Text und Redaktion. Dagmar Lange, SAGeG, Chemnitz. Prof. Dr.-Ing. habil. Günther Neef, PROREC Gesellschaft für Ingenieurdienstleistungen mbh, Chemnitz

Transkript

1

2 Text und Redaktion Dagmar Lange, SAGeG, Chemnitz Prof. Dr.-Ing. habil. Günther Neef, PROREC Gesellschaft für Ingenieurdienstleistungen mbh, Chemnitz Dr.-Ing. habil. Harald Keßler, PROREC Gesellschaft für Ingenieurdienstleistungen mbh, Chemnitz Grafische Konzeption und Gestaltung Peter Heidrich, PROREC Gesellschaft für Ingenieurdienstleistungen mbh, Chemnitz Stand: Dezember 2010

3 Vorbemerkungen E-Geschäftsprozesse in KMU und Handwerk Geschäftsprozesse im Unternehmen E-Geschäftsprozesse mit Unternehmen und Behörden Sichere Informations-Infrastruktur Sicherer Datenaustausch Datenaustausch im Unternehmen Datenaustausch über Unternehmensgrenzen hinweg Lösungsansatz Grafische Darstellung von E-Geschäftsprozessen Zielgruppenorientiertes Beispiel Referenzbeispiel für einen Unternehmensbereich Praxisbeispiele Beispiel 1 Wareneingang Beispiel 2 Fertigung Beispiel 3 Fertigung/Auslieferung Checklisten Fazit: Sichere Geschäftsprozesse Informationen und Literatur Anhang... 42

4 4 Vorbemerkung IT-Sicherheit ist ein Begriff, der in den vergangenen Jahren gerade für kleine und mittlere Unternehmen einen hohen Stellenwert erhalten hat. Gibt es doch kaum noch ein Unternehmen, und ist es noch so klein, dass ohne Computer, Mobiltelefon oder Verbindung zum Internet seine Geschäftstätigkeit ausüben kann. Der Umfang an Daten, die nicht mehr oder nicht mehr nur in Papierform abgelegt und ausgetauscht werden, hat sich vervielfacht und wird sich weiter erhöhen. Für Unternehmen jeder Größe sind die sichere Speicherung ihrer Daten aber auch deren ständige und schnelle Verfügbarkeit mit dem Erfolg der Geschäftstätigkeit verbunden. Für das Management von IT-Sicherheit in Unternehmen und Behörden wurde die Normenreihe ISO entwickelt. Die Anwendung dieser Normenreihe ist geeignet, bestmögliche Informationssicherheit zu gewährleisten und diese eventuell zertifizieren zu lassen. Die Norm DIN ISO/IEC (InformationssicherheitsManagementsysteme, Anforderungen) enthält die formale Spezifikation und die normativen Anforderungen an die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines Informationssicherheits-Managementsystems. Die internationale Norm ISO ist mit ISO 9001 (Qualitätsmanagementsysteme) und ISO (Umweltmanagementsysteme) abgestimmt worden, um die konsistente und integrierte Umsetzung und Durchführung mit verwandten Managementsystemen zu unterstützen. Für viele kleine und kleinste Unternehmen wird es in naher Zukunft aus personeller und finanzieller Sicht nicht möglich sein, das Vorgehen nach der genannten Normenreihe vollständig umzusetzen. Während typische technische Vorsorge (wie Virenscanner, Firewall, Backup der Daten) schon jetzt zum allgemeinen Sicherheitsstandard auch in kleinen Unternehmen gehört, besteht oftmals Unkenntnis darüber, wie mit geringem Aufwand Gefährdungen der eigenen Informationsprozesse erkannt werden können und, wo es dringend erforderlich ist, Maßnahmen anzusetzen sind, um bestehende Gefährdungen zu minimieren. In dieser Broschüre wird an praktischen Beispielen demonstriert, wie aus der Kenntnis der individuellen Geschäftsabläufe von kleinen Unternehmen mögliche Gefährdungen der IT-Sicherheit erkannt und Gegenmaßnahmen abgeleitet werden können. Das Grundprinzip besteht darin, die Zusammenhänge zwischen Geschäftsprozessen und notwendiger IT-Sicherheit zu erkennen, um Maßnahmen zur Sicherung der eigenen Geschäftstätigkeit zu erzeugen. Es können hier nur Denkanstöße gegeben werden, da jedes Unternehmen durch seine individuellen Geschäftsprozesse geprägt ist. Für ausgewählte, abgrenzbare Teilprozesse sind jedoch auch zu verallgemeinernde Regeln zu finden.

5 E-Geschäftsprozesse in KMU und Handwerk 5 Jeder Unternehmer organisiert seine Geschäftstätigkeit nach den Erfordernissen, die am Markt vorzufinden sind. Dabei spielen Branchen- und Produkteigenheiten eine nicht zu unterschätzende Rolle. Ein weiterer wichtiger Gesichtspunkt für die Ausgestaltung der Geschäftsprozesse ist der Grad der Arbeitsteilung, also die Frage, ob das Unternehmen in eine Produktionskette eingebunden ist oder Produkte und Leistungen mit nur geringen Einflüssen von außerhalb erzeugt werden. Administrative und gesetzliche Ansprüche an die Geschäftstätigkeit gelten zwar für jedes Unternehmen gleichermaßen und der Unternehmer ist für deren Umsetzung verantwortlich, jedoch gibt es auch hier Unterschiede im Grad der erforderlichen Umsetzung und in der Art und Weise der Umsetzung. Es gibt viele Veröffentlichungen, die unternehmensinterne Geschäftsprozesse mit dem Ziel der Optimierung beschreiben. Dabei spielt die Nutzung der Computertechnik mit verschiedenen Anwendungen (Computerprogrammen) eine immer größere Rolle. Diese Anwendungen wurden in ihrer Entstehungsphase durch ihre Funktionalität geprägt, das heißt, ein Trend zur Vereinheitlichung von Geschäftsabläufen war erkennbar. Moderne Programme unterstützen die individuelle Prozessgestaltung und beachten auch die Anforderungen an die Informationssicherheit immer besser. Neben der Nutzung dieser Anwendungen sind weitere Maßnahmen notwendig, die durch infrastrukturelle Vorkehrungen der Informationstechnik und die Organisation im Unternehmen die erforderliche Informationssicherheit garantieren. Eine Forderung zur Informationssicherheit steht außer Frage: Es darf keinen Totalverlust irgendwelcher Geschäftsdaten geben. Dafür sind sowohl technische als auch organisatorische Vorkehrungen zu treffen. Abbildung 1: Beispiele für Geschäftsprozesse innerhalb eines Unternehmens Jeder Unternehmer hat besonders seine Kernprozesse (z. B. Konstruktion, Fertigung, Logistik) im Auge, die planmäßig ablaufen müssen und im Wertschöpfungsprozess die entscheidende Rolle spielen. Aber auch die Unterstützungsprozesse als Querschnittsaufgaben (Personal- und Finanzmanagement oder IT-Management) stellen an die Informationsverarbeitung und damit Sicherheit der Daten besondere Anforderungen.

