Low-Budget-Konzept für KMU (Informationssicherheit)

Ziel jeder Institution ist die Sicherstellung der Geschäftstätigkeit sowohl auf strategischer Ebene als auch im Hinblick auf die operative Umsetzung. Die Bedeutung der Sicherheit von Informationen sowie der Systeme, auf denen sie verarbeitet werden, steigt mit zunehmender Abhängigkeit von der IT. Eine Geschäftstätigkeit ohne IT ist heutzutage nicht mehr denkbar,  eine Beeinträchtigung oder gar Verlust und Ausfall kann katastrophal sein!
Die EDV bietet demnach neben Ihren Potentialen auch große Risiken und Gefahren. Beides muss gemanagt werden; idealerweise sollte ein Informationssicherheits-Managementsystem (ISMS) entwickelt werden.
Speziell in KMU erschweren vergleichsweise geringe budgetäre Spielräume („low budget“) und das vergleichsweise geringe Wissen sogar das notwendige Erfüllen von Mindeststandards, geschweige denn ein effizientes Erreichen. Oftmals wird die Meinung vertreten, dass für IT-Sicherheit „kein Geld, keine Zeit und keine Lust“ vorhanden ist, da die IT und deren Sicherheit nicht zum Kerngeschäft gehören und „schon nichts passieren wird“.
Es ist das Ziel, die kostenintensiven Leistungen zu reduzieren und gleichzeitig die internen Aufwände zu minimieren.

Was steckt hinter der Low-Budget-Idee?

Die Idee des Low-Budget-Konzepts besteht darin, durch ein hohes Maß an Standardisierung, die Nutzung erprobter, standardisierte Hilfsmittel und die Reduzierung der Vor-Ort-Leistungen wird es ermöglicht, eine pragmatische Lösung zu realisieren. Kostengünstige Pauschalen stellen ferner eine hohe Planungssicherheit dar. Die Bedeutung des Informationssicherheit wird dabei durch uns vermittelt, aber nicht überbetont bzw. überbewertet.
Da KMU in der Regel einen geringen Organisationsgrad aufweisen, muss auch der organisatorische Gehalt angemessen gestaltet werden. Die Bedeutung des Datenschutzes wird dabei durch uns und unsere Organisationsmittel vermittelt, aber nicht überbetont und überbewertet. Durch Nutzung

  1. moderner Kommunikationstechniken,
  2. standardisierter Organisationsmittel sowie
  3. computergestützter Verfahren (z. B. für die Analyse und Schulung)

werden hoch individuelle (Warum das Rad neu erfinden?) und Vor-Ort-Leistungen reduziert. Dadurch werden der interne Aufwand und die externen Kosten für Sie optimiert.

Wie läuft eine Betreuung mittels Low-Budget-Konzept ab?

Ausgangspunkt ist stets ein IT-Sicherheitsschwachstellenanalyse (SiSSA), um eine Bewertung der aktuellen Ist-Situation vorzunehmen. Dies tun wir stets mit Hilfe des UIMC-Tools für Analyse und Berichterstattung (UTAB). Innerhalb eines Interviews bzw. Workshops werden die Informationen anhand eines computergestützen Fragenkatalogs erfasst sowie durch die UIMC ausgewertet und in Form eines Status-Quo-Berichts inkl. Schwachstellen und eines Maßnahmenkatalogs zur Verbesserung dokumentiert.
Die vorgeschlagenen Maßnahmen können durch die UIMC innerhalb einer Aktivitätenliste so vorpriorisiert werden, dass eine sukzessive Abarbeitung der Schwachstellen festgelegt werden kann. Dies ist erforderlich, weil Erfahrungswerte zeigen, dass ein gleichzeitiges Beseitigen verschiedenster Schwachstellen u. a. aus Effizienz-, Akzeptanz- und Effektivitätsgründen nicht sinnvoll ist.
Zentrales Instrument für die Umsetzung ist unser Organisations-Kit. Es enthält alle wesentlichen Anweisungen, Vorgaben, Formblätter etc. und umfasst alle aufbau- und ablauforganisatorischen Fragestellungen, welche allgemein verbindlich sind. Das Organisations-Kit ist ein standardisiertes, auf langjähriger Erfahrung und den Datenschutzgesetzen basierendes Regelwerk. Es ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist. Neben der Einzellösung (Datenschutz oder IT-Sicherheit) kann/sollte diese Lösung  aufgrund der großen Nähe der beiden Gebiete sinnvollerweise auch in Form eines integrierten IT-Sicherheits- und Datenschutz-Handbuchs eingesetzt werden.
Ferner ist es unerlässlich, die Mitarbeiter im Hinblick auf die Risiken zu sensibilisieren und auf die Maßnahmen zu schulen. Aus unserer langjährigen Erfahrung sind vor allem folgende Formen zielführend, welche wir auch umsetzen und zumeist auch sinnvoll miteinander kombinieren, wobei wir gerne ein individuelles Schulungskonzept erstellen:

  1. Präsenz-Schulungen durch einen erfahrenen Referenten und/oder
  2. eLearning zur Selbstschulung mittels eCollege der UIMC.

