steht. „Wenn der Standort zum Beispiel in einem Keller ist, der bei einem Rohrbruch volllaufen könnte, sollte man sich einen neuen Platz suchen“, erklärt er.

Bei jedem Punkt auf der IT-Sicherheitsanalyse hat er individuell mit dem Unternehmen besprochen, wie groß der Schaden wäre, wenn das nicht mehr funktionieren würde. „Die Punkte, die besonders schlimm wären, wenn sie ausfallen, sollte man zuerst angehen“, rät er. Er hat dem Unternehmen konkrete Empfehlungen nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik gegeben. Dazu gehört es zum Beispiel, die IT-Infrastruktur, Gebäude und Anwendungen zu überprüfen.

Dabei hat er festgestellt, dass der Serverraum der Firma durch Wasser geflutet werden könnte und dann die Daten nicht mehr nutzbar wären. Deshalb hat Vitt empfohlen, den Server besser zu schützen. Außerdem hat er dazu geraten, aktuellere Software einzusetzen.

Arndt Nikolaus Loh hat in seinem Tonbergbau-Unternehmen jetzt mehrere der vorgeschlagenen Maßnahmen umgesetzt. Er hat etwa als erstes die Sicherheit des Servers verbessert. „Der ist jetzt vor Staub, Wasser und Feuer geschützt“, berichtet Loh. Außerdem hat die Firma ein neues Konzept für eine externe Datensicherung eingerichtet. Der Server wird jetzt jeden Tag ausgelesen, die externen Festplatten bleiben nicht im Firmengebäude. Die Theodor Stephan KG ist so in der Lage, täglich ein Backup einzuspielen und so eventuell verlorene Daten wiederherzustellen.

Durch die Analyse des Kompetenzzentrums hat Loh gelernt, dass auch mit kleinen Maßnahmen für wenig Geld schon die IT-Sicherheit erhöht werden kann. „Man muss nicht immer sofort 200.000 Euro in die Hand nehmen und alles umsetzen, was möglich ist, um die IT-Sicherheit zu verbessern“, betont auch Nico Vitt vom Kompetenzzentrum. Und Arndt Nikolaus Loh ist froh, dass sein Unternehmen jetzt besser vor Angriffen aller Art geschützt ist. „Selbst wenn uns jetzt nachts die Firma abbrennen würde, die Daten wären noch da. Das beruhigt uns sehr“, erklärt er.

Weitere Informationen zu diesem Praxisbeispiel finden Sie hier.

Analyse des vorhandenen IT-Sicherheitsniveau

„Das fühlt sich jetzt richtig gut an und wir können noch sicherer gegenüber unseren Kunden und Lieferanten auftreten.“ – Thomas Reimann, Geschäftsführer Ingenieurbüro Reimann

 

Ausgangssituation

Das Ingenieurbüro Reimann ist ein modernes Elektronikunternehmen und bietet Leistungen für die Soft- und Hardwareentwicklung an. Fragen der IT-Sicherheit spielen dabei eine große Rolle. Dienstleistungen wie Service, Wartung und Monitoring werden zunehmend durch Fernzugriff auf die Systeme der Kunden erbracht. Die Kunden wie z. B. die Unternehmen der Automobilindustrie arbeiten mit einem sehr hohen IT-Sicherheitsstandard und fordern von ihren Lieferanten bzw. Kunden eine solide Basisabsicherung ein. Auf Grund dieser Situation wollte bzw. musste das Ingenieurbüro den Nachweis erbringen, dass das Unternehmen selbst ebenfalls ein hohes IT-Sicherheitsniveau aufweist.

