IT/TK SICHERHEIT: EINER ALLEIN KANN ES NICHT RICHTEN

0

Wer würde ohne Guide in den Dschungel gehen oder versuchen, einen Berg zu besteigen, ohne jede Erfahrung? Warum tun Menschen in der digitalen Welt, was sie im echten Leben nicht tun würden? Wer ohne Vertraute und ohne Sicherung unterwegs ist, kann nur scheitern, egal ob echtes oder virtuelles Leben! Das betrifft in der Druckindustrie große wie kleine Unternehmen. Werfen wir einen Blick auf die Situation und geben Ihnen einen Rahmen für den Lösungsansatz zu mehr Sicherheit.

Die Verlagsgruppe Madsack war mit den Folgen eines Hackerangriffs konfrontiert, einige Regionalzeitungen des Verlags mussten in Notversionen erscheinen. „Solche Angriffe hätten auch deshalb Erfolg, weil Verlage nach wie vor zu wenig Wert auf IT-Sicherheit legten“, sagte Constanze Kurz vom Chaos Computer Club im Deutschlandfunk-Beitrag vom 26. April 2021. Von Dezember 2020 stammt die Meldung vom Handelsblatt, in der berichtet wird, dass kein Telefon, kein PC mehr läuft und die Funke-Mediengruppe mit einem Hackerangriff kämpft.

Wer nun glaubt, es würden nur große Medienhäuser angegriffen, irrt und sollte sich die vom Bundesministerium geförderte Studie des Kriminologischen Forschungsinstituts Niedersachsen mit dem Titel „Cyberangriffe gegen Unternehmen in Deutschland“ von 2020 (Betrachtungszeitraum 2018/2019) näher ansehen. 41,1 Prozent der befragten Unternehmen haben binnen zwölf Monaten mindestens einen Cyberangriff erlebt, auf den reagiert werden musste. Große Unternehmen (> 500 Beschäftigte) sind mit 58,2 Prozent signifikant häufiger betroffen als mittlere und kleine Unternehmen. Wobei die kleinen Unternehmen mit 10 bis 49 Beschäftigten immer noch eine Häufigkeit der Vorkommnisse von 39,4 Prozent aufweisen. Lediglich 8 Prozent der Geschäftsleitungen und 11,3 Prozent der Belegschaften gehen davon aus, dass IT-Risiken im Unternehmen unbekannt seien.

Wenn sich jedoch rund 90 Prozent der Befragten über eine Bedrohung im Klaren sind, muss man nachforschen, warum dennoch so viele Cyber-Opfer zu beklagen sind. Routine und fehlender akuter „Schmerz“ können die Ursache sein, warum Cyber-Kriminelle erfolgreich werden. Über 50 Prozent der KMUs haben keine eigene IT-Abteilung, geschweige einen CIO auf Geschäftsführungsebene. Hier kommen die externen Dienstleister zum Zug. Bei der Auswahl muss auf einiges geachtet werden. Es kommt vor, dass zwar ein Monitoring angeboten wird, wie darauf zu reagieren ist, bleibt jedoch unvereinbart.

Wie im gesamten Durchschnitt der Unternehmen in Deutschland, überlassen die meisten KMUs der Druckindustrie es externen Experten, die Informationstechnik im Betrieb bereitzustellen und zu warten. Vor allem für kleinere Firmen, die teils nicht über eigene IT-Fachkräfte und IT-Sicherheitsexpertise verfügen, ist es wichtig, mit vertrauenswürdigen Dienstleistern zusammenzuarbeiten und die Abläufe und Verantwortlichkeiten klar zu regeln. Grundsätzlich ist die Leistung eines IT-Dienstleisters in meinen Augen keine gewöhnliche Beziehung zu einem Lieferanten. Hier geht es um gegenseitiges Vertrauen in einem höchst sensiblen Bereich.

„Längerfristig erwarte ich von einem IT/TK-Vertrauten immer ein Coaching und den Aufbau von IT-Kompetenz im Unternehmen des Auftraggebers.“ – Max Spies

Wie breit die Druckereien im IT-Bereich aufgestellt sein können, zeigt sich, wenn man das IT-Ökosystem aufzeichnet: die Verwaltung mit dem ERP-System und den Office Anwendungen (häufig im Mix Windows und Mac OS X), die Produktion, von den Client Installationen der Mediengestalter, über die Abteilungen CtP, Druck, Weiterverarbeitung und Versand bis zur Betriebsdatenerfassung, dann die allgemeinen Bereiche, wie die virtualisierte Telefonanlage, LAN, WLAN, VPN, Backup und schließlich noch das Engagement im World Wide Web mit einer Homepage und den Web-Shops.

Bei der Auswahl eines IT-Anbieters gibt es vier wesentliche Kriterien zu beachten, welche die Organisation, die Prävention, die Reaktion und die Mitarbeiter des Dienstleisters betreffen. Die relevanten Merkmale zur Differenzierung, Bewertung und Entscheidung für die Auswahl sind zwar im Detail individuell, aber im Wesentlichen gleich.

