IT-Sicherheit: Unterschied zwischen den Versionen

Aus neuedonau.net
Zur Navigation springen Zur Suche springen
 
(9 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
===Bezeichnung===
+
===Empfehlung===
Maßnahmen zur IT-Sicherheit<br>
+
Maßnahmen zur IT-Sicherheit umsetzen
 
===Kurzbeschreibung===
 
===Kurzbeschreibung===
Ein effizienten Wirtschaften ist ohne Nutzung von IT-Anwendungen und Internet nicht mehr vorzustellen. Um das Risiko eines Ausfalles dieser Systeme zu minimieren muss aktiv gehandelt werden.<br>
+
Ein effizientes Wirtschaften ist ohne Nutzung von IT-Anwendungen und Internet nicht mehr vorzustellen. Um das Risiko eines Ausfalles dieser Systeme zu minimieren, muss aktiv gehandelt werden. Dabei ist es wesentlich, regelmäßig alle IT-Systeme zu sichern und Maßnahmen für den Fehlerfall zu planen.
===Betroffene Dimensionen und Ebenen, Zusammenhang zu anderen Szenarien===
+
===Anwendungsbeispiele===
Kernebenen: (Technologie, Geschäftsprozess, Organisation, Geschäftsmodell)<br>
+
* Passwortmanager<br>
Technologie, Geschäftsprozess<br>
+
* Multiple-Factor-Authentication<br>
Kerndimensionen: (Qualität der betrieblichen Abläufe, Produkte und Dienstleistungen, Kunden und ihr Erlebnis, Vertriebskanäle)<br>
+
* automatisierte Backup auf redundanten Speichermedien<br>
Qualität der betrieblichen Abläufe, Produkte und Dienstleistungen, Kunden und ihr Erlebnis, Vertriebskanäle<br>
+
* Laufende Personalschulungen zu den Themen Passwortsicherheit und Umgang mit dubiosen E-Mails<br>
 +
 
 
===Konkreter Nutzen===
 
===Konkreter Nutzen===
Vorteile, die ich als Klient bzw. meine Kunden davon haben:<br>
+
Vorteile, die ich als KlientIn bzw. meine KundInnen davon haben:
Wenn Maßnahmen zur IT-Sicherheit getroffen wurden ist das Risiko reduziert IT-Ausfälle zu erleiden, was sehr wahrscheinlich einen erheblichen Einfluss auf dein Geschäft haben würde.<br>
+
Wenn Maßnahmen zur IT-Sicherheit getroffen wurden, reduziert es das Risiko, IT-Ausfälle zu erleiden, was sehr wahrscheinlich einen erheblichen Einfluss auf dein Geschäft hat.
 +
<br>
 
===Vorbedingungen, Grundanforderungen===
 
===Vorbedingungen, Grundanforderungen===
Vorbedingung um für dein Unternehmen entsprechende Maßnahmen umzusetzen ist, dass der aktuelle Stand eurer IT-Systeme bekannt ist. Welche Systeme sind im Einsatz, wie erfolgt die Kommunikation zwischen den Systemen und welche Hürden sind an welchen Stellen eingebaut um unerwünschten Gästen den Zutritt zu den Systemen zu verweigern.<br>
+
Um für dein Unternehmen entsprechende Maßnahmen umsetzen zu können, muss dir der aktuelle Stand eurer IT-Systeme bekannt sein: Welche Systeme sind im Einsatz, wie erfolgt die Kommunikation zwischen den Systemen und welche Hürden sind an welchen Stellen eingebaut, um unerwünschten Gästen den Zutritt zu den Systemen zu verwehren.<br>
===Typischer Aufwand===
+
 
Je nach Netzwerkgröße und -Komplexität und Aktualität der Dokumentation kann die reine Analyse von Schwachstellen mehrere Personenwochen dauern. Darauf aufbauen können erst konkrete Maßnahmen geplant werden.<br>
 
