Als IT-Systemsicherheit bezeichnet man den Schutz von IT-Systemen vor Schäden und Bedrohungen von außen. Das beginnt bei der einzelnen Datei im Betriebssystem und erstreckt sich über Computer, Netzwerke, Cloud-Dienste bis hin zu kompletten Rechenzentren. Die steigende Digitalisierung bringt neben vielen Vorteilen für die Nutzer auch Risiken für die IT-Systemsicherheit.

Der Begriff IT-Systemsicherheit umfasst die Planungen, die Maßnahmen und die Kontrollen, die dem Schutz der IT dienen. Dieser ist die Basis für das Funktionieren des Geschäftsbetriebes eines Unternehmens. Er hat drei Ziele:

- Die Vertraulichkeit von Informationen.

- Die Integrität von Informationen und Systemen.

- Die Verfügbarkeit der Informationen und Systemen.

Die IT-Systemsicherheit befasst sich nicht nur mit personenbezogenen Daten, sondern mit allen Arten von Informationen, die geschützt werden müssen. Schützenswert sind neben den Informationen, mit welchen gearbeitet wird, auch die Systeme mit welchen Informationen verarbeitet, genützt und gespeichert werden.

Elementarer Bestandteil dieser IT-Systeme sind immer auch die Endgeräte, welche vom Nutzer verwendet werden. Dazu gehören beispielsweise Notebooks, PCs, Smartphones und Tablets. Jener Teil der IT-Systemsicherheit, welcher sich mit dem Schutz der Endgeräte befasst, nennt sich Endpoint Security.

Anwendungen und Betriebssysteme die auf den Endgeräten arbeiten, sollten ebenso ein wichtiger Bestandteil der IT-Systemsicherheit sein. Diese werden von der Applikationssicherheit und der Betriebssicherheit umfasst.

Cyberkriminalität und Hackerattacken kannte man früher oft nur vom Hörensagen. Mittlerweile sind viele, vor allem auch mittelständische Unternehmen, von diesen Attacken betroffen. Oftmals stehen unternehmenssensible Daten und Informationen im Zentrum dieser Angriffe. Um sich davor zu schützen ist es wichtig bei der IT-Systemsicherheit immer auf dem neuesten Stand zu sein. Mit der Ersten Steirischen IT-Genossenschaft kein Problem!

Im Folgenden stellen wir Ihnen fünf wirksame Maßnahmen für Ihre IT-Systemsicherheit vor, die Sie in Ihrem Unternehmen etablieren können. Gerne übernehmen wir das bei Bedarf für Sie:

Die Sensibilisierung und Schulung von Mitarbeiter:innen: Die Basis für eine IT-Systemsicherheit sind versierte Mitarbeiter:innen. Hierfür ist Information und Schulung für mögliche IT-Gefahren von großer Relevanz. Das Ziel der Sensibilisierung für die IT-Systemsicherheit ist es, dass das Bewusstsein der Mitarbeiter:innen für IT-Sicherheitsprobleme geschärft wird. Ebenso sollten entsprechende Handlungsempfehlungen bezüglich der IT-Systemsicherheit erarbeitet und etabliert werden.

Zwei-Faktor-Authentifizierung: Die alleinige Authentifizierung über einen Benutzernamen ist in Zeiten von Cyberattacken nicht mehr genug. Malsoftware wie Trojanische Pferde versuchen direkt Zugriff auf die Passwörter zu bekommen. Dadurch bieten auch komplexe Passwörter meist keinen ausreichenden Schutz. Um die IT-Systemsicherheit aufrecht zu erhalten wird die Verwendung eines außerhalb des IT-Systems liegenden Faktors, wie beispielsweise eines Hardwaretokens, empfohlen. 

Die Datensicherung: Sie ist ein wichtiger Aspekt der IT-Systemsicherheit und sollte in regelmäßigen Zeitabständen durchgeführt werden. Die Empfehlung ist es, die aktuellen Daten einmal pro Tag zu sichern. Weiters wird empfohlen einmal wöchentlich ein Gesamtbackup durchzuführen.

Zugriffsberechtigungen: Hier ist festzulegen, wer im Unternehmen Zugriff auf welche Daten hat. Nicht jeder Mitarbeiter:in muss Zugang zu allen Daten haben. Im Rahmen der Zugriffsverteilungen sollte festgelegt werden, welche Daten der einzelne Mitarbeiter:in benötigt und auf welche Systeme ein Zugriff gewährt wird. Diese Verteilungen müssen im so genannten Berechtigungskonzept festgehalten werden.  

Datenklassifizierung: Hier wird festgelegt, welche Daten Ihres Unternehmens, welchen Grad an Vertraulichkeit benötigen. Mögliche sensible Daten können etwa die Kund:innenliste eines Unternehmens oder die Gehaltsabrechnungen Ihrer Mitarbeiter:innen sein. Grundsätzlich sollten Sie sich zu den einzelnen Daten-Bereichen überlegen, wie wertvoll diese Informationen für Ihr Unternehmen ist.  Wir empfehlen, die Vertraulichkeit in einer Skala festzuhalten. Sie können den jeweiligen Informationen dann Werte von beispielsweise eins bis zehn zuweisen.

Folgende Punkte der IT-Systemsicherheit führen wir gerne auf Anfrage in Ihrem Unternehmen durch:

Virtuelles Privates Netzwerk: Mit einem VPN (Virtual Private Network) verschlüsseln wir die Kommunikation Ihres Netzwerkes – an dem alle Ihre Unternehmensrechner hängen - und sichern so das Netzwerk ab. Das betrifft auch die Kommunikation nach außen. Diese findet sozusagen in einem Tunnel statt und ist nicht einsehbar. Aber Achtung: auch ein VPN kann angegriffen werden. Daher empfehlen wir, wie eingehend erwähnt, eine Zwei-Faktor-Authentifizierung.

Management von Updates: Um die IT-Systemsicherheit Ihres Unternehmens zu gewährleisten empfehlen wir das System regelmäßig upzudaten. Oftmals schließen Software-Updates beheben Sicherheitslücken, korrigieren Fehler und erweitern bestehende Funktionen. Aber Achtung: Das Einspielen von Software-Updates sollte geplant sein. Dieser sollte vorab erstellt werden. Ein Aspekt, der bei Software-Updates nicht aus den Augen gelassen werden sollte, ist: Entscheidet man sich für ein automatisches Updates des Betriebssystems oder nimmt man die Unterstützung eines IT-Unternehmens wie der ESIT in Anspruch? So oder so, Ihre IT-Systemsicherheit wird es Ihnen danken!

Schwachstellenanalyse mittels Penetrationstest: Dieser Test stellt Ihr Netzwerk und Ihre IT-Systemsicherheit auf die Probe. Hier wird die Sicherheit eines Netzwerk- oder Softwaresystems mittels künstlich erzeugter Hacker:innenangriffe getestet. Der Sinn dahinter ist es zu erkennen, ob sich ein Hacker:in von außen unautorisiertem Zugriff auf das System verschaffen könnte. Der Penetrationstest also die Empfindlichkeit der zu testenden Systeme bei derartigen Angriffen.

Notfallpläne erstellen: Die IT-Systemsicherheit wurde geknackt, was macht man dann? Für so einen Fall sollte man unbedingt einen Notfallplan in der Tasche haben. Wir erstellen Ihnen bei Bedarf gerne einen Notfallplan, um Ihre IT-Systemsicherheit wiederherzustellen.