6 6 E-Geschäftsprozesse mit Unternehmen und Behörden Abbildung 2: Auswahl an Geschäftsprozessen gegliedert nach Führungsprozessen, Kernprozessen und Unterstützungsprozessen Ein Merkmal der in Abbildung 2 dargestellten typischen Prozesse ist deren Verknüpfung mittels Daten, wobei die Verknüpfung selbst durch die Mitarbeiter des Unternehmens herbeigeführt wird. Diese nicht dargestellten Verbindungen stellen jedoch, wie im Weiteren gezeigt wird, das entscheidende Bindeglied zwischen Geschäftsprozess und IT-Sicherheit dar. Unternehmen sind über den Austausch von Geschäftsdaten auf unterschiedliche Weise mit Geschäftspartnern und Behörden verbunden. Der Anteil der auszutauschenden Daten, der auf elektronischem Weg erfolgt, ist in den vergangenen Jahren stetig angestiegen und dieser Trend wird sich fortsetzen. Der meiste Datenverkehr entsteht zu Lieferanten und Kunden sowie Behörden und Dienstleistern, die Finanzleistungen bearbeiten. Die Nutzung des Internets mit seinen Diensten und WWW hat sich als Basistechnologie für den schnellen Datenaustausch entwickelt. Internet und sind jedoch Basistechnologien, die selbst unsicher sind. Ein Wandel dieser Technologien ist in Ansätzen erkennbar, sodass Sicherheitsverfahren auf diese Technologien aufgesetzt werden, wobei deren Vielfalt für den Anwender erschreckend groß ist. Abbildung 3: Typische Geschäftsprozesse außerhalb des Unternehmens

7 Sichere Informations-Infrastruktur 7 Die Informations-Infrastruktur, die heute in Handwerksbetrieben bis zu mittleren Unternehmen vorhanden ist, kann vom einfachen Personal Computer mit Drucker und Internetanschluss bis zu komplexen Netzwerken mit Servern und redundanten Speicherkomponenten reichen. Abhängig ist dieser Zustand vom Geschäftsfeld und von der Komplexität der Geschäftstätigkeit. Firewall Abbildung 4: der typische IT-Einzelarbeitsplatz Entsprechend verschiedene Varianten sind auch bezüglich der Betreuung der Informationstechnik zu finden. Diese reichen von der Betreuung durch externe Dienstleister bis zur Betreuung durch einen eigenen Administrator bzw. IT-Abteilung. Aus dieser Situation ergibt sich ein sehr unterschiedlicher Wissensstand zu den Fragen der IT-Sicherheit in den Unternehmen. Abbildung 5: das kleine Büro Erfahrungen zeigen, dass die in dieser Broschüre gezeigte Methodik Geschäftsprozess und Informationssicherheit in ihrem Zusammenhang zu sehen, es Geschäftsführungen und Leitungspersonal auf der einen und auf der anderen Seite IT-Verantwortlichen ermöglichen, eine gemeinsame Verständigungsbasis (Sprache) zu finden.

8 8 Sichere Informations-Infrastruktur Im Folgenden werden ausgewählte Mindestanforderungen an Technik und Organisation zur Sicherung der Geschäftsprozesse benannt: Halten Sie Betriebssystem und Anwendungsprogramme durch zeitnahes Einspielen von SicherheitsPatches und neuen Versionen auf einem aktuellen Stand. Der Einsatz aktueller Virenschutzprogramme ist ein Muss. Arbeiten Sie nicht mit Administrator-Rechten. Angreifer haben sonst ein leichteres Spiel. Sichern Sie Ihre Datenbestände regelmäßig und üben Sie auch das Rückspielen. In Anhängen von und auf WEB-Seiten kann sich Schadsoftware verbergen. Vertrauen Sie nicht nur Ihrem Virenscanner, sondern öffnen Sie unbekannte bedenkliche Datenquellen nicht. Für vernetzte Arbeitsplätze in kleinen Unternehmen gelten zusätzlich folgende Hinweise: Vergeben Sie die Rechte im Netzwerk so, dass die Beschäftigten nur Zugriff auf zugeteilte Daten und Programme haben. Regeln Sie bereits bei der Einstellung von Mitarbeitern die Rechte zur Nutzung der IT-Infrastruktur und des Internets. Passworte sind zwar lästig, bieten jedoch einen Schutz, um Angriffe zu verzögern. Mobile Datenträger haben die Bürowelt erobert. Sie stellen ungeschützt eine ständige Gefahrenquelle für den Verlust von Daten durch Diebstahl dar. Mobile Datenträger sind geeignet, nahezu unbeobachtet Schadprogramme auf einen Computer zu spielen. Eine sichere Informations-Infrastruktur ist heute Grundlage für sichere Geschäftsprozesse.

9 Sicherer Datenaustausch 9 Der Austausch von Daten ist eine Grundfunktion in jedem Geschäftsprozess. Daten sicher auszutauschen ist kein triviales Problem, sondern ein sehr umfangreiches und komplexes Vorhaben für jedes Unternehmen. Die Redewendung Das lag aber am Programm. kennt jeder, ist aber symptomatisch für Unsicherheiten der Informationsverarbeitung in der Geschäftstätigkeit allgemein. Um Gefährdungen und möglichen Gegenmaßnahmen zu erkennen, ist es sinnvoll, strukturiert vorzugehen und in einem ersten Gliederungsschritt zwischen Datenaustausch innerhalb des Unternehmens und Datenaustausch zu Geschäftspartnern und Behörden außerhalb des Unternehmens zu unterscheiden. Viele kleine und mittlere Unternehmen vertrauen ihren Mitarbeitern. Deshalb werden entlang des Geschäftsprozesses häufig den Mitarbeitern mit Bürotätigkeit maximale Rechte für den Zugriff auf Geschäftsdaten eingeräumt. Begründungen dafür sind die notwendige Flexibilität der Mitarbeiter sowie der geringere administrative Aufwand zur Pflege der Daten. Häufig ist in kleinen Unternehmen die Situation so, dass ein und derselbe Mitarbeiter in verschiedenen Rollen Zugriff auf die Datenbestände erhalten muss. Technisch ist dann in der Regel ein Fileserver im Einsatz, dessen Verzeichnisse mehr oder weniger gut strukturiert sind. Für den Notfall ist oftmals eine Backup-Lösung mit unterschiedlichen Speichermedien vorhanden. Dass relativ wenige Schadensfälle in Form von Datenveränderungen oder verlusten bekannt werden, ist vor dem Hintergrund zu sehen, dass viele Mitarbeiter mit gespeicherten Daten wirklich sehr umsichtig umgehen, aber auch, dass derartige Vorfälle nur selten an die Öffentlichkeit geraten. Tritt jedoch tatsächlich ein Schaden ein, dann ist der Aufwand für die Schadensbeseitigung oft erheblich groß. Unternehmen, die dieser Gruppe zuzuordnen sind, sind oftmals auch solche, die sich noch keine generellen Gedanken zur Optimierung ihrer Geschäftsprozesse mithilfe der möglichen Computeranwendungen gemacht haben oder machen konnten. Abbildung 6: Beispiel für Datenaustausch innerhalb und außerhalb des Unternehmens Abbildung 7: Lose gekoppelte Geschäftsprozesse Im genannten Fall ist der Datenaustausch zwischen den Geschäftsprozessen lose gekoppelt (siehe Abbildung 7). Das bedeutet, Dateien werden von verschiedenen Mitarbeitern geöffnet, verändert und wieder gespeichert. Es ist dabei nicht ausgeschlossen, dass verschiedene Versionen einer Datei an verschiedenen Orten (Ordnern) gespeichert werden. Datenverluste, Missverständnisse und Verzögerungen können nicht ausgeschlossen werden bzw. sind regelrecht zu erwarten.