 
===Typische Vorgehensweise===
 
===Typische Vorgehensweise===
Wie bei jedem Projekt ist als erstes ein Plan zu erstellen, der mindestens festhält wo du jetzt steht, welches Ziel du bis wann erreichen möchtest und wie du planst dieses Ziel zu erreichen.<br>
+
Wie bei jedem Projekt ist als erstes ein Plan zu erstellen, der mindestens festhält, wo du jetzt stehst, welches Ziel du bis wann erreichen möchtest und wie du planst, dieses Ziel zu erreichen. Zur Unterstützung steht dir der Eintrag [[Projektmanagement]] zur Verfügung.<br>
 
====Einrichten einer Basis für die Anwendung====
 
====Einrichten einer Basis für die Anwendung====
Als Basis ist die Dokumentation der aktuellen IT Umgebung was alle physischen Geräte wie Computer, Handys, Drucker und dergleichen, sowie alle Software-Anwendungen umfasst unter berücksichtigung welche Personen oder Personengruppen zugriff auf worauf hat.  
+
Basis ist die Dokumentation der aktuellen IT-Umgebung, was alle physischen Geräte wie Computer, Handys, Drucker und dergleichen sowie alle Software-Anwendungen umfasst, wobei berücksichtigt werden muss, welche Personen oder Personengruppen worauf zZgriff haben. Anhand dieser Ist-Analyse kann ein Zielbild erstellt werden. Hier gilt es immer die Balance zu finden zwischen Sicherheit und Anwenderfreundlichkeit, denn keiner will 18 Schlösser an seiner Eingangstüre.<br>
Anhand dieser Ist-Analyse kann ein Zielbild erstellt werden.
 
Hier gilt es immer die Balance zu finden zwischen Sicherheit und Anwenderfreundlichkeit, denn keiner will 18 Schlösser an seiner Eingangstüre.<br>
 
  
 
====Sinnvolle Ausbaustufe 1====
 
====Sinnvolle Ausbaustufe 1====
Authentifikation, also der Nachweis zur Berechtigung eines System ist hier ein zentrales Thema. Verbreitet ist die Nutzung von Passwörtern. Hier ist die Nutzung eines Passwortmanager ratsam, das die Verwendung von sehr langen, und daher schwer zu knackenden Passwörtern ermöglicht. Ein Beispiel für einen solchen Passwortmanager ist KeePass KeePass Password Safe. In vielen Bereich kann eine multi-factor-authentication sinnvoll sein, bei der man zum Beispiel neben dem Passwort auch auch auf einem anderen Gerät wie dem Handy seine Berechtigung vorweisen muss. <br>
+
Authentifikation, also der Nachweis zur Berechtigung eines Systems, ist hier ein zentrales Thema. Verbreitet ist die Nutzung von Passwörtern, welche als Eingangsschlüssel zur IT-Systemen dienen. Hier ist die Nutzung eines Passwortmanagers ratsam, der die Verwendung von sehr langen und daher schwer zu knackenden Passwörtern ermöglicht. Ein Beispiel für einen solchen Passwortmanager ist KeePass Password Safe. In vielen Bereich kann eine Multi-Factor-Authentfiication sinnvoll sein, bei der man zum Beispiel neben dem Passwort zusätzlich auf einem anderen Gerät wie dem Handy seine Berechtigung vorweisen muss. <br>
  
 
====Sinnvolle Ausbaustufe 2====
 
====Sinnvolle Ausbaustufe 2====
Datensicherung auf mehreren unabhängigen Speicherorten ist unabdingbar, da nei sichergestellt werden kann, dass nicht ein Speicherort seine Dienste aufgibt. Dazu empfiehlt es sich regelmäßig und automatisiert ein sogenanntes Backup seiner Daten zu machen. Darauf aufbauend braucht es einen erprobten Prozess wie in Notfall die Backup-Daten wieder in das laufende System eingespielt werden können, ein so Data-Recovery-Prozess.<br>
+
Datensicherung auf mehreren unabhängigen Speicherorten ist unabdingbar, da nie sichergestellt werden kann, dass nicht ein Speicherort seine Dienste aufgibt. Dazu empfiehlt es sich, regelmäßig und automatisiert ein sogenanntes Backup seiner Daten zu machen. Darauf aufbauend braucht es einen erprobten Prozess, wie im Notfall die Backup-Daten wieder in das laufende System eingespielt werden können, ein sogenannter Data-Recovery-Prozess.<br>
  