Vorgehen

Das wesentliche Ziel des Projektes bestand in der Gewährleistung eines dauerhaft, ausreichenden IT-Sicherheitsniveaus im Unternehmen. In einem ersten Schritt erfolgte die Erhebung des Ist-Standes mit Hilfe des Sicherheitstools Mittelstand (SiToM.de), des Fragenkataloges zum IT-Grundschutz des BSI, eines Schwachstellen-Scanners für die Netzwerk-Komponenten und der IoT-Suchmaschine Shodan (Shodan.io). Die Ergebnisse dieser ausgeführten Arbeiten wurden gemeinsam mit einem IT-Dienstleister ausgewertet und die ermittelten Schwachstellen nach Dringlichkeit einer notwendigen Behebung (kritisch, hoch, mittel, niedrig) gewichtet. In einem nächsten Arbeitsschritt wurden technische und organisatorische Maßnahmen für die weitere Erhöhung der IT-Sicherheit im Unternehmen definiert und die kurz- und mittelfristige Realisierung geplant. Abschließend wurde ein Maßnahmenkatalog zur ständigen Kontrolle der IT-Sicherheit in Anlehnung an den PDCA-Zyklus (Plan-Do-Check-Act) erstellt, um ein hinreichendes IT-Sicherheitsniveau dauerhaft aufrechtzuerhalten.

Ergebnis

Mit den durchgeführten Analysen bzw. Untersuchungen wurde der Ist-Stand der IT-Sicherheit festgestellt. Die Aufnahme zeigte dabei ein bereits gutes Niveau der IT-Sicherheit und auch des Datenschutzes. Zur weiteren Steigerung wurden mögliche Maßnahmen vorgeschlagen und besprochen. Zu den kurz- bzw. mittelfristig umzusetzenden Maßnahmen gehören die Anpassung der derzeitigen Datensicherung an aktuelle Gegebenheiten und die Installation einer zusätzlichen Firewall, die insbesondere die Gefährdungen im Zusammenhang mit dem eigenen Internetanschluss minimieren soll.

Weitere Informationen zu diesem Praxisbeispiel finden Sie hier.

IT-Sicherheit durch Datensicherung und Notfallanweisung

Patientendaten gehören zu den sensibelsten Daten überhaupt und bedürfen daher eines besonderen Schutzes. Nicht nur vor dem Zugriff unbefugter Dritter, sondern auch vor Verlust zum Beispiel durch einen Brand oder einen Rechner-Ausfall. Doch in der Regel gehören IT-Expert:innen nicht zu den Mitarbeitenden der Arztpraxen. Spätestens seit Einführung der elektronischen Patientenakte (ePA) stellt das viele Unternehmen im medizinischen Bereich vor große Herausforderungen, denn die Ansprüche an die IT-Sicherheit sind massiv gestiegen. Allein die Richtlinien zum Grundschutz, die vom Bundesamt für Sicherheit und Informationstechnologie (BSI) herausgegeben wurden, umfassen mehrere hundert Seiten. Für eine:n IT-Expert:in eine Sache von mehreren Wochen Arbeit. Für medizinisches Personal, das sich in der Regel während der alltäglichen Arbeit weniger mit dem Computer beschäftigt, eine große Herausforderung.

IT-Sicherheit ist unsexy

„Die IT-Sicherheit ist kein Thema, das Spaß macht. Alle wissen, dass es notwendig ist, genauso wie Hygiene oder Brandschutz, doch sie trägt nicht unmittelbar zum Unternehmenserfolg bei“, erklärt M4KK-Experte Lars Vosteen, „darum wird es gern stiefmütterlich behandelt.“ Dennoch herrscht in den meisten Arztpraxen eine hohe Sensibilität, wenn es um die Daten der Patient*innen geht. „Wenn Gesundheitsdaten in der Welt sind, dann bekommt man sie auch nicht wieder weg“, erklärt Vosteen, „das kann sogar Folgen für die Kinder und Enkel haben, z.B. bei Erbkrankheiten.“ Und das wissen auch die Ärzt*innen und Mitarbeitende.