Beginnen wir mit der Organisation. Es ist eine Schutzbedarfsanalyse für die Systeme des auftraggebenden Unternehmens durchzuführen, sowie daraus gemeinsam ein Sicherheitskonzept abzuleiten. Die Auswahl der technischen Sicherungsverfahren und die Organisation der IT-Sicherheit werden in Abstimmung mit dem auftraggebenden Unternehmen auf der Basis der Best Practices der ISO 27002 (oder vergleichbar) abgestimmt.

„Vorsicht ist besser als Nachsicht“ lautet eine Redewendung und daher ist den präventiven Maßnahmen eine besondere Bedeutung beizumessen. Zuerst geht es um die Gewährleistung einer definierten Mindestverfügbarkeit pro Monat für alle für das auftraggebende Unternehmen relevanten Systeme. Ein sogenanntes Service Level Agreement (SLA) muss geregelt sein. Das Angebot des IT-Dienstleisters sollte für alle relevanten Systeme Backups nach dem Stand der Technik durchführen und auf Anforderung des Auftraggebers oder selbständig testweise absichern. Am meisten hapert es bei der Dokumentation. Es hat seine Berechtigung klar zu markieren, wo der Feuerlöscher hängt. Es ist inakzeptabel, dass eine Inventarisierung aller für den Auftraggeber relevanten IT-Anwendungen und Systeme undokumentiert bleibt. Zudem muss es einen dokumentierten Prozess geben, um Änderungen an Systemen zu erfassen, um die Sicherheitsauswirkungen bewerten zu können, bevor die Änderungen durchgeführt werden.

Bleiben wir im Bild eines Brandherdes. Die planerische Durchschnittszeit für die Gesprächs- und Dispositionszeit liegt bei etwa einer Minute im Rettungsdienst und 1,5 Minuten beim Brandschutz (Sollwert nach Arbeitsgemeinschaft der Leiter der Berufsfeuerwehren). Moderne IT-Sicherungssysteme melden einen Angriff oder Ausfall, und das sogar vorausschauend, sofort. Es geht nicht, dass sich im Notfall ein Mitarbeiter nach garantiert sechs Stunden am Werktag meldet! Die Sicherheitswarnungen/-meldungen zu allen mit dem Auftraggeber vereinbarten Betriebssystemen, IT-Systemen und Software-Anwendungen müssen beobachtet werden (Monitoring). Sicherheitsvorfälle und -warnungen mit hoher Kritikalität müssen sofort an den Auftraggeber kommuniziert werden und es muss unverzüglich (entsprechend der vereinbarten SLAs), in Abstimmung mit dem Auftraggeber, ein sicherer Zustand wiederhergestellt werden. Stellen Sie mit dem Dienstleister einen IT-Notfallplan auf.

Ein Punkt, der häufig zu wenig beachtet bleibt, sind die Mitarbeiter des Dienstleisters. Die Mitarbeiter des Dienstleisters müssen nachweislich angemessen zu Sicherheitsthemen qualifiziert sein. Auch bei Sicherheitsvorfällen ist eine ausreichende personelle Ausstattung mit nachgewiesener Kompetenz (beispielsweise Herstellerzertifikat) für alle für das auftraggebende Unternehmen relevanten Systeme notwendig. Auf Ausscheiden eines Mitarbeiters des Dienstleisters muss das Benutzerkonto deaktiviert, Passwörter geändert und alle Unterlagen, die den Auftraggeber betreffen, eingezogen werden. Personenbezogene Daten von Mitarbeitern des auftraggebenden Unternehmens sollten in die Schadenspotenzanalyse im Rahmen des Datenschutzmanagements des Dienstleisters mit einbezogen werden.

Referenzen aus der Druckindustrie oder vergleichbarer KMUs sollte ein Anbieter vorweisen können. Dazu darf man die heute üblichen Standards von Cloud oder Virtualisierung sowie den Betriebssystemen Windows, Linux oder Mac OS X erwarten. Gibt es kniffligere On-Premise Installationen, welche unter Umständen spezielle Installationen hardwareseitig voraussetzen, dann muss die Abstimmung zwischen Software-Lieferant, Hardware mit Betriebssystem und Anwender erfolgen.

Wer einen neuen externen IT-/TK-Vertrauten sucht, sollte sich Zeit dafür nehmen. Die „One Man Show“ wird den Anforderungen der Druckereien Stand heute in den wenigsten Fällen noch gerecht. Als mittelständische Druckerei sucht man sich am besten, mit einem Radius von rund 50 bis 100 km, einen auf die eigene Unternehmensgröße ausgerichteten Dienstleister. Diese sollten zwischen 9 und 20 Mitarbeitern in den Bereichen IT, TK, Service und Technik vor Ort und remote haben. Starten Sie mit einer Marktbeobachtung, stellen Sie Anfragen und führen erste Gespräche. Meiner Erfahrung nach ist die vielbeschworene „Chemie“ unter Menschen hier besonders wichtig. Ohne eine Analyse vor Ort zusammen mit einem Fachmann ist kein seriöses Angebot machbar. Danach lassen sich die Anbieter durchaus vergleichen.

