Springe zum Inhalt

IT-Sicherheit ist eine Daueraufgabe

12. Oktober 2021

Um die IT-Sicherheit von Unternehmen zu bewerten, nutzt Bitfee das eigens entwickelte Framework IT-Sicherheit. Das Dokument wurde auf Basis von bekannten Standards und Modellen entwickelt und dient als Diskussions- und Planungsgrundlage im Kundengespräch.

IT-Sicherheit ist kein Zustand, sondern eine Daueraufgabe. Mit diesem Verständnis implementiert Bitfee einen IT-Sicherheitsprozess unter Berücksichtigung des IKT-Minimalstandards* und in Anlehnung an das NIST-Framework*, welches den Quasi-Standard für den Umgang mit IT-Sicherheit im betrieblichen Kontext darstellt.

Beide Modelle bieten wertvolle Orientierungspunkte und erlauben eine umfassende Sicht auf die IT-Sicherheit im Unternehmen. Insbesondere der IKT-Minimalstandard wurde für Unternehmen, Organisationen und Betreiber von „kritischen Infrastrukturen“ entwickelt. Für die praktische Anwendung in Kundengesprächen wünschten wir uns eine weitere Vereinfachung der Unterlagen. Mit dieser Motivation wurden die Elemente des IKT-Minimalstandards konsolidiert, so dass ein Framework in der Form eines OnePagers entstand. Mit dem Framework zur IT-Sicherheit haben wir eine übersichtliche und verständliche Diskussions- und Orientierungsgrundlage für eine einfache Implementierung des IT-Sicherheitsprozess in ihrem Unternehmen geschaffen.

Auf Basis des Frameworks zur IT-Sicherheit, welches wir in jährlichen Zyklen aktualisieren, nehmen wir ein Assessment der IT-Sicherheit im Unternehmen vor, identifizieren Unzulänglichkeiten und Missstände und leiten entsprechende Massnahmen ab.

Bitfee-Framework IT-Sicherheit 2022:

Nach einem erstmaligen Assessment zeigen sich in vielen Unternehmen ähnliche Schwachstellen:

  • Ein Datensicherungs- und Wiederherstellungskonzept sowie dessen Implementierung und Kontrolle fehlt vielerorts.
    Tipp: Stellen Sie sicher, dass ihre Daten- und Systeme täglich gesichert werden und führen Sie regelmässige Wiederherstellungstests durch. Eine Datensicherung nach dem 3-2-1-Schema ist hierbei Standard.
  • Mittels Social Engineering zielen Cyberkriminelle nicht auf ihre IT, sondern auf ihre Mitarbeitenden.
    Tipp: Sensibilisieren Sie ihre Mitarbeitenden in regelmässigen Abständen zum Thema Cyber-Gefahren. Versuchen Sie, ihren Mitarbeitenden die notwendige Sicherheit beim täglichen Umgang mit der IT zu verschaffen. „Gesundes Misstrauen walten lassen“ hat sich als Grundhaltung bewährt.
  •  Eine aktuelle IT-Dokumentation fehlt in fast jedem Unternehmen.
    Tipp: Mit einer Dokumentation des Hard- und Software-Inventars sind bereits grundlegende Anforderungen an die IT-Sicherheit gewährleistet. Wer bei der IT-Dokumentation spart, spart am falschen Ort.

*Weiterführende Informationen zu NIST und den Minimalstandards von NCSC.