Um die Mitarbeitenden der Arztpraxis Vosteen zu sensibilisieren, hatte Vosteen vor etwa 10 Jahren einen Ernstfall simuliert. „Ich habe einen USB-Stick herumliegen lassen und als dieser an einen Rechner angeschlossen wurde, hat ein Programm einen Totenkopf gemalt. Das war ein bisschen gemein, aber es wirkt bis heute nach“, erklärt er. Die Sensibilisierung der Mitarbeitenden für den Datenschutz sollte daher immer wieder aktiv initiiert werden. Dazu reichen bereits regelmäßige Schulungen.

Die elektronische Patientenakte (ePA)

Ein Problem bei der neuen elektronischen Patientenakte sieht Vosteen in der Internetverbindung, die für die Übertragung der Daten genutzt werden muss. Das birgt grundsätzlich immer höhere Risiken vor Angriffen, als autarke Systeme. Die Daten für die ePA werden über sogenannte Konnektoren verschlüsselt, die von der Gematik GmbH betrieben werden. Seit 2020 wird die als überhastet wahrgenommene Einführung der elektronischen Patientenakte von vielen Verbänden kritisiert. „Das Sicherheitskonzept der ePA ist gut, doch am Ende muss die IT-Sicherheit in den Arztpraxen erhöht werden. Das ist wie gesagt nicht einfach, wenn das Personal nicht computeraffin ist. Zudem halten Verschlüsselungen immer nur über einen bestimmten Zeitraum. In wenigen Jahrzenten werden Verschlüsselungsprotokolle unsicher sein. Alle Daten die heute verschlüsselt über das Internet übertragen werden, werden dann einsehbar sein“, erläutert Vosteen.

Datensicherheit erhöhen

Zumindest beim Thema Datenverlust kann aber mit kleinen Mitteln viel getan werden. Szenarien, in denen Daten geklaut oder verloren gehen, sind nicht unrealistisch. Schon ein einfacher Serverausfall kann eine Praxis über Tage lahmlegen. Aber auch Angriffe von außen können schnell teuer werden. Daher hat das M4KK drei Szenarien betrachtet und Vorschläge für die Absicherung der Daten erarbeitet.

Serverausfall

In der Praxis Vosteen sind alle Rechner über ein internes Netzwerk mit einem Hauptrechner verbunden, der mittels Dateifreigabe als Server agiert. Um im Falle eines Ausfalls dieses Rechners möglichst schnell wieder arbeitsfähig zu sein, wurde ein zweiter Rechner eingerichtet, der jeden Abend eine Kopie aller Daten erhält. Somit können innerhalb von etwa 15 Minuten alle Dienste wiederhergestellt und ein wirtschaftlicher Schaden für die Praxis abgewendet werden, sollte der Hauptrechner ausfallen. Zudem kann damit ein totaler Datenverlust vermieden werden.

Datensicherung

Um alle Daten auch vor dem Verlust, zum Beispiel einen Brand, zu schützen, wurden zudem fünf externe Festplatten eingeführt, auf denen täglich eine Sicherung der Daten ausgeführt wird. Die Platten sind verschlüsselt, so dass Unbefugte bei Verlust der Festplatte diese nicht auslesen können. Nach Feierabend werden sie an einen Ort außerhalb der Praxisräume transportiert und gelagert. Auch eine Sicherung in einer Cloud wäre möglich, die Arztpraxis hat sich jedoch für die Hardware-Variante entschieden.

Die handelsüblichen Festplatten werden morgens an den Hauptrechner angeschlossen. Während des Tages wird der Datenbestand automatisch aktualisiert. Am Abend wird sie dann an ihren Verwahrungsort gebracht. Für sogenannte Backups sollten immer mehrere Festplatten genutzt werden, um auch hier das Risiko von Datenverlusten zu minimieren. Geht eine Platte kaputt, dann hat man im Ernstfall immer noch den Datenstand des Vortages. Daher gibt es in der Arztpraxis für jeden Werktag eine eigene Platte.