Was ist alles im Low-Budget-Konzept enthalten?

Die UIMC stellt einen fachkundigen Berater zur Verfügung, der Ihnen für Rückfragen in punkto Informationssicherheit beratend zur Seite steht. Ferner sind folgende Komponenten Inhalt des Konzep

  • Organisations-Kit inkl. IT-Sicherheitshandbuch und Formularen sowie Leitfäden/Richtlinien und
  • Zugang zum eCollege-Kurs „Grundlagen der Informationssicherheit“ zur Schulung und Sensibilisierung der Mitarbeiter

sowie eine fachliche Unterstützung durch Betreuung per Telefon und/oder E-Mail. Ferner werden die o. g. Komponenten durch die UIMC regelmäßig geprüft und aktualisiert; auch findet ein mindestens jährlich stattfindendes Revisions- und Kontrollgespräch bei Ihnen vor Ort statt.

Welche Aufgaben verbleiben bei uns im Hause?

Intern ist ein Ansprechpartner zu benennen, der uns als Anlaufstation dient und Anliegen intern weiterleitet. Verschiedene Aufgaben sind ferner sinnvollerweise durch das Unternehmen zu erfüllen, da diese entweder einfacher umzusetzen sind. So sind beispielsweise Änderungen der Konfiguration der IT-Systeme durch die IT-Abteilungen sowie die Organisation von Schulungen oder die Verteilung von Unterlagen durch die Personalabteilung vorzunehmen. Die UIMC stellt aber gerne die notwendigen Informationen, Anweisungen oder Formulare zur Verfügung (z. B. innerhalb des Organisations-Kits).

Ist das Low-Budget-Konzept auch für den Einsatz in Konzernen oder Unternehmensgruppen geeignet?

Das Low-Budget-Konzept eignet sich ebenfalls gut für den Einsatz in Tochterunternehmen, in stark dezentralen Institutionen oder in Konzernen/Unternehmensverbünden. Hierdurch kann eine einheitliche und qualitativ hochwertige Informationssicherheit im Verbund sichergestellt werden. Dabei profitieren Sie von etablierten Best-Practice-Lösungen, die an den besonderen Bedürfnissen des Verbunds/Konzerns einmalig angepasst werden können, um sie dann in sämtlichen Institutionen einzubringen.
Aufgrund von Schnittmengen von Datenschutz und IT-Sicherheit/Informationssicherheit ist zudem eine integrierte Betrachtung zu empfehlen!

Was kostet mich die Unterstützung durch die UIMC?

Die Leistungen werden mehrheitlich über vorher festgelegte Pauschalen berechnet und bei Vertragsabschluss festgelegt. Dies erhöht die Kostentransparenz und Planungssicherheit. Sofern abweichend vom festgelegten Vertragsinhalt Sonderleistungen gewünscht oder erforderlich sind, können diese individuell und flexibel abgefragt werden. Dies kann ebenfalls pauschalisierbar oder aufwandsbezogen vereinbart werden (Sie behalten stets die Budget-Hoheit).
Um die Konditionen genau beziffern zu können, ist es jedoch erforderlich, dass wir die Rahmenbedingungen Ihres Hauses kennenlernen. Sofern Sie also ein konkretes Angebot wünschen, können Sie gerne auf uns zukommen.

Warum sollten wir als KMU die Informationssicherheit mittels Low-Budget-Konzept umsetzen?

Vorteile des Low-Budget-KonzeptsIhr Nutzen durch das Low-Budget-Konzept

hohe Fachkompetenz

Synergien aus Mehrfachbestellungen

Kostenersparnis und kalkulierbare Kosten

keine Betriebsblindheit

Neutralität bei „brisanten“ Themen (UIMC als Mediator)

 

kurzfristige Verfügbarkeit

Berücksichtigung von pragmatischer Umsetzbarkeit

„Das Rad wird nicht neu erfunden“ (Best Practice)

effiziente Aufgabenerfüllung

herstellerneutrale Beratung (kein Interesse an Produktvertrieb)

Existieren im Rahmen des Konzepts für KMU auch Kooperationen?

Die UIMC berät grundsätzlich vollkommen systemunabhängig, so dass wir keinerlei Kooperationen oder Abkommen mit Systemhersteller, Software-Anbietern oder Systemhäusern abgeschlossen haben. Wie sind stets an der „richtigen“ Lösung für Sie interessiert.
Die UIMC kooperiert aber mit verschiedenen Verbänden, Vereinigungen oder Interessensverbünden. Dies ist u. E. eine Win-Win-Situation, schließlich profitieren wir durch die verbesserte Ansprache von Unternehmen und die Mitglieder von Vergünstigungen oder gemeinsame bzw. koordinierte Projekte (beispielsweise gemeinsame Schulungen oder abgestimmte Dienstleister-Audits).
Sie sind Teil eines Verbands und interessieren sich für eine Kooperation mit der UIMC? Kein Problem, wir diskutieren gerne eine Lösung. Sprechen Sie uns an!