Auf einen Blick
- 2018 hat jeder dritte Betrieb Cyber-Angriffe registriert. Die Folgen können bis zum Betriebsstillstand reichen.
- Mit dem IT-Grundschutzprofil für Handwerksbetriebe gibt es seit 2019 eine detaillierte Vorlage für einen wirksamen Schutz in Handwerksbetrieben.
- Die Erstabsicherung berücksichtigt die in Handwerksbetrieben typischen Geschäftsprozesse Auftragsgewinnung, Angebotserstellung, Auftragsdurchführung und Abrechnung.
- Passend zum IT-Grundschutzprofil wurde ein Routenplaner entwickelt, der Handwerker systematisch zum Ziel führt.
Es gibt einen schönen Satz zur Digitalisierung, den wir bisher noch von keinem Handwerker gehört haben. Er lautet: „Ich beschäftigte mich gerne mit IT-Sicherheit.“ Die Gründe sind naheliegend: Das Thema ist unheimlich komplex, die Einarbeitung mühsam und die IT-Sicherheit verdient dem Unternehmen kein Geld. Und doch ist der Wert eines guten IT-Grundschutzes unbestritten: Laut einer BSI-Umfrage hat 2018 jeder dritte Betrieb in Deutschland Cyber-Angriffe registriert.
Große Bedrohung, schwere Folgen
Häufigste Folge erfolgreicher Angriffe waren Betriebsstörungen oder -ausfälle. „Das kann auch im eher analogen Handwerk passieren“, warnt Stefan Becker, Leiter des Referats Cyber-Sicherheit für die Wirtschaft im Bundesamt für Sicherheit in der Informationstechnik (BSI). Beispiel: Ein Ransomware-Trojaner könnte wichtige Projektinfos wie die Einsatzplanung der Mitarbeiter, anzufahrende Adressen und den Materialbedarf verschlüsselt haben. Folge: „Dann können die Mitarbeiter am nächsten Tag nirgendwo ihrer Arbeit nachgehen“, sagt Becker.
Damit Handwerksunternehmen die Vorzüge der Digitalisierung nutzen können, ohne wachsende IT-Sicherheitsgefahren in Kauf nehmen zu müssen, hat der Zentralverband des Deutschen Handwerks gemeinsam mit dem BSI ein IT-Grundschutz-Profil für Handwerksbetriebe mit dazugehörigem Routenplaner als Handlungshilfe entwickelt.
„Darin stecken 25 Jahre IT-Grundschutzwissen des BSI, direkt auf die Belange des Handwerks zugeschnitten“, sagt Becker. Das Grundschutzprofil setze sich ausschließlich aus Inhalten zusammen, die für die IT-Sicherheit im Handwerk tatsächlich relevant sind.
Ein Plan für soliden Grundschutz
Damit Handwerker ihren IT-Grundschutz systematisch aufbauen können, wurde ein Routenplaner mit drei alternativen Routen entwickelt. Unternehmer können die Route wählen, die am besten zu ihrem Unternehmen passt.
- Route 1 ist nach den betrieblichen Aufgaben gegliedert. Hier wählt der Betrieb aus, welche Aufgabenbereiche für seinen Erfolg besonders relevant sind. Wählen kann er zwischen Auftragsgewinnung, Angebotserstellung, Auftragsdurchführung und Abrechnung und startet mit dem wichtigsten.
- Route 2 ist räumlich gegliedert. Werkstatt, Büro, Homeoffice oder Serverraum haben unterschiedliche Sicherheitsbelange, die das Unternehmen Raum für Raum angehen und erledigen kann.
- Route 3 folgt einem thematischen Gliederungsansatz. Darin laufen Unternehmen verschiedene Stationen wie Grundlagen, Organisation und Personal, Schaffung einer sicheren Infrastruktur bis zum professionellen Cyber-Vorfallmanagement systematisch ab.
„Das Schöne am Routenplaner ist: Die Handwerker können die Umsetzung frei gestalten. Gleichzeitig stellt er sicher, dass man nichts vergisst“, sagt BSI-Experte Stefan Becker. Viel Arbeit bedeutet es trotzdem. 10 Themenkomplexe von Sicherheitsmanagement bis Infrastruktur werden durchlaufen. In jedem Bereich stecken mehrere Teilanforderungen.
Systematisch arbeiten mit Prioritäten und Zusatzinfos
Doch auch hier hilft der Routenplaner, indem er verschiedenen Anforderungen unterschiedliche Prioritäten zuweist. Der Teilanforderung „Personal“ wird etwa Priorität 1 zugeordnet. Kein Wunder: Die meisten Cyberangriffe gehen auf Infektionen durch Schadsoftware zurück. Meist wird die Malware als Anhang oder Link per E-Mail versendet. Wirksamer Schutz dagegen: aufgeklärtes Personal, das nicht unbedacht gefährliche Dateien öffnet oder wichtige Login-Daten in gefälschte Websites eingibt.
Im Routenplaner wird erklärt, welche Risiken in Bezug auf das Personal minimiert werden sollten. Dazu gibt es prägnante Empfehlungen zu bestimmten Anforderungen. Zusätzliche Informationen, wie Umsetzungshinweise und Arbeitshilfen, sind über QR-Codes unter dem jeweiligen Thema verlinkt.
Als Einstieg böte sich etwa ein Quick-Win-Thema an, eine Sicherheitsbaustelle also, die sich relativ schnell erledigen lässt und so schnelle Erfolge zeigt. „Das kann etwa eine funktionierende Backup-Lösung sein, bei der auch das Zurückspielen des Backups geregelt ist oder ein Patch Management“, meint der BSI-Experte.
Wettbewerbsvorteil IT-Grundschutz
Bei der Einrichtung ihres IT-Grundschutzes werden Unternehmen auch auf Bereiche stoßen, die bei externen IT-Dienstleistern besser aufgehoben sind. „Durch die Arbeit mit dem Routenplaner haben Handwerker dann aber die Kompetenz, klar zu kommunizieren, was sie wirklich brauchen, und können mit dem IT-Dienstleister auf Augenhöhe verhandeln.“
Und was bringt die Arbeit? Wer die IT-Grundschutz-Anforderungen erfüllt, hat sein Risiko für Betriebsunterbrechungen durch Cyberangriffe minimiert. Das kann ein Unternehmen auch nach außen zeigen: Das BSI bietet ein Testat an, durch das Betriebe nachweisen können, dass all ihre Geschäftsprozesse, Daten, organisatorische und personelle Aspekte mit einem Mindestmaß an Informationssicherheit abgesichert sind. „So sehen Kunden und Geschäftspartner, dass sie es mit einem zuverlässigen, vertrauenswürdigen Unternehmen zu tun haben. Das ist ein Wettbewerbsvorteil“, sagt Becker.
Tipp: Sie wollen mehr über die Digitalisierung im Handwerk erfahren? Mit dem handwerk.com-Newsletter bleiben Sie auf dem Laufenden. Hier geht es zur Anmeldung!
Auch interessant