Ebenfalls ein Problem sind Schadprogramme, die durch das Internet oder den unsachgemäßen Gebrauch von externen Speichermedien in das interne Netzwerk gelangen. Vor allem die sogenannten Krypto-Trojaner sind ein Problem. Bei diesem Angriff werden alle Geschäftsdaten verschlüsselt, um dann vom Daten-Inhabern Geld zu erpressen. Aus diesem Grund sollten auch Backups vorliegen, die ein bis zwei Monate zurückreichen. Denn bevor Krypto-Trojaner aktiv werden, können sie sich schon mehrere Tage zuvor eingenistet haben und so auch die Backups befallen. Daher können ältere Datenstände hier Gold wert sein. Auf den Datenträgern werden mehrere wöchentliche und monatliche Stände aufbewahrt.

Notfallkarte

Die größte Schwäche jedes Sicherheitssystem ist und bleibt der Mensch. Gerade bei Mitarbeitenden, die wenig Erfahrung mit IT haben, gilt es klare Handlungsanweisungen zu geben, damit im Fall des Falles richtig reagiert wird. Für diesen Zweck hat das M4KK eine Notfall-Karte erstellt, die ähnlich wie eine Brandschutz-Anweisung funktioniert. Wichtig ist vor allem, den Rechner vom Netz zu nehmen, um den unbefugten Datentransfer zu verhindern.

Weitere Informationen zu diesem Praxisbeispiel finden Sie hier.

Managementsystem für Informationssicherheit einführen

»IT-Sicherheit ist für uns ein wichtiges Thema, dem wir uns aber nie strukturiert genähert haben. Das initiierte ISMS stellt uns für die Zukunft gut auf und gliedert sich in andere Managementsysteme ein.« Philipp Pfeiffer, IT-Administrator Elektronik Plättner GmbH

Ausgangssituation

Die Plättner Elektronik GmbH ist in den letzten Jahren stark gewachsen. Um die unternehmerischen Prozesse dauerhaft effektiv zu gestalten, wurden deshalb in mehreren Bereichen Managementsysteme implementiert. Durch das Wachstum musste ebenfalls die IT-Infrastruktur erweitert werden. Diese war zwar gut dokumentiert, aber dazugehörige Regelungen und Anweisungen genügten nicht den Anforderungen. Insbesondere mit Sicht auf die Gewährleistung eines guten IT-Sicherheitsniveaus entschloss sich das Unternehmen, ein Managementsystem für Informationssicherheit (ISMS) als Teil eines integrierten Systems einzuführen.

Vorgehen

Da im Unternehmen bereits Managementsysteme für die Bereiche Qualität, Energie und Umwelt vorhanden waren, musste von den möglichen Systemen für die Informationssicherheit (z. B. nach IT-Grundschutz, ISO 27001, ISIS12) das optimal passende als Grundlage ausgewählt werden. Ausgehend von dieser Aufgabenstellung wurde zunächst das IT-Sicherheitsniveau (u. a. mithilfe des Sicherheitstools Mittelstand SiToM) und dann die vorhandene Dokumentation analysiert. Weiterhin wurden mögliche Lösungen mit Sicht auf eine optimale Implementierung in ein integriertes Managementsystem verglichen. Plättner Elektronik entschied, ein ISMS nach der ISO 27001 aufzubauen. Dafür legte das Unternehmen Schutzziele fest, führte eine Risikobewertung durch und bearbeitete das Notfallhandbuch. Zudem bestimmte es Verantwortlichkeiten, erarbeitete Richtlinien und schulte Mitarbeiter.

Ergebnis

Nach der Bewertung des IT-Sicherheitsniveaus und der Sichtung der bestehenden Managementsysteme bzgl. ihrer Sicherheit wurde eine Übersicht aller notwendigen Inhalte für den Aufbau eines ISMS erarbeitet und in einem Konzept für die Struktur innerhalb eines integrierten Managementsystems dargestellt. Darüber hinaus wurden Inhalte für Regelwerke und Richtlinien für das Notfallmanagement erarbeitet sowie Möglichkeiten zur Digitalisierung der Dokumentation des IMS vorgestellt.

Weitere Informationen zu diesem Praxisbeispiel finden Sie hier.