10 1 0 Datenaustausch im Unternehmen Zur zweiten Gruppe gehören diejenigen Unternehmen, die komplexe Software zur Rationalisierung ihrer E-Geschäftsprozesse nutzen, seien es ERP-, PPS-, DMS- oder andere Anwendungen. ERP (Enterprise Ressource Planning): Als integrierte, anpassbare Unternehmenssoftware unterstützen ERP-Systeme Kern- und Supportprozesse umfassend von der Produktion über Einkaufs-, Lager- und Verkaufsprozesse bis hin zu Personal- und Rechnungswesenprozessen. Dabei werden die zu verarbeitenden Daten in einer gemeinsamen Datenbasis gehalten. (Becker Jörg, Vering Oliver, Winkelmann Axel: Softwareauswahl und einführung in Industrie und Handel, Berlin Heidelberg New York, Springer-Verlag, 2007, ISBN ) PPS (Produktionsplanung und -steuerung): Ein PPS-System ist ein System aus Computerprogrammen, das den Anwender bei der Produktionsplanung und -steuerung unterstützt und die damit verbundene Datenverwaltung übernimmt. (Hesseler Martin, Görtz Marcus, Basiswissen ERP-Systeme, Herdecke Witten, W3L-Verlag, 2007, ISBN ) DMS (Dokumenten Management System): Das Dokumenten-Management umfasst dabei alle Prozesse, Abläufe und Verantwortlichkeiten, die mit der Administration von Dokumenten zusammenhängen. (Götz Klaus, Schmale Ralf, Maier Berthold, Komke Torsten, Dokumentenmanagement, 4. Auflage, Heidelberg, dpunkt.verlag, 2008, ISBN ) Die E-Geschäftsprozesse sind dann bezüglich der verarbeiteten Daten stark gekoppelt (siehe Abbildung 8). Die Mitarbeiter greifen entsprechend ihrer sinnvoll eingeschränkten Rechte auf eine gemeinsame Datenbasis zu. In der Regel sind das Datenbanken, auf welche die genannten ERP-, PPS- oder DMS-Anwendungen aufsetzen und gemeinsam zugreifen. Bei Einsatz der genannten Anwendungen wird das Unternehmen zur Durchsetzung eines straffen Rollenund Rechtemanagements hingeführt, nachdem die Geschäftsabläufe analysiert und strukturiert wurden. Der Antrieb zu dieser Handlungsweise entsteht im Unternehmen selbst aus Rationalisierungsgründen, aber auch immer häufiger durch die Mitgliedschaft in Lieferketten oder Unternehmensnetzwerken. Abbildung 8: Starke gekoppelte Geschäftsprozesse

11 Datenaustausch im Unternehmen 1 1 Bereits in kleinen Handwerksbetrieben wird häufig ein Standard-Warenwirtschaftssystem eingesetzt, um die verschiedenen Schreibtisch -Aufgaben zu vereinfachen. Dabei werden nicht immer alle in Abbildung 9 dargestellten Funktionen auch genutzt, sondern nur diejenigen, die für das Unternehmen zutreffend sind. Abbildung 9: Geschäftsprozesse um ein Warenwirtschaftssystem Die Daten innerhalb eines Unternehmens liegen derzeit in der Regel unverschlüsselt vor. Noch immer werden die Gefährdungen, die damit verbunden sind, unterschätzt. Ist doch das Ausspionieren von Daten nicht nur eine theoretische Möglichkeit, um einem Unternehmen einen Schaden zufügen zu können. Unabhängig von der Größe des Unternehmens zeigen Erfahrungen, dass Geschäftsdaten nur sicher sind, wenn sowohl die Organisation im Unternehmen geordnet wurde, die Infrastruktur auf einem aktuellen Stand gehalten wird und alle Mitarbeiter das notwendige Wissen über IT-Sicherheit besitzen. Abbildung 10: schäftsdaten Grundlegende Anforderungen an sichere Die Kenntnisse über die Geschäftsprozesse im Unternehmen, die darin beteiligten Mitarbeiter und die verarbeiteten Daten ermöglichen es, Lösungen für eine sichere Datenverarbeitung zu schaffen. Ge-

12 1 2 Datenaustausch über Unternehmensgrenzen Unternehmen sind mit anderen Unternehmen oder Behörden verbunden, sodass externe E-Geschäftsprozesse ablaufen. Der dafür notwendige Datenaustausch erfolgt stetig wachsend auf elektronischem Wege. Kunden- und Lieferantenbeziehungen, Beziehungen zu Unterauftragnehmern aber auch Service- oder Supportleistungen stellen eine Auswahl dieser Beziehungen dar und sind Teile des Geschäftsprozesses. Die sichere Übertragung der dafür notwendigen Daten hat viele Facetten, die zu beachten sind. Noch mehr als im internen Datenverkehr spielen die Forderungen nach IT-Sicherheit im Datenverkehr über Unternehmensgrenzen hinweg eine Rolle, weil die Nichtbeachtung zu juristischen Verwicklungen aber auch erheblichen finanziellen Verlusten führen kann. Die aus Gesetzen, Anordnungen und für die Branche spezifischen Regeln begründeten Anforderungen an Unternehmen steigen ständig. Gerade für kleine Unternehmen ist es kaum möglich, alle Anforderungen an Compliance umzusetzen, obwohl auch hieraus Forderungen an die sichere Verarbeitung und Langzeit-Speicherung von Daten entstehen. Abbildung 11: Datendiebstahl eine unterschätzte Gefährdung Der Begriff Compliance (deutsch: Regelüberwachung) bezeichnet die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Darüber hinaus soll die Übereinstimmung des unternehmerischen Geschäftsgebarens auch mit allen gesellschaftlichen Richtlinien und Wertvorstellungen, mit Moral und Ethik gewährleistet werden. (Wikipedia )