Gilt es Hardwarekomponenten zu erneuern, dann ist ein Umsetzungsplan notwendig. Es erfolgt eine Begleitung der Umsetzung mit Schulungen. Die Zusammenarbeit mit einem IT-Dienstleister ist langfristig ausgerichtet. Vor dem Wechsel zu einem neuen Anbieter ist der bisherige Betreuer in das neue Konzept einzubeziehen. Er ist verpflichtet, Passwörter und Zugänge bekannt zu geben.

Zuletzt, weil IT und Sicherheit eben für den Zustand des Unternehmens maßgeblich sind, gehört das Thema auf Entscheidungshöhe der Geschäftsleitung. Die Zahlen des Bundesverbandes Druck verdeutlichen, dass 2021 Ausgaben geplant sind. 27 Prozent der befragten Unternehmen rechnen mit 0,5 bis 5 Prozent steigenden Investitionen in IT und TK. 17 Prozent nehmen eine Steigerung von mehr als 5 Prozent gegenüber dem Vorjahr an. Damit hinkt die Druckindustrie, zumindest laut der BVDM-Branchenbefragung, deutschen Behörden und Unternehmen hinterher. Für das kommende Jahr rechnen, laut IT-Trends-Studie von Capgemini, 73 Prozent der Befragten mit steigenden IT-Budgets. Das ist der höchste Wert seit Beginn der Erhebung im Jahr 2003. Knapp ein Drittel der Studienteilnehmer wird seine IT-Investitionen 2022 sogar um mehr als 10 Prozent erhöhen, im Vergleich zu nur einem Fünftel der Befragten im Vorjahr.

My Take: Der Bereich IT und Sicherheit darf weder dem Zufall, noch dem Gutdünken eines Mitarbeiters im Unternehmen überlassen bleiben. Bei genauerer Betrachtung und Nachfrage bei den Dienstleistern teilen sie die Investitionen in Ausgaben für neue Systeme, aber auch für die Absicherung. Das ist gut. Und auch wenn es manche nicht hören mögen, wenn die Kollegen aus dem Support sagen, „Spielen Sie bitte regelmäßig die Updates ein“, dann haben sie Recht.

In der Praxis finden sich immer wieder einfachste Passwörter, die schon mal am Monitor kleben. Aber unabdingbar ist bei aller Sensibilisierung, dass zusammen mit einem IT-/TK-Vertrauten auch im Unternehmen Kompetenzen in dem Bereich aufgebaut werden. Erstellen Sie einen IT-Notfallplan. Nicht nur Versicherungen werden in Zukunft danach fragen. Bleiben Sie stabil!

Summary
IT/TK SICHERHEIT: EINER ALLEIN KANN ES NICHT RICHTEN
Article Name
IT/TK SICHERHEIT: EINER ALLEIN KANN ES NICHT RICHTEN
Description
Wer würde ohne Guide in den Dschungel gehen oder versuchen einen Berg zu besteigen ohne jede Erfahrung? Warum tun Menschen in der digitalen Welt, was sie im echten Leben nicht tun würden? Wer ohne Vertraute und ohne Sicherung unterwegs ist, kann nur scheitern, egal ob echtes oder virtuelles Leben! Das betrifft in der Druckindustrie große wie kleine Unternehmen. Werfen wir einen Blick auf die Situation und geben Ihnen einen Rahmen für den Lösungsansatz zu mehr Sicherheit.
Author
Publisher Name
beyond-print.de

Max Spies, ein echter Schweizer Degen, ist Drucktechniker und Betriebswirt. Als ERP-Spezialist der zipcon consulting GmbH recherchiert er entlang der gesamten Wertschöpfungskette und steigt in die Tiefen der Unternehmensbereiche ein. Menschen, Prozesse und Werkzeuge sind ihm bei seinen Betrachtungen in gleichem Maße wichtig. Mit Neugier, Rückgrat und einer Portion Allgäuer Streitlust erarbeitet er sich die Informationen. Seine verständlichen Expertisen sind die Grundlage für ergebnisorientierte Konzepte in den Kundenprojekten. Max Spies ist seit 35 Jahren in der Druckindustrie, war als Journalist bei „Deutscher Drucker“ tätig und schreibt Gastbeiträge für die Fachmagazine „Druckmarkt“ sowie „Grafische Revue Österreich“. Vor seiner Zeit bei zipcon war er für einen ERP-Software Anbieter in Deutschland, Österreich und der Schweiz tätig und ist als aktiver Netzwerker in diesem Wirtschaftsraum bestens orientiert. (Profile auch bei Xing, LinkedIn)

Leave A Comment