 
===Herausforderungen, Risiken===
 
===Herausforderungen, Risiken===
Das Risiko das in Verbindung mit IT-Sicherheit steht ist sehr ernst zu nehmen. Jede Minute die IT-Systeme nicht genutzt werden können verursacht Kosten. Dieses Risiko mit IT-Sicherheitsmaßnahmen zu minimieren sollte daher regelmäßig geprüft und durchgeführt werden, da die IT-Branche im ständigen Wandel ist.<br>
+
Das Risiko, das in Verbindung mit IT-Sicherheit steht, ist sehr ernst zu nehmen. Jede Minute, in denen IT-Systeme nicht genutzt werden können, verursacht Kosten. Dieses Risiko mit IT-Sicherheitsmaßnahmen zu minimieren, sollte daher regelmäßig geprüft und durchgeführt werden, da die IT-Branche im ständigen Wandel ist.<br>
===Anwendungsbeispiele===
+
 
Passwortmanager<br>
+
===Typischer Aufwand===
Multiple-factor-authentication<br>
+
Je nach Netzwerkgröße und -Komplexität und Aktualität der Dokumentation kann die reine Analyse von Schwachstellen mehrere Personenwochen dauern. Darauf aufbauend können erst konkrete Maßnahmen geplant werden.
automatisierte Backup auf redundanten Speichermedien<br>
+
Um den typischen Aufwand zu schätzen, braucht es einen konkreten Umsetzungsplan. Wo bist du jetzt und wo möchtest du wann sein? Wenn diese Eckpfeiler geklärt sind, kann der Aufwand abgeschätzt werden. Um einen Richtwert für die Kosten zu errechnen und um die spezifische IT-Anwendung zu betreiben, steht dir der Eintrag zu [[IT-Kosten]] zur Verfügung.
Laufende Personalschulungen zu den Themen Passwortsicherheit und Umgang mit dubiosen E-Mails<br>
+
<br>
  
 
===Mögliche Anbieter===
 
===Mögliche Anbieter===
 
Passwortmanager [https://keepass.info/ keepass]
 
Passwortmanager [https://keepass.info/ keepass]
 +
 +
===Betroffene Dimensionen und Ebenen===
 +
Kernebenen: Technologie, Geschäftsprozess
 +
Kerndimensionen: Qualität der betrieblichen Abläufe, Produkte und Dienstleistungen, KundInnen und ihr Erlebnis, Vertriebskanäle
 +
<br>
 +
 
===Weiterführende Quellen===
 
===Weiterführende Quellen===
 
[https://www.wko.at/service/innovation-technologie-digitalisierung/it-sicherheit-datensicherheit.html IT-Sicherheit und Datensicherheit - WKO]
 
[https://www.wko.at/service/innovation-technologie-digitalisierung/it-sicherheit-datensicherheit.html IT-Sicherheit und Datensicherheit - WKO]

Aktuelle Version vom 29. Dezember 2021, 21:54 Uhr

Empfehlung

Maßnahmen zur IT-Sicherheit umsetzen

Kurzbeschreibung

Ein effizientes Wirtschaften ist ohne Nutzung von IT-Anwendungen und Internet nicht mehr vorzustellen. Um das Risiko eines Ausfalles dieser Systeme zu minimieren, muss aktiv gehandelt werden. Dabei ist es wesentlich, regelmäßig alle IT-Systeme zu sichern und Maßnahmen für den Fehlerfall zu planen.

Anwendungsbeispiele

  • Passwortmanager
  • Multiple-Factor-Authentication
  • automatisierte Backup auf redundanten Speichermedien
  • Laufende Personalschulungen zu den Themen Passwortsicherheit und Umgang mit dubiosen E-Mails

Konkreter Nutzen

Vorteile, die ich als KlientIn bzw. meine KundInnen davon haben: Wenn Maßnahmen zur IT-Sicherheit getroffen wurden, reduziert es das Risiko, IT-Ausfälle zu erleiden, was sehr wahrscheinlich einen erheblichen Einfluss auf dein Geschäft hat.