13 Datenaustausch über Unternehmensgrenzen 1 3 Beispielsweise können Gefährdungen für den Geschäftsablauf entstehen, wenn Bestell- oder Lieferdaten nicht fristgerecht, mit gefälschten Mengenangaben oder auch an die falsche Adresse in einer gerichtet werden. Auch in diesem Fall sind technische Lösung, Personalund Unternehmensorganisation nicht voneinander zu trennen. Wir wissen heute, dass keine technische Lösung mit vernünftigem Aufwand zu installieren ist, die absolute Datensicherheit garantieren kann. Um so mehr muss der Unternehmer erwarten, dass seine Mitarbeiter das notwendige Wissen über sicheren Datenaustausch besitzen und dieses auch anwenden. Unterstützend haben sich dabei eindeutige Organisationsanweisungen zum Datenaustausch erwiesen, die von allen Mitarbeitern zu befolgen sind. Abbildung 12: Verbesserung der rechtlichen Situation beim Datenaustausch nach außen Beispielsweise soll eine Anweisung zur Nutzung von folgende Elemente enthalten: Private Nutzung von im Unternehmen Angaben, die eine gesendete enthalten muss Verzeichnisse, in denen eingehende und gesendete zu speichern sind Vertretungsregelung Nutzung des firmeninternen Adressverzeichnisses Signatur und Verschlüsselung des Inhalts Durch die Kenntnis der Schnittstellen der Geschäftsprozesse nach außen erhält das Unternehmen die Möglichkeit, einen sicheren Datenaustausch zu organisieren.

14 1 4 Lösungsansatz Im Verbundprojekt Sichere E-Geschäftsprozesse in KMU und Handwerk des Netzwerkes elektronischer Geschäftsverkehr (NEG) wurde der folgend dargestellte Ansatz zur Erhöhung der IT-Sicherheit in kleinen und mittleren Unternehmen erfolgreich erprobt. Unternehmer und ihre verantwortlichen Angestellten haben ein begrenztes Zeit- und Finanzbudget. Der Prozess des Verbesserns der IT-Sicherheit im Unternehmen wird sich über einen größeren Zeitraum erstrecken. Unter Beachtung dieser praktischen Erfahrung ist ein schrittweises Vorgehen mit planbaren Teilzielen von Beginn an zu wählen. In Abbildung 13 werden die 3 Hauptphasen dieses Prozesses dargestellt. Abbildung 13: Hauptphasen der Vorgehensweise

15 Lösungsansatz 1 5 Folgende Vorgehensweise hat sich in der Praxis als tauglich erwiesen: Die Geschäftsführung für die Problemlösung sensibilisieren Workshop mit der Geschäftsführung und den Wissensträgern durchführen Die Geschäftsprozesse gemeinsam mit den im Unternehmen Verantwortlichen aufnehmen Die Datenverarbeitung besonders herausarbeiten Darstellen der Geschäftsprozesse Gefährdungen aufzeigen Maßnahmen ableiten Maßnahmen umsetzen Zu 1. Die Geschäftsführung für die Problemlösung sensibilisieren Die meisten Geschäftsführungen sehen in der Verbesserung der Informationssicherheit für ihr Unternehmen eine wichtige Aufgabe, sind aus Unkenntnis der Vorgehensweise jedoch daran gehindert, diesen Prozess in Gang zu setzen bzw. zu überwachen. Hilfreich ist ein Anschub von außen. Zu 2. Workshop mit der Geschäftsführung und den Wissensträgern durchführen Die rechtzeitige Einbindung der Wissensträger in den gesamten Sicherheitsprozess ist notwendig, um ein Scheitern zu verhindern. Zu 3. Die Geschäftsprozesse gemeinsam mit den im Unternehmen Verantwortlichen aufnehmen Wurden die Geschäftsprozesse noch nicht erfasst, ist eine Erfassung durch die Wissensträger im Unternehmen erforderlich. Wurde z. B. bereits eine Zertifizierung nach ISO 9000 erlangt, sind diese Prozesse schon dargestellt worden. Eine feingranulare Erfassung ist dabei nicht notwendig (siehe auch die nachfolgenden Beispiele). Zu 4. Die Datenverarbeitung besonders herausarbeiten In Erweiterung zur Darstellung in ISO 9000 ist die Datenverarbeitung besonders herauszuarbeiten (siehe auch dazu die nachfolgenden Beispiele). Zu 5. Darstellen der Geschäftsprozesse Die textuelle und grafische Beschreibung der Geschäftsprozesse ist eine wesentliche Grundlage für Sicherheit und Optimierung. Zu 6. Gefährdungen aufzeigen Um die Gefährdungen im Geschäftsprozess zu erkennen, ist spezielles Wissen erforderlich. Häufig wird dazu der Administrator oder das dienstleistende Unternehmen beauftragt. Als Alternative sollte aber auch die Beauftragung eines unabhängigen Experten in Betracht gezogen werden. Die Grundschutzkataloge des BSI enthalten viele diesbezügliche Informationen. Wegen des großen Umfangs entsteht jedoch ein großer Aufwand bei der Nutzung. Zu 7. Maßnahmen ableiten Es gilt hier das Gleiche, wie unter 6. dargestellt. Zu 8. Maßnahmen umsetzen Für die Umsetzung der Maßnahmen ist unter Abschätzung personeller und finanzieller Aufwände eine Prioritätenliste zu erstellen. Die Durchführung ist eine Aufgabe des Administrators oder des betreuenden IT-Dienstleisters. Die Kontrolle dabei ist natürlich wiederum Aufgabe der Geschäftsführung.

16 1 6 Grafische Darstellung von E-Geschäftsprozessen Wir nutzen einfache grafische Darstellungsmöglichkeiten für Geschäftsprozesse. Falls im Unternehmen bereits eine Zertifizierung nach ISO 9000 ff. (Qualitätsmanagementnorm) stattgefunden hat, dann wurden die Geschäftsprozesse bereits in erarbeiteten Dokumenten dargestellt. Diese können und sollten wieder genutzt werden. Sollen E-Geschäftsprozesse im Zusammenwirken mit der IT-Sicherheit dargestellt werden, dann sind es folgende Grundelemente, die in ihrem Zusammenwirken zu modellieren sind: Die Ereignisse und Aktivitäten im Geschäftsprozess Die Mitarbeiter oder Organisationseinheit, die diese Schritte ausführen Die Daten, die bearbeitet werden, und IT-Systeme Die Speicherorte dieser Daten Abbildung 14: Schritte zur Modellierung von Geschäftsprozess und Informationssicherheit In den nachfolgenden grafischen Darstellungen werden die in Abbildung 15 dargestellten Symbole verwendet: Abbildung 15: Verwendete Symbole zur Darstellung von Geschäftsprozessen

17 Grafische Darstellung von Geschäftsprozessen 1 7 Die folgende Abbildung 16 zeigt beispielhaft ein einfaches Szenario aus einem Geschäftsablauf am Beispiel eines Rechnungseingangs, wobei die Bedingungen aus Gründen der schnellen Überschaubarkeit sehr einfach gestaltet sind. Abbildung 16: Ausschnitt aus einem Geschäftsablauf Eingehende Rechnungen werden z. B. im Sekretariat gescannt und auf einem Fileserver abgelegt. Danach erfolgt die Rechnungsprüfung und bei korrekter Rechnungslegung der Bezahlvorgang per Online-Banking. Ausgeführt werden die Aktivitäten durch die Organisationseinheit Buchhaltung, in der verschiedene Mitarbeiter gleiche Rechte besitzen können.

