UPGREAT Blog

Informationssicherheit im KMU – unwichtig oder doch ein verstecktes Risiko?

Datenleck bei Facebook, 40 Millionen gestohlene Datensätze bei MasterCard und Visa – angesichts solcher Meldungen ist es nicht verwunderlich, dass die Datensicherheit auch bei kleinen und mittleren Unternehmen einen immer höheren Stellenwert einnimmt. Die Firmen wollen etwas für die Sicherheit ihrer Informationen tun - allerdings fehlt häufig ein grundlegendes Konzept. Hier könnte ein CISO Abhilfe schaffen, aber lohnt sich für KMU wirklich ein Mitarbeitender, der sich ausschliesslich mit dem Schutz der Unternehmensdaten beschäftigt? Kurzum: muss jedes KMU jemanden wie mich anstellen?

Was ist ein CISO?

Bevor es um die Notwendigkeit eines CISO geht, sollte zunächst vielleicht einmal erklärt werden, was sich hinter dem Akronym verbirgt. CISO steht für Chief Information Security Officer, es handelt sich also um einen leitenden Angestellten, der für die Sicherheit sämtlicher Informationen im Unternehmen verantwortlich ist.

Heutzutage betrifft das vornehmlich elektronische Daten, grundsätzlich ist der CISO aber auch für Daten in anderen Formaten zuständig, also beispielsweise für Akten, Verträge, Präsentationen, Bildarchive und Ähnliches. Er muss Konzepte entwickeln, um für einen ausreichenden Schutz der Informationen zu sorgen. Dazu gehört unter anderem, dass Sicherheitsziele für das Unternehmen definiert werden, zudem muss der CISO Sicherheitsrichtlinien ausarbeiten und Massnahmen festlegen, die die Einhaltung dieser Richtlinien gewährleisten. Darüber hinaus ist er für die Schulung der Mitarbeitenden in Sachen Sicherheit zuständig, er entwickelt also Schulungspläne, überwacht deren Einhaltung und überprüft den Kenntnisstand der Mitarbeitenden.

Je nach Unternehmen können diese Aufgabengebiete unterschiedlich gewichtet sein oder unter Umständen sogar ganz wegfallen. Insofern ist die Frage, ob KMU einen CISO brauchen, durchaus berechtigt – denn welche Firma möchte schon einen Mitarbeitenden einstellen, der kaum Aufgaben hat und nicht voll ausgelastet ist?

IT Security Check

Brauchen KMU einen CISO?

Wie so oft, lässt sich diese Frage kaum allgemeingültig beantworten, denn hinter dem Begriff „KMU“ verbirgt sich ja keine einheitliche Ansammlung von Firmen. Ein Schreinerbetrieb mit acht Mitarbeitenden gehört ebenso zu den KMU wie ein Technologie-Start-up mit 30 Mitarbeitenden oder ein Automobil-Zulieferer mit 100 Mitarbeitenden. Dementsprechend sollten Sie in Ihrem Unternehmen genau die Situation prüfen und die möglichen Aufgaben des CISO abklären, bevor Sie darüber entscheiden, ob eine solche Position sinnvoll ist.

Grundsätzlich lässt sich aber sagen, dass die Notwendigkeit eines CISO mit der Zahl der Mitarbeitenden steigt. Der Chief Information Security Officer ist nämlich nicht nur für die externe, sondern auch für die interne Sicherung der Informationen zuständig. Das bedeutet, er muss überwachen, dass Mitarbeitende nicht unbefugt Zugang zu Informationen erhalten, die nicht für sie bestimmt sind. Bei acht Mitarbeitenden wiegt dieses Problem selbstverständlich deutlich weniger schwer als bei 100 Angestellten.

Zudem sollte auch die Art der verwalteten Informationen bei der Entscheidung für oder gegen einen CISO eine Rolle spielen. Sensible Daten wie etwa Bankdaten, Informationen über Kontobewegungen, Patente und anderweitig geschützte Herstellungsverfahren oder spezieller proprietärer Programmcode müssen natürlich besser gesichert werden als zum Beispiel ein internes Memo zur Parkplatznutzung oder ein gewöhnlicher Kundenauftrag.

Zusätzlich sollten Sie bedenken, dass Datensicherheit inzwischen zu einem elementaren Bestandteil der Geschäftstätigkeit geworden ist. Nur so ist die Vertraulichkeit gewährleistet, und auf die müssen sich Kunden und Geschäftspartner verlassen können. Wenn zum Beispiel ein Unternehmen den Bauplan für ein neues Bauteil an seinen Zulieferer weitergibt, muss er sicher sein können, dass auch beim Geschäftspartner keine Unbefugten auf die Informationen zugreifen können.

„Mieten“ statt kaufen?

Wie Sie sehen, ist ein CISO aus rein betrieblicher Sicht für die allermeisten KMU unbedingt empfehlenswert. Dem stehen allerdings die zusätzlichen Kosten gegenüber, die gerade bei kleineren Betrieben eher gegen den CISO sprechen.

Zum Glück gibt es inzwischen aber einen dritten Weg: Der CISO wird nur für begrenzte Zeit als Teilzeitfunktion oder für ein bestimmtes Projekt von einer IT-Beratungsfirma „ausgeliehen“. So können sich die Unternehmen sicher sein, dass sie sich einen ausgewiesenen Experten ins Haus holen, der die anstehenden Aufgaben schnell und effektiv angehen kann. Andererseits fallen nur für begrenzte Zeit oder in einem begrenzten Umfang zusätzliche Kosten an, sodass sich der CISO nicht so stark in der Unternehmensbilanz bemerkbar macht. Wenn also ein festangestellter CISO zu teuer und nicht wirklich lohnend für das Unternehmen ist, kann ein „ausgeliehener“ Experte genau die richtige Lösung sein.

Bestens beraten – mit UPGREAT

Wollen Sie mehr über die Aufgaben und den Wert eines CISO erfahren oder suchen Sie vielleicht sogar schon einen CISO „zur Leihe“? Dann haben Sie mit UPGREAT den idealen Partner für Ihr Unternehmen gefunden. Mit unserem IT Security-Check legen Sie die Basis für ein sicheres Unternehmen. Wir freuen uns auf Ihre Kontaktaufnahme!
IT Security Check

Topics: Security, Sicherheit