Vorbedingungen, Grundanforderungen

Um für dein Unternehmen entsprechende Maßnahmen umsetzen zu können, muss dir der aktuelle Stand eurer IT-Systeme bekannt sein: Welche Systeme sind im Einsatz, wie erfolgt die Kommunikation zwischen den Systemen und welche Hürden sind an welchen Stellen eingebaut, um unerwünschten Gästen den Zutritt zu den Systemen zu verwehren.

Typische Vorgehensweise

Wie bei jedem Projekt ist als erstes ein Plan zu erstellen, der mindestens festhält, wo du jetzt stehst, welches Ziel du bis wann erreichen möchtest und wie du planst, dieses Ziel zu erreichen. Zur Unterstützung steht dir der Eintrag Projektmanagement zur Verfügung.

Einrichten einer Basis für die Anwendung

Basis ist die Dokumentation der aktuellen IT-Umgebung, was alle physischen Geräte wie Computer, Handys, Drucker und dergleichen sowie alle Software-Anwendungen umfasst, wobei berücksichtigt werden muss, welche Personen oder Personengruppen worauf zZgriff haben. Anhand dieser Ist-Analyse kann ein Zielbild erstellt werden. Hier gilt es immer die Balance zu finden zwischen Sicherheit und Anwenderfreundlichkeit, denn keiner will 18 Schlösser an seiner Eingangstüre.

Sinnvolle Ausbaustufe 1

Authentifikation, also der Nachweis zur Berechtigung eines Systems, ist hier ein zentrales Thema. Verbreitet ist die Nutzung von Passwörtern, welche als Eingangsschlüssel zur IT-Systemen dienen. Hier ist die Nutzung eines Passwortmanagers ratsam, der die Verwendung von sehr langen und daher schwer zu knackenden Passwörtern ermöglicht. Ein Beispiel für einen solchen Passwortmanager ist KeePass Password Safe. In vielen Bereich kann eine Multi-Factor-Authentfiication sinnvoll sein, bei der man zum Beispiel neben dem Passwort zusätzlich auf einem anderen Gerät wie dem Handy seine Berechtigung vorweisen muss.

Sinnvolle Ausbaustufe 2

Datensicherung auf mehreren unabhängigen Speicherorten ist unabdingbar, da nie sichergestellt werden kann, dass nicht ein Speicherort seine Dienste aufgibt. Dazu empfiehlt es sich, regelmäßig und automatisiert ein sogenanntes Backup seiner Daten zu machen. Darauf aufbauend braucht es einen erprobten Prozess, wie im Notfall die Backup-Daten wieder in das laufende System eingespielt werden können, ein sogenannter Data-Recovery-Prozess.

Herausforderungen, Risiken

Das Risiko, das in Verbindung mit IT-Sicherheit steht, ist sehr ernst zu nehmen. Jede Minute, in denen IT-Systeme nicht genutzt werden können, verursacht Kosten. Dieses Risiko mit IT-Sicherheitsmaßnahmen zu minimieren, sollte daher regelmäßig geprüft und durchgeführt werden, da die IT-Branche im ständigen Wandel ist.

Typischer Aufwand

Je nach Netzwerkgröße und -Komplexität und Aktualität der Dokumentation kann die reine Analyse von Schwachstellen mehrere Personenwochen dauern. Darauf aufbauend können erst konkrete Maßnahmen geplant werden. Um den typischen Aufwand zu schätzen, braucht es einen konkreten Umsetzungsplan. Wo bist du jetzt und wo möchtest du wann sein? Wenn diese Eckpfeiler geklärt sind, kann der Aufwand abgeschätzt werden. Um einen Richtwert für die Kosten zu errechnen und um die spezifische IT-Anwendung zu betreiben, steht dir der Eintrag zu IT-Kosten zur Verfügung.

Mögliche Anbieter

Passwortmanager keepass

Betroffene Dimensionen und Ebenen

Kernebenen: Technologie, Geschäftsprozess Kerndimensionen: Qualität der betrieblichen Abläufe, Produkte und Dienstleistungen, KundInnen und ihr Erlebnis, Vertriebskanäle

Weiterführende Quellen

IT-Sicherheit und Datensicherheit - WKO