18 1 8 Grafische Darstellung von Geschäftsprozessen Die folgende Abbildung 17 zeigt den gleichen Ausschnitt erweitert um mögliche Gefährdungen, die während der Aktivitäten eintreten können. Abbildung 17: Ausschnitt aus einem Geschäftsablauf mit dargestellten Gefährdungen Datenverluste bzw. veränderungen sind mögliche Szenarien. Beim Online-Banking müssen auch die Gefährdungen erkannt werden, die außerhalb des Unternehmens ihre Ursache haben können. Beispielhaft sind das unsichere Verbindung zur Bank durch die offene Internetverbindung und die Gefahr des Phishing.

19 Grafische Darstellung von Geschäftsprozessen 1 9 In einem nächsten Schritt sollen Maßnahmen gegen die erkannten Gefährdungen beschrieben werden, um daraus den erforderlichen Handlungsbedarf abzuleiten. Abbildung 18: Ausschnitt aus Geschäftsprozess mit Maßnahmen Als Maßnahmen gegen Datenverlust bzw. veränderung wurde in diesem Fall ein häufigeres Backup vorgeschlagen. Um gegen Phishing besser vorbereitet zu sein, wurde vorgeschlagen die Mitarbeiterschulung zu verbessern, wobei besonders das Erkennen der sicheren SSL-Verbindung durch Symbole im Internetbrowser geschult werden soll.

20 2 0 Grafische Darstellung von Geschäftsprozessen Backup bezeichnet das teilweise oder vollständige Kopieren der in einem Computersystem vorhandenen Daten auf ein anderes Speichermedium oder auf ein anderes Computersystem. Versionsmanagement ist ein System, das zur Erfassung von Änderungen an Dokumenten oder Dateien verwendet wird. Alle Versionen werden in einem Archiv mit Zeitstempel und Benutzerkennung gesichert und können später wieder hergestellt werden. SSL (Secure Sockets Layer) ist ein Netzwerkprotokoll zur sicheren Übertragung von Daten u. a. von Internetseiten. Phishing werden Versuche genannt, über gefälschte WWW-Adressen an Daten eines Internet-Benutzers zu gelangen.

21 Zielgruppenorientiertes Beispiel 2 1 Am Beispiel eines Außendienstmitarbeiters, der die Inbetriebnahme einer Maschine bei einem Kunden vornimmt, wird das Vorgehen dargestellt. Abgeleitet aus den allgemeinen dargestellten Geschäftsabläufen kann auch für spezielle Mitarbeiter oder Rollen diese Vorgehensweise genutzt werden. Typische Inbetriebnahmetätigkeiten (Aktionen) sind (siehe Abbildung 19): Das Anzeigen von Zeichnungen einer in Betrieb zu nehmenden Maschine auf dem Laptop, die dort gespeichert sind, beim Kunden vor Ort Das Überspielen von Programmcode vom Laptop oder Speicherstick in die Steuerung der Maschine Das Herunterladen von geändertem Programmcode aus der Datenbank des eigenen Unternehmens auf den Laptop über das Internet Das Speichern von Auftragsdaten (Wartezeit, Arbeitszeit, verbrauchtes Material usw.) des Außendienstmitarbeiters in die Datenbank des Unternehmens Abbildung 19: Tätigkeiten, abgeleitet aus den Geschäftsabläufen am Beispiel eines Außendienstmitarbeiters

22 2 2 Zielgruppenorientiertes Beispiel In der folgenden Darstellung sind mögliche Gefährdungen rot dargestellt. Im Beispiel ist erkennbar, dass Gefährdungen insbesondere bei der Nutzung von Laptop und Speicherstick sowie der Datenübertragung über das Internet entstehen können. Abbildung 20: Zusätzliche Darstellung der Gefährdungen

23 Zielgruppenorientiertes Beispiel 2 3 Beispielhafte Lösungsansätze (siehe Abbildung 1) sind Verschlüsselung, Installation eines VPN (Virtual private network) sowie die Einschränkung der Nutzerrechte auf die Datenbanken, wenn von außerhalb des Unternehmens auf Datenbestände zugegriffen wird. Abbildung 21: Erweitert, um Maßnahmen gegen die erkannten Gefährdungen Eine Sichtweise auf die E-Geschäftsprozesse aus Sicht des einzelnen Mitarbeiters oder seiner Funktion im Geschäftsprozess kann Lösungsansätze für die Verbesserung der IT-Sicherheit im Unternehmen aufzeigen.

24 2 4 Referenzbeispiel für einen Unternehmensbereich Eine besondere Bedeutung besitzen die Aufgaben des Administrators bzw. der IT-Abteilung bei der Analyse der Geschäftsprozesse. IT-Management ist ein Unterstützungsprozess für jedes Unternehmen. Das Unternehmen besitzt dafür eigene Ressourcen (Administrator) oder es beauftragt einen kompetenten Dienstleister. Das Aufgabenspektrum ist vielgestaltig und verantwortungsvoll. Die folgende Abbildung zeigt beispielhafte Aufgaben der Administration und deren Ressourcen. Abbildung 22: Aufgaben, die im Zuständigkeitsbereich eines Administrators liegen

25 Referenzbeispiel für einen Unternehmensbereich 2 5 Das schwerwiegendste Risiko für das Unternehmen entsteht dann, wenn der Administrator ausfällt. Abbildung 23: Gefährdung und Maßnahmen für den IT-Prozess In Abbildung 23 ist auch die wichtigste Maßnahme gezeigt, die gegen dieses Risiko wirken kann, nämlich die Verpflichtung den gesamten IT-Prozess zu dokumentieren. Auch wenn das eine ungeliebte und häufig vernachlässigte Aufgabe ist, muss immer wieder daran erinnert werden.

26 2 6 Praxisbeispiele Es folgen drei Beispiele aus kleinen Unternehmen und Handwerksbetrieben. Folgende Dienstleistungen werden durch das Unternehmen angeboten: Aus Übersichtlichkeitsgründen wurde die Beschreibung der Prozesse nur bis zu einer vertretbaren Tiefe vorgenommen. Beratungsleistungen zur Erarbeitung von Lösungsansätzen Planungs- und Projektierungsarbeiten Forschungs- und Entwicklungsleistungen Softwareentwicklung Installation und Montage von Hardwarekomponenten Wartungs- und Reparaturarbeiten sowie Serviceleistungen Ebenso wurden nicht alle Gefahren und Maßnahmen beschrieben, die in den Unternehmen erkannt wurden. Viel mehr soll die Methodik des Vorgehens dargestellt werden. Dazu ist die gewählte Feingliedrigkeit der gewählten Prozessdarstellung ausreichend. Folgende Prozesse konnten in diesem Unternehmen als die wesentlichen erkannt werden: Firmenbeschreibung Das betrachtete Unternehmen mit ca. 20 Mitarbeitern wurde 1990 als Entwicklungs- und Vertriebsunternehmen für Gerätetechnik gegründet. Es definiert sich heute als Systemhaus für Mess-, Steuerungs- und Automatisierungstechnik. Inhalt der Tätigkeit ist die Ausführung von Lieferungen und Leistungen zur Lösung von Automatisierungsaufgaben mit dem Ziel der Erhöhung von Produktivität, Effizienz, Qualität und Sicherheit. Das Unternehmen ist Hersteller spezifischer Messgeräte und -lösungen für Wartungsdienste. Abbildung 24: Geschäftsprozesse im Unternehmen Es werden Systemlösungen in Einheit von Projektierung, Programmierung, Lieferung, Installation, Schulung und Wartung angeboten. Sie umfassen sowohl Entwicklungsarbeiten als auch Dienstleistungen sowie den Vertrieb von Produkten anderer Hersteller. Produkte sind z. B.: Industrie-Computer - Systeme & -Komponenten Software Entwicklungssysteme SPS- & PAC-Steuerungen Messtechnik Als Beispiel haben wir hier den Teilprozess des Wareneingangs ausgewählt. Dieser ist Bestandteil des Prozesses Projektbearbeitung. Die Wiederholrate von Aufträgen ist sehr gering, sodass die Auftragsdurchführung in Form von Projekten erfolgt. Wegen der Verwendung vieler Zukaufteile hat der Teilprozess Wareneingang für die Qualität der Produkte eine besondere Bedeutung.

27 Beispiel 1 Wareneingang 2 7 In Abbildung 25 wurde dieser Teilprozess vereinfacht dargestellt. Die dabei genutzten Informationssysteme wurden symbolisch eingetragen. Abbildung 25: Teilprozess Wareneingang

28 2 8 Beispiel 1 Wareneingang Im nächsten Schritt (Abbildung 26) erfolgte die Erfassung der Gefahren (rot). Die zwei wichtigsten Gesichtspunkte zur Einschätzung sind: organisatorische Gefährdungen aber auch Gefährdungen durch technische Einflüsse. Beispielhaft wurden genannt: fehlende Qualifikation der Vertretung Phishing Verlust der Verfügbarkeit vorsätzliche oder unbeabsichtigte Veränderung von Daten Als Erfolg versprechende Maßnahmen gegen diese Gefahren werden aufgeführt: Schulung des Personals sicherer Passwortgebrauch und Information der Mitarbeiter über Angriffsszenarien Einrichten einer funktionierenden Backup-Lösung Einführung von Signaturen und Zeitstempeldiensten im Datenverkehr per Abbildung 26: Teilprozess Wareneingang mit Darstellung von Gefahren und Maßnahmen

29 Beispiel 2 Fertigung 2 9 Ein mittelständiges Unternehmen entwickelt, produziert und vertreibt kundenspezifische, präzisions-optische Einzelteile, Komponenten und Geräte für den gesamten optischen Spektralbereich. Die zentrale Administration von Sicherheitsupdates für das Betriebssystem oder Virensignaturen wird vereinfacht und minimiert die täglichen Aufwendungen für den Administrator. Das Produktportfolio des Unternehmens reicht von klassischen Präzisionsoptikkomponenten bis hin zu mikrostrukturierter Optik und komplexen optischen und opto-elektronischen Systemen, die vor allem in den Bereichen Messtechnik, industrielle Bildverarbeitung, Medizin-, Laser- und Weltraumtechnik, in der Halbleiterindustrie sowie in der Sport- und Militäroptik Anwendung finden. Aus Sicht des Unternehmens dominieren die in der Abbildung 27 dargestellten Geschäftsprozesse. Mit ca. 100 Mitarbeitern entwickelt und produziert das Unternehmen auf einer Produktionsfläche von 2500 qm hauptsächlich für Industriekunden, vorwiegend in folgenden Branchen: Messtechnik & industrielle Bildverarbeitung Halbleiterindustrie Feinmechanisch-optischer Gerätebau Foto- & Filmkameratechnik Medizin- & Lasertechnik Militär- & Sportoptik Luft- & Raumfahrt Das Unternehmen hat eine große Anzahl von Computerarbeitsplätzen. Im Zentrum aller geschäftlichen Aktivitäten steht ein ERP-System. An dieser zentralen Stelle erfolgt die Speicherung aller für den Betrieb wichtigen Unternehmensdaten. Das Unternehmen löst viele technische Sicherheitsprobleme dadurch, dass die IT Infrastruktur auf einem möglichst aktuellen Stand gehalten wird. So waren zum Zeitpunkt der Untersuchungen Windows Server 2003 und auf den PC noch aktuelle Windows-Betriebssystem XP im Einsatz. Eine möglichst konforme Hard- und Softwarekonfiguration ermöglicht die Wartung der IT Infrastruktur von zentraler Stelle aus. Abbildung 27: Geschäftsprozesse Unternehmen 2

30 3 0 Beispiel 2 Fertigung Als Beispiel wurde der Teilprozess Fertigung ausgewählt (siehe Abbildung 28) und weiter betrachtet. Auch in dieser Darstellung wurden verschiedene Schritte im Geschäftsablauf vereinfacht dargestellt. Abbildung 28: Ausschnitt aus dem Geschäftsprozess Fertigung Es ist ersichtlich, das im Zentrum der Datenverwaltung des Unternehmens das ERP-System Navision steht. Aller Datenverkehr ist darauf ausgerichtet. Daneben werden jedoch auch verschiedene Dokumente in einer geordneten Verzeichnisstruktur eines Fileservers gespeichert. Aus der Abbildung ist ebenfalls ersichtlich, dass sehr viele Struktureinheiten bzw. Personen des Unternehmens auf diese Daten zugreifen müssen.

