Mittelstand in Österreich

Februar 19, 2010

Ist der Sicherheitsstandard ISO 27001 für KMUs sinnvoll?

Filed under: IT-Sicherheit — Wolfgang Schnabl @ 6:31 pm
Tags: , ,

Informationssicherheit ist für KMUs oft ein Randthema. Ressourcen und Know-how fehlen, das Kerngeschäft wird mit Produkten und Services gemacht, Security ist scheinbar Ballast. Inwieweit ist ein Sicherheitskonzept nach dem ISO Standard 27001 für KMUs sinnvoll?

Das Überleben eines Unternehmens wird in unserer technisierten Welt immer mehr zur Frage der Sicherheit von Informationen. Selbst KMUs müssen sich diesem Thema stellen, egal ob Hightech Betrieb oder Tischlerei. Computer sind heute die Voraussetzung dafür, dass gearbeitet werden kann. Steht der Computer, so steht die Arbeit. Ohne Computer weiß eine Firma nicht mehr welche Kunden sie hat oder welche Produkte im Lager sind. Rechnungen erstellen, versenden und kassieren, auch Gehaltszahlung an die eigenen Mitarbeiter, ist nicht mehr möglich.

ISO 27001 Standard

Im Qualitätsdenken hat sich bereits vor langer Zeit ein international anerkannter Maßstab etabliert, die ISO 9001. Analog dazu entwickelte sich in den letzten Jahren ein Standard für das Management von Informationssicherheit, die ISO 27001. Innerhalb kürzester Zeit wurde dieser Standard zum Wegweiser, an dem sich Unternehmen orientieren. Die Frage, „ob“ dieser Standard im Unternehmen eingeführt wird hat sich vielfach schon geändert zu „wann“ dieser Standard eingeführt wird. Gerade große Unternehmen verpflichten nun auch ihre Lieferanten zur Einhaltung und letztendlich zur Zertifizierung nach ISO 27001. Das Risiko, wenn ein Betrieb sich keine Gedanken um Security macht, ist für diese Unternehmen einfach zu hoch.

Vorteile/Nachteile

Der Standard wird von vielen als die „Bibel“ im IT-Securitybereich gesehen. Viel wichtiger als blindes Vertrauen ist jedoch die Tatsache, dass sich hier eine Menge kluger Köpfe Gedanken zum Thema Informationssicherheit gemacht haben. Warum also das Rad neu erfinden, wenn ein kurzer, prägnanter Leitfaden vorliegt, in dem beschrieben ist auf was man alles aufpassen sollte, wenn man über Sicherheit nachdenkt und diese implementiert.
Der Vorteil gerade für kleinere Unternehmen, die keine eigene Security-Mannschaft haben, besteht darin, sich gleichsam kostenlos Tipps zu holen, wie man Informationssicherheit in den Griff bekommen kann. Sie werden überrascht sein, wie viel man machen kann, ohne in neue Technologien zu investieren, ohne neue Hardware und Software anzuschaffen. Gerade organisatorische Maßnahmen erhöhen die Gesamtsicherheit dramatisch und werden im Standard nachdrücklich gefordert.
Der Nachteil besteht sicherlich darin, dass auf einigen wenigen Seiten die gesamte Welt der Security stichwortartig dargelegt wird. Ein „drüberschauen“ ohne den Beistand eines Security-Experten ist nicht möglich. Selbst die IT-Mitarbeiter der meisten Unternehmen werden dabei hoffnungslos überfordert sein. Und falsch verstandene Maßnahmen kommen meist teurer.

Security als Wettbewerbsvorteil

Security muss kein Kostenfaktor sein. Gerade die durchüberlegten Maßnahmenvorschläge einer ISO 27001 ermöglichen es einem Unternehmen punktgenau und kostengünstig Sicherheit zu erhöhen. Sie müssen keine Zertifizierung anstreben wenn sich für Sie der Werbeeffekt nicht lohnt. Aber einige Maßnahmen umzusetzen bringt Sie im Krisenfall nicht aus dem Gleichgewicht und der Konkurrenz einen großen Schritt voraus.

Advertisements

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: