Liebe Kunden,
aus mehreren Gründen möchte ich das Thema IT-Sicherheit etwas ausführlicher ansprechen.
- Um Missverständnisse zu vermeiden.
- Um Stress für alle Beteiligten zu reduzieren.
- Um auf gesetzliche Regelungen hinzuweisen.
Missverständnisse vermeiden
Wir hörten bei manchen Missgeschicken den Satz „Aber wir dachten Sie kümmern sich darum.“ Die letzten Jahre hat es keine Mega-Desaster gegeben, aber den einen oder anderen Datenverlust haben wir gesehen. Die Tatsache, dass regelmäßig Ihre Server-Sicherungen überprüft werden, schließt nicht aus, dass:
· wichtige Daten lokal auf Rechnern liegen.
· Software auf Servern installiert wird von der wir nichts mitbekommen, und die darum nicht gesichert wird.
· die Beschaffung von Ersatzhardware für zentrale Komponenten eine Weile dauern kann.
· Sicherungsmedien lange nicht gewechselt werden.
Stress für alle Beteiligten reduzieren
Zwei Beispiele:
1) Ein defekter Switch legt das Netz komplett lahm. Aber diese Komponenten sind preiswert und auch von Laien austauschbar. Es kann durchaus helfen ein solches Gerät in Reserve zu halten.
2) Ein Arbeitsplatz-PC mit der Buchhaltungssoftware hat einen Festplattenausfall. Eine neue wird eingebaut, Windows und alle Programme sollen neu installiert werden. Zum Teil fehlen Datenträger und Lizenzschlüssel, die Neuinstallation zieht sich und wird recht teuer. Ein Klon dieses Rechners oder zumindest gut dokumentierte Software hätte die Situation für alle Beteiligten vereinfacht.
Gesetzliche Regelungen
Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) anzuwenden. In weiten Teilen werden damit bisherige Regelungen des deutschen Bundesdatenschutzgesetzes weitergeführt, aber es gibt auch einige Änderungen. So wird in Artikel 5 eine Rechenschaftspflicht über die IT-Sicherheit festgelegt:
Das bedeutet konkret, wenn es irgendeine Panne gibt bei der Daten verschwinden (und z.B. bei der Betriebsprüfung da sein sollten) oder in die falschen Hände geraten (das Notebook mit den vertraulichen Emails ist weg) entscheidet möglicherweise die Dokumentation der IT-Sicherheit über den Unterschied zwischen leicht und grob fahrlässig.
Was ich dazu anbieten kann:
Wir erstellen zusammen:
- Eine umfangreiche Dokumentation mit EDV-Inventur
- Eine Risikoanalyse
- Einen Notfallplan
- Einen Datensicherungsplan
Umfangreiche Dokumentation bedeutet
zusätzlich zu den bei mir hinterlegten Informationen:
- Einen Raumplan mit den Standorten aller IT-Geräte zu haben
- Eine Übersicht der verwendeten Software, Lizenzen und der Datenspeicherorte zu haben.
- Raumplan mit nummerierten Orten und Geräten
- Tabelle mit Hard- und Software
Risikoanalyse
- Beantwortet die Frage, welche Auswirkungen der Ausfall jeder Komponente hat.
- Wir erstellen zusammen eine Tabelle mit Geräten, Software und den Auswirkungen bei Ausfall.
Notfallplan
- Beantwortet die Frage, wie kann der Ausfall jeder Komponente aufgefangen werden?
- Wir erstellen zusammen eine Tabelle mit Geräten, Software und Handlungsmöglichkeiten bei Ausfall
Was dazu gehört – Verantwortlichkeiten festlegen:
- Ein Mitarbeiter des Unternehmens wird Ansprechpartner für IT.
- Wir erläutern die Dokumentation.
- Anstehende Aufgaben wie Updates, Wechsel der Sicherungsmedien werden aufgeteilt.
Was kostet uns das?
Das hängt hauptsächlich von 2 Faktoren ab:
- der Anzahl der Geräte und Nutzer
- Ihrer Eigenleistung bei der Erstellung der Dokumentation
Zur Orientierung: Bei einem Kunden mit 1 Server, 2 NAS, 2 Druckern und 5 Arbeitsplätzen hat die Erstellung von Dokumentation und Notfallplänen 10 Arbeitsstunden gebraucht, der Raumplan und die Geräteinventur wurde weitgehend vom Kunden erstellt.