31 Beispiel 2 Fertigung 3 1 Abbildung 29: Fertigungsprozess mit Darstellung der Gefährdungen und Maßnahmen

32 3 2 Beispiel 2 Fertigung In der Abbildung 29 wurde der Geschäftsprozess ergänzt durch ausgewählte Gefährdungen und Gegenmaßnahmen. Bei der Analyse des Status quo im Unternehmen wurden folgende Gefährdungen festgestellt: Es wird ein neuer Mitarbeiter für das Ressort Qualitätssicherung eingestellt Die Unterbringung des Servers erfolgt in einem Raum ohne Kühlung Auf dem Fileserver ist ein sehr freizügiges Rechtemanagement eingerichtet Auch hier sind Gefährdungen sowohl aus organisatorischer als auch technischer Richtung erkennbar. Lösungsansätze sind in der Grafik benannt. Für die detaillierte Aufarbeitung dieser Lösungsansätze haben sich die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als effektives Arbeitsmittel bewährt. Nachfolgend sind 3 Quellen (Links) genannt, in denen der Nutzer Lösungen zu den erkannten Problemen findet. Es handelt sich dabei um sog. Bausteine bzw. Maßnahmen. Anforderungen an Serverraum B2.4 Serverraum grundschutz/kataloge/baust/b02/b02004.html Backup M 6.33 Entwicklung eines Datensicherungskonzepts Einweisung Schulung B 1.13 Sensibilisierung und Schulung zur Informationssicherheit Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine in Bonn ansässige zivile obere Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern (BMI), die für Fragen der IT-Sicherheit zuständig ist. Im BSI sind fast 500 Mitarbeiter beschäftigt.

33 Beispiel 3 Fertigung/Auslieferung 3 3 Als drittes Beispiel wurde ein 1914 gegründeter Familienbetrieb gewählt, der mit 11 Mitarbeitern das gesamte Spektrum vom Treppenbau in Holz, Glas und Edelstahl über die Fertigung von Geländeranlagen im Innen- und Außenbereich bis zur Sanierung und Restauration von Treppen und Geländern realisiert. Alle Produkte werden in dem in Ostsachsen ansässigen Handwerksunternehmen ausschließlich von Fachkräften in handwerklicher Arbeit hergestellt. Dies ermöglicht größte gestalterische Freiräume bei der Planung und garantiert ein Höchstmaß an Qualität. Im Unternehmen ist ein Warenwirtschaftssystem im Einsatz, das den Datenaustausch bestimmt. Da dieses Unternehmen aus wenigen Mitarbeitern besteht, werden die aufgeführten Rollen jeweils nur zu einem kleinen Anteil an Arbeitszeit ausgefüllt. Interessant ist, dass gerade durch das kleine Unternehmen bereits viele Funktionen per Internet umgesetzt werden, da für diese Funktionen keine eigenen Ressourcen vorhanden sind. Die Anzahl der IT-unterstützten Prozesse ist ihrem Umfang nach gering (siehe Abbildung 30): Abbildung 30: Geschäftsprozesse in einem Handwerksunternehmen Die Durchdringung der Informationstechnik durch diese Prozesse ist ungeachtet dessen hoch, wie es auszugsweise in der Abbildung 31 dargestellt ist. Abbildung 31: Prozessgestaltung in einem Handwerksbetrieb

34 3 4 Beispiel 3 Fertigung/Auslieferung In Abbildung 32 wurden wiederum beispielhaft verschiedene erkannte Gefährdungen dargestellt: Ungeschützte Serveraufstellung Notwendigkeit ordnungsgemäßer Einträge in das Warenwirtschaftssystem, auch wenn die Eingebenden nur selten damit arbeiten Notwendigkeit hoher Verfügbarkeit des Internets auch im ländlichen Raum Geeignete Maßnahmen lassen sich daraus ableiten: Abbildung 32: Prozessgestaltung in einem Handwerksbetrieb mit Darstellung von Gefahren und Gegenmaßnahmen Einsatz eines Serverschrankes Ständige Weiterbildung der Mitarbeiter Wechsel des Internet-Providers

35 Checklisten 35 Die folgenden Checklisten sollen Anregung dafür sein, das Problem IT-Sicherheit im Unternehmen als wichtige Aufgabe zu verorten. Die Beantwortung der Fragen durch die verantwortlichen Wissensträger im Unternehmen sollte Schwerpunkte zur Minimierung von Risiken durch IT-Angriffe aufzeigen. Wie lange darf die IT-Infrastruktur ausfallen, ohne dass schwerwiegende Schäden für die Geschäftstätigkeit zu erwarten sind? < eine Stunde < 6 Stunden < ein Tag < 3 Tage Welche Geschäftsprozesse in ihrem Unternehmen werden IT-unterstützt? Einkauf Fertigung Konstruktion Arbeitsplanung Vertrieb Service Buchhaltung Qualitätssicherung IT-Management Manuell Teilweise Integriert

36 36 Checklisten Was sind die wichtigsten Gesetze und Regeln, die für das Unternehmen zutreffen? Sind diese geregelt? Trifft zu Ist geregelt Bundesdatenschutzgesetz, 9 BDSG KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) Aktiengesetz, 91 II und 116 AktG GmbH-Gesetz, 43 GmbHG i.v. m. 91 II, 116 AktG Handelsgesetzbuch, 239 Abs. 4 HGB Basel II (Vorschriften des Baseler Ausschusses für Bankensicherheit) Branchenregelungen Wer sind Ihre Hauptlieferanten? Datenaustausch Lieferant Papier Fax Elektronisch Wer sind Ihre Hauptkunden? Datenaustausch Kunde Papier Fax Elektronisch

37 Checklisten 37 Wer sind Ihre Unterauftragnehmer/Kooperationspartner? Elektronischer Datenaustausch? Z. B. Steuerbüro Mit welchen Behörden müssen Sie Daten austauschen? Behörde Datenaustausch Papier Fax Elektronisch Welche Geschäftsprozesse wickelt Ihr Unternehmen nach außen ab? Datenaustausch Geschäftsprozess Z. B. Warenbestellung VPN Shop

38 38 Checklisten Welche Daten tauschen Sie mit externen Partnern aus? Externer Partner Daten Z. B.: Rechnungen LI GmbH Eingehend/ Ausgehend Verschlüsselt E Welche Datenträger bzw. Internet nutzen Sie für den externen Datenaustausch? Daten Datenträger/Internet Z. B.: CAD-Zeichnungen CD Eingehend/ Ausgehend E+A Welche Regelungen gibt es für die Mitarbeiter bezüglich Informationssicherheit? Schriftlich geregelt Beispiel: IT-Sicherheitsbelehrung bei Eintritt in das Unternehmen Ja/Nein X

39 Checklisten 39 Haben Sie folgende Sicherheitsprobleme schriftlich geregelt? Sicherheitsproblem Ja/Nein Nutzung des Internets (WWW, , soziale Netzwerke) Verwendung mobiler Datenspeicher Passwortgebrauch Meldepflicht bei unvorhergesehenen Ereignissen Haben Sie folgende Maßnahmen bereits zufriedenstellend umgesetzt? Maßnahmen Rechtemanagement (Zugang, Zugriff) Zentrales Update- und Patch-Management Backup-Mangement Firewall und Virenschutz Management für mobile Datenträger Schutz zentraler Technik in Serverraum oder Serverschrank Vertretungsregelung Was sind die Gefährdungen, die für Unternehmen kritische Situationen erwarten lassen? Z.B.: Ausfall des Administrators Ja/Nein

