Menu ein-/ausblenden

IT-Sicherheit

Datenschutz und IT-Sicherheit sind untrennbar miteinander verbunden. Wir bieten folgende Module an:

Modul "IT-Grundschutz"

Wir überprüfen die IT-Sicherheit im Unternehmen, indem wir sie mit geprüften Sicherheitsstandards abgleichen. Dabei orientieren wir uns an dem IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Der IT-Grundschutz bezweckt eine Absicherung der IT-Systeme und Datennetze von Unternehmen nach dem Stand der Technik. Er eignet sich auch für kleine und mittelständische Unternehmen. Praktikable Sicherheitsempfehlungen und Schutzmaßnahmen ermöglichen die erfolgreiche Umsetzung von Digitalisierungsprojekten. Sie sind zugleich für den Schutz vor Cyber-Kriminalität unabdingbar.

Die verschiedenen Standards des BSI sind auf unterschiedlich hohen Schutzbedarf ausgerichtet. Für jede Unternehmensgröße und alle Arten von sensiblen Unternehmensdaten lässt sich daher das passende "Schutzpaket" zusammenstellen.

Wir haben die Anforderungen des BSI in unser digitales Managementsystem integriert und um zusätzliche Funktionen erweitert. Daneben haben wir die einzelnen Bausteine mit dem Standard-Datenschutzmodell (SDM) der Datenschutz-Aufsichtsbehörden verzahnt. Dadurch stellen wir sicher, dass nicht nur ein hohes Maß an IT-Sicherheit gewährleistet wird, sondern auch der Schutz der personenbezogenen Daten, wenn ein Unternehmen die von uns empfohlenen Maßnahmen umsetzt.

Der IT-Grundschutz kann in vier Ausprägungen umgesetzt werden:

  • Basis-Absicherung
    Geeignet für kleine und mittelständische Unternehmen, die sich erstmals intensiv mit dem Thema Informationssicherheit beschäftigen und die Absicherung ihrer IT-Systeme verbessern möchten. Mit überschaubaren finanziellen Mitteln lassen sich die notwendigen Maßnahmen schnell umsetzen. Die Basis-Absicherung bietet einen guten Einstieg, um Sicherheitslücken kurzfristig zu identifizieren und zu schließen. Im nächsten Schritt kann dann bei Bedarf auf dieser Grundlage ein Informations-Management-System im Betrieb aufgebaut werden, das auf eine kontinuierliche Verbesserung der IT-Sicherheit abzielt.

  • Kern-Absicherung
    Empfehlenswert für Unternehmen, die über die Basis-Absicherung hinaus zusätzlichen Schutz für besonders sensible Bereiche benötigen (z.B. Geschäftsgeheimnisse, Innovationen, Gesundheitsdaten). Dafür werden dann zusätzliche Maßnahmen ergriffen, die zielgerichtet und vorrangig diese Kerndaten schützen.

  • Standard-Absicherung
    Die Standard-Absicherung bietet ein sehr hohes Sicherheits-Niveau. Sie zielt darauf ab, alle Bereiche eines Unternehmens angemessen und umfassend zu schützen. Auf dieser Grundlage kann auch eine Zertifizierung nach ISO 27001 (IT-Grundschutz) erfolgen. Die Implementierung dieses Standards ist zeitaufwändiger und kostenintensiver als die ersten beiden Varianten. Angesichts der kontinuierlich steigenden Bedrohung durch Cyber-Kriminalität lohnt die Investition jedoch für jedes Unternehmen, auf das Folgende Aussage zutrifft: Sicherheitsvorfälle, die wahrnehmbar die Aufgabenerfüllung beeinträchtigen, Geld kosten oder anderweitig erkennbaren Schaden verursachen, sind nicht akzeptabel, auch wenn sie noch keinen existenzbedrohenden Schaden verursachen.

  • Absicherung für Unternehmen mit sehr hohem Schutzbedarf
    Unternehmen, die entweder mit sehr großen Datenmengen oder mit besonders sensiblen Daten arbeiten, können (und sollten) sich zusätzlich gegen Sicherheitsvorfälle absichern. Beispiele dafür sind Cloud-Dienste, Krankenhäuser, Rechenzentren oder Zahlungsdienstleister. Aus dem hohen Schutzbedarf der Unternehmensdaten folgen entsprechend hohe Anforderungen an die Sicherheitsmaßnahmen und deren Dokumentation.

Folgende Leistungen bieten wir im Modul "IT-Grundschutz" an:

  • Prüfung der Förderfähigkeit unserer Beratung und Unterstützung beim Stellen eines Förderantrags.
  • Vorbesprechung und Erstellung eines Audit-Plans.
  • IT-Grundschutz-Audit der gewählten Kategorie (vor Ort oder per Videokonferenz) mit individueller Beratung zur Verbesserung der IT-Sicherheit.
  • Vermittlung der datenschutzrechtlichen Vorgaben.
  • Ausführlicher schriftlicher Auditbericht (pdf-Dokument) mit Bewertung der Konformität des Ist-Zustandes mit den IT-Grundschutz-Anforderungen.
  • Identifizierung von Schwachstellen mit Risikobeurteilung und Priorisierung der erforderlichen Maßnahmen.
  • Festlegung von Verantwortlichkeiten und Erledigungsfristen.
  • Separate schriftliche Handlungsempfehlungen (pdf-Dokument).
  • Wirksamkeitskontrollen der umgesetzten Maßnahmen durch ein Folge-Audit.
  • Umfangreiches Begleitmaterial mit Arbeitsanweisungen, Hinweisen und Informationen für Mitarbeiter, Richtlinien, Aushängen etc.


