1 KMU und IT-Governance, Risiko- und Compliance-Management
1.1 Motivation und Zielsetzung
1.2 Merkmale von KMU
1.3 Herausforderungen für KMU
1.4 Kritik bisheriger IT-GRC Ansätze für KMU
2 Methodik
2.1 Schritt 1 und 2: Literatursuche und Reduzierung
-
KMU AND (Governance OR Risk OR Compliance OR Sicherheit).
2.2 Schritt 3 und 4: Kategorienbildung und Auswertung
2.3 Expertentest des Ansatzes und der Kategorien
2.4 Entwicklung zweier IT-GRC Werkzeuge für KMU
2.5 Empirische Erprobung zweier IT-GRC Werkzeuge für KMU
3 Ein Ansatz für IT-GRC in KMU
3.1 Beschreibung des Ansatzes
3.2 Kategorien
3.2.1 IT-Compliance
3.2.2 IT-Governance
3.2.3 Security Awareness
3.2.4 Informationssicherheits-Managementsystem (ISMS)
3.2.5 Cyber-Sicherheit
3.2.6 Mobile Sicherheit
Kategorie | Inhalte und Kompetenzbereiche (Auszug) |
---|---|
1. IT-Compliance | Aufstellung und Umsetzung Unternehmens-ethischer Richtlinien |
Umsetzung der Datenschutzgrundverordnung (DSGVO) | |
Umsetzung weiterer allg. gesetzl. Vorgaben (insb. AO, HGB, GoBD) | |
Umsetzung interner Regelwerke und Verfahrensanweisungen | |
Identifikation und Umsetzung relevanter externer Normen und Standards | |
Einhaltung Branchenspezifischer Regularien und Gesetze | |
2. IT-Governance | Installation geeigneter IT-Steuerungsstrukturen und IT-Aufsichtsrollen |
Installation eines schlanken IKS als IT-Kennzahlensystem | |
Entwicklung einer ganzheitlichen IT-Strategie mit periodischer IT-Planung | |
Regelung von Entscheidungsfindungsprozessen zur Digitalisierung | |
Etablierung eines IT-Investitions- und Projektmanagements | |
Steuerung und Überwachung von IT-Ressourcen | |
3. Security Awareness | Erhebung Sensibilisierungsgrad der Mitarbeiter sowie des Managements |
Vorhandensein von Ansprechpartnern und Meldestellen | |
Planung und Durchführung Sensibilisierungskampagne mit Maßnahmen | |
Informieren der Mitarbeiter über aktuelle Sicherheitsbedrohungen | |
Evaluierung von Maßnahmen zur Erhöhung des Sicherheitsbewusstseins | |
Kenntnisse von Meldewegen und Maßnahmen bei Sicherheitsvorfällen | |
4. ISMS | Formulierung einer Informationssicherheitsleitlinie |
Tailoring & Aufbau IT-Risikomanagement (z. B. nach ISO 27005, ISIS12) | |
Etablierung eines Notfallmanagements, im Falle von IT-KMU inkl. CERT | |
Datensicherungs‑, Berechtigungs-, und physisches Sicherheitskonzept | |
Erstellung einer Richtlinie zur IT-Nutzung für Mitarbeiter | |
Regelmäßige Bewertung und Anpassung von Maßnahmen (PDCA) | |
5. Cyber-Sicherheit | Erkennung und Prävention von Cyber-Angriffen und Malware |
Überwachung des Netzwerkverkehrs (z. B. Deep Packet Inspection) | |
Etablierung einer Cloud-Richtlinie, Update- und Patch-Management | |
Verhinderung von Datenabfluss, Logging/Monitoring von Zugriffen | |
Schutz vor gängigen Webschwachstellen | |
Verschlüsselung der Kommunikation, Umsetzung von Security by Default | |
6. Mobile Sicherheit | Einsatz Mobile Application & Device Management Systems (MAM/MDM) |
BYOD-Richtlinie, BYOD-Nutzungsvereinbarung | |
Dateisystem-Verschlüsselung, Fernlöschung, Fernortung | |
Verschlüsselungsmechanismen für Fernzugriff auf Ressourcen | |
Sicherstellung von Authentizität, Verwendung digitaler Zertifikate | |
Black – und Whitelisting von Apps | |
Sperrbildschirme, Passwortkomplexität, 2‑Faktor-Authentifizierung |
4 IT-GRC Reifegrad Werkzeug: Beispielhafte Ergebnisse
5 Nutzen des IT-GRC-Ansatzes für KMU
5.1 IT-GRC Reifegrad Werkzeug: Erzeugung integrativer Sichten
5.2 IT-GRC Information Security Toolbox: Management-Unterstützung für KMU
Kategorie | Muster, Checklisten, Verträge, Richtlinien etc. (Beispiele) |
---|---|
1. IT-Compliance | DSGVO-Datenschutzerklärung für Websites |
Muster für ADV-Vertrag nach DSGVO | |
2. IT-Governance | Empfehlungen zur organisatorischen Verankerung von IT-GRC-Rollen |
Leitfaden für IT-Programm- und Projektmanagement | |
3. Security Awareness | IT-Notfallkarte für koordiniertes IT-Notfallverhalten |
Verhaltungsregeln zum Thema Social Engineering | |
Umgang mit Phishing und SPAM | |
4. ISMS | Information Security Policy (Muster) |
Leitfaden zur Einführung eines ISMS | |
Leitfaden für Notfallmanagement | |
Tailoring-Checklisten ISO 27001, ISIS12 und BSI GS | |
5. Cyber-Sicherheit | Schutz vor gängigen Webschwachstellen |
Liste priorisierter Maßnahmen bei Cyber-Angriffen | |
Cloud-Richtlinie, Richtlinie Nutzung von Cloud-Diensten | |
Leitfaden zur E‑Mail-Sicherheit für Unternehmen | |
Basismaßnahmen der Cyber-Sicherheit (BSI 2018) | |
6. Mobile Sicherheit | BYOD-Richtlinie, BYOD-Betriebsvereinbarung |
Home-Office-Betriebsvereinbarung (Muster) | |
Checkliste Mobile Sicherheit für Smartphones und Tablets im Unternehmen |