40 40 Fazit Sichere E-Geschäftsprozesse benötigen eine sichere IT-Infrastruktur, qualifizierte verantwortungsbewusste Mitarbeiter und geordnete Geschäftsprozesse. Eine systematische Aufarbeitung der E-Geschäftsprozesse eines Unternehmens und des dafür notwendigen Datenverkehrs lässt Gefährdungen und Schwachstellen für die Informations- und Kommunikationssicherheit sichtbar werden. Die in dieser Broschüre verwendete Methodik und grafische Darstellung ermöglicht es, dass Geschäftsführung und verantwortlichen Mitarbeitern auf der einen Seite und Administratoren und IT-Sicherheitsexperten auf der anderen Seite Bezug nehmend auf eine gemeinsame Datenbasis eine gemeinsame Sprache finden. Einbezogen in die gewählte Darstellung werden die Mitarbeiter in ihren Rollen sowie die eingesetzte IT-Infrastruktur. Diese Gemeinsamkeit ist notwendig, um Gefährdungen durch die Informationsprozesse für das Unternehmen zu erkennen und ein gemeinsames Handeln zu deren Beseitigung zu initiieren. Die im Verbundprojekt Sichere E-Geschäftsprozesse in KMU und Handwerk des NEG gesammelten Erkenntnisse zeigen, dass bei einer solchen Herangehensweise auch für die Branchen spezifische Erkenntnisse gewonnen werden können, weil trotz aller Unterschiedlichkeit der E-Geschäftsprozesse in den einzelnen Unternehmen auch Gemeinsamkeiten erkennbar sind. Im Projekt wurde das gesammelte Fachwissen der Grundschutzkataloge des BSI einerseits zur Erkennung von Gefährdungssituationen und andererseits zur Festlegung notwendiger Maßnahmen herangezogen. Zur Darstellung der Prozessabläufe wurde das kostenfreihe Programm ARIS Express 2.2 verwendet. Dieses eignet sich sehr gut für die Anwendung in kleinen Unternehmen. Das Nutzen externer Kompetenzen und die eigene Mitwirkung bei der Veränderung von Geschäftsprozessen können zur Lösung der erforderlichen Sicherheitsanforderungen an die E-Geschäftsprozesse führen. (Konfuzius)

41 IT-Grundschutz-Kataloge des BSI rethemen/itgrundschutzkataloge/itgrundschutzkat aloge_node.html Handlungsanleitungen 2007 bei ecc-handel: en_fuer_ php Handlungsanleitungen 2008 bei ecc-handel: Handlungsanleitungen 2009 bei ecc-handel Studie "Informationssicherheit im Unternehmen 2009": publikationen,did= html PROGRAMM: ARIS Express 2.0 von IDS Scheer AG DIN ISO/IEC 27001

42 42 Anhang Das Verbundprojekt Sichere E-Geschäftsprozesse in KMU und Handwerk des Netzwerks Elektronischer Geschäftsverkehr wird vom Bundesministerium für Wirtschaft und Technologie (BMWi) unterstützt und soll helfen, in kleinen und mittleren Unternehmen mit verträglichem Aufwand die Sicherheitskultur zu verbessern. Das Gesamtprojekt setzt sich neben dieser und zwei weiteren Einsteigerbroschüren insbesondere aus den nachfolgenden Tätigkeiten zusammen: Unter der Überschrift Stammtische IT-Sicherheit wird eine Reihe regionaler Unternehmerstammtische bundesweit etabliert Die kostenfreien Stammtische sind ein Forum für Dialog und Information und bilden eine Plattform für den Austausch von Unternehmern untereinander Die jährlich veröffentlichte Studie Netzund Informationssicherheit in Unternehmen zeigt auf, wie es um die Informationssicherheit in Unternehmen bestellt ist und wie leicht unternehmensfremde Personen an Geschäftsdaten kommen können. Die kompletten Berichtsbände finden Sie zum kostenlosen Download unter: Kostenfreie IT-Sicherheitsratgeber bieten insbesondere KMU neutrale und praxisnahe Hinweise und Tipps, wo Sicherheitslücken bestehen und wie mit ihnen umgegangen werden sollte. Themenschwerpunkte sind u. a. "Basisschutz für den PC", "Sicheres Speichern und Löschen von Daten", uvm. Download unter: Aktuelle und neutrale Informationen zur Informationssicherheit werden Ihnen im Internet auf der Informationsplattform des NEG unter der Rubrik Netz- und Informationssicherheit angeboten:

43 Kompetenzzentren vor Ort 4 3 Wir hoffen, dass Ihnen diese Handlungsanleitung als wertvolle erste Hilfestellung bei der Planung und Durchführung Ihres IT-Sicherheitsprojekts dient. Kompetenzzentrum SAGeG Chemnitz Strasse der Nationen Chemnitz Ansprechpartner: Dagmar Lange Telefon: Fax: langed@chemnitz.ihk.de

44 Das Netzwerk Elektronischer Geschäftsverkehr E-Business für Mittelstand und Handwerk Das Netzwerk Elektronischer Handwerk. Der NEG Website Geschäftsverkehr (NEG) ist eine Award zeichnet jedes Jahr heraus- Förderinitiative ragende des Bundes- Internetauftritte kleinen Technologie. nehmen aus. Informationen zu stützt es Seit kleine 1998 und untermittlere und Nutzung mittleren von ministeriums für Wirtschaft und und Unter- Interesse E-Business-Lösungen und stand und Handwerk bietet die Nutzung von E-Business- Lösungen. jährliche Studie Geschäftsverkehr Beratung vor Ort in an Unternehmen bei der Einführung Mittel- Elektronischer in Mittelstand und Handwerk. Mit seinen 29 bundesweit verteilten Kompetenzzentren infor- Das Netzwerk im Internet miert das NEG kostenlos, neutral Auf und praxisorientiert auch vor Unternehmen Ort im Unternehmen. Es unter- tungsterminen und den Ansprech- stützt Mittelstand und Handwerk partnern in Ihrer Region auch alle durch Beratungen, Informations- Publikationen des NEG einsehen: veranstaltungen Handlungsleitfäden, und Publikati- onen für die Praxis. neben können Veranstal- Checklisten, Studien und Praxisbeispiele geben Hilfen für die eigene Umset- Das Netzwerk bietet vertiefende Informationen zung von E-Business-Lösungen. Kundenbezie- hung und Marketing, Netz-und Fragen Informationssicherheit, Kaufmän- dessen nischer Software und RFID sowie Markus Ermert, Projektträger im E-Billing. Das DLR unter 0228/ oder digitale fördert IT-Kompetenz Diese Broschüre wird vom SAGeG Kompetenzzentrum Elektronischer Geschäftsverkehr im Rahmen des Verbundprojekts Sichere E-Geschäftsprozesse in KMU und Handwerk als Teil der BMWi-Förderinitiative Netzwerk Elektronischer Geschäftsverkehr herausgegeben. zu Projekt von Femme zudem Frauen die im zum Netzwerk Angeboten und beantwortet per