Modul "Home-Office"

Das "Home-Office" erlebt seit Beginn der Corona-Pandemie einen anhaltenden Aufschwung. Die Arbeit von zu Hause aus hat sich in vielen Bereichen als praktikabel erwiesen, um mit den veränderten Rahmenbedingungen zurechtzukommen. Mit jedem ausgelagerten Arbeitsplatz eines Beschäftigten steigt jedoch zugleich das Risiko für Sicherheitsvorfälle. Das zeigt eindrücklich die kontinuierlich steigende Zahl von Cyber-Attacken, die das Home-Office als Einfallstor für Angriffe auf Unternehmen nutzen. Auch der Jahresbericht des BSI "Die Lage der IT-Sicherheit in Deutschland 2020" spricht diese Problematik an:

"IT-Sicherheit unter erschwerten Bedingungen

Unter normalen Umständen ergibt sich aus den in Organisationen umgesetzten IT-Sicherheitsmaßnahmen, der lokalen Verfügbarkeit von IT-Fachpersonal und Dienstleistern sowie finanziellen und infrastrukturellen Sicherheitsvorkehrungen eine vielschichtige Abwehr- und Reaktionsstruktur. Die häufig erforderliche Verlagerung von Beschäftigten und Geschäftsprozessen ins Home-Office bringt die Gefahr mit sich, dass die IT-Sicherheit zugunsten eines ad hoc funktionierenden Home-Office vernachlässigt wird. Außerdem wurde die Verfügbarkeit und Einsatzfähigkeit von IT-Fachpersonal und IT-Sicherheitsdienstleistern durch die erforderlichen Beschränkungen erschwert. [...]

Die umfassende, plötzliche Mehrnutzung von Digitalisierungsprodukten eröffnete Angreifern eine stark vergrößerte Angriffsfläche für ihre kriminellen Aktivitäten. [...]

Auch in einer Krisensituation sollten wichtige Überlegungen zur Sicherheit und Datenschutz wie der Datenschutzgrundverordnung (DSGVO) zusammengefasst nicht ignoriert werden."

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Die Lage der IT-Sicherheit in Deutschland 2020, Seite 33


Wir unterstützen Unternehmen, um diese Risiken zu minimieren. Das Modul beinhaltet unter anderem folgende Leistungen:

  • Prüfung der Förderfähigkeit unserer Beratung und Unterstützung beim Stellen eines Förderantrags.
  • Audit "Home-Office" auf Grundlage der Empfehlungen des BSI mit Schwachstellenanalyse, Risikobeurteilung und Beratung (vor Ort oder per Videokonferenz möglich).
  • Ausführlicher digitaler Auditbericht mit Handlungs-/ Umsetzungsempfehlungen.
  • Individuelle Home-Office Richtlinie.
  • Checkliste zur Gestaltung des Home-Office-Arbeitsplatzes in Bezug auf die Arbeitssicherheit.
  • Anleitung zum DSGVO-konformen Betrieb des Home-Office.
  • Umfangreiches Informationsmaterial.
  • Wirksamkeitskontrolle durch Folge-Audit.


Modul "Digitalisierung"

Unsere Leistungen in diesem Bereich sind sehr branchenspezifisch und richten sich nach den individuellen Kundenwünschen:

  • Prüfung der Förderfähigkeit unserer Beratung und Unterstützung beim Stellen eines Förderantrags.
  • Beratung und Unterstützung bei der Digitalisierung von Prozessen im Unternehmen.
  • Beratung bei der DSGVO-konformen Umsetzung des papierlosen Büros.
  • Beratung und Unterstützung bei der Umsetzung des "Ersetzenden Scannens".
  • Digitalisierung von Datenerhebungsprozessen.
  • Digitalisierung von Dokumentationsprozessen.
  • Programmierung von Software-Tools zur Digitalisierung von Handlungshilfen für Arbeitsabläufe.


Modul "Netzwerksicherheit und sichere Datenübertragung"

In diesem Modul bieten wir folgende Leistungen an:

  • Prüfung der Förderfähigkeit unserer Beratung und Unterstützung beim Stellen eines Förderantrags.
  • Netzwerk-Check mit Schwachstellenanalyse und Handlungsempfehlungen.
  • Beratung beim Aufbau zeitgemäßer Backup-Systeme.
  • Beratung bei der Auswahl und Einrichtung sicherer Datenübermittlungssysteme.
  • VLAN-Programmierung.
  • Beratung und Schulung zum Thema Passwortsicherheit und -management.
  • Beratung zum IT-Management.