Das Unternehmen nutzt derzeit mehr als 40 Rechnersysteme in lokalen Netzwerken an verschiedenen Standorten. Hinzu kommen mobile Endgeräte (Notebooks, Smartphones, etc.) und eine Vernetzung der Standorte untereinander. Das Thema IT-Sicherheit wird bereits seit einiger Zeit im Unternehmen gelebt. Zum Betrieb und der Wartung des Datennetzes beschäftigt das Unternehmen einen eigenen Administrator, der sich auch um die IT-Sicherheit kümmert. Angesichts der intensiven Nutzung von IT-Systemen wurde dem Unternehmer in Gesprächen mit dem Schaufenster Informations- und Kommunikationstechnologien deutlich, dass ein Totalausfall der IT mit enormen Kosten verbunden ist und dass, im Falle einer längeren Ausfallzeit, dies durchaus existenzbedrohend werden kann. Und so entstand der Plan eine Cyber-Versicherung abzuschließen, denn: eine 100%ige Sicherheit gibt es nicht. Dabei wurde deutlich, dass trotz aller bestehenden Sicherheitsmaßnahmen nicht sichergestellt ist, ob wirklich alle Maßnahmen zur Risikominimierung umgesetzt sind und damit auch eine Versicherung im Schadenfall eintreten würde. In Abstimmung mit dem Schaufenster Informations- und Kommunikationstechnologien wurde beschlossen ein Zertifizierungsverfahren für die Informationssicherheit im Unternehmen durchzuführen, bzw. zu etablieren.
Das Unternehmen benötigt eine klare und unabhängige Einschätzung darüber, wie der aktuelle Stand der Informationssicherheit im Unternehmen ist. Dem Gegenüber soll deutlich aufgezeigt werden, welche Lücken vorhanden sind und wie diese zu schließen sind. Mit dem Ergebnis sollen dann die erforderlichen Maßnahmen ergriffen werden, bis ein Zertifikat erteilt werden kann. Das Unternehmen möchte eine zusätzliche "Zertifizierung", um diese ggf. auch einer Versicherung zur Antragstellung und auch im Schadenfall vorzuweisen. Letztlich soll damit aber auch den Kunden des Unternehmens gezeigt werden, dass die Informationssicherheit gewährleistet ist. Für das Handwerksunternehmen soll ein Verfahren eingesetzt werden, welches auch auf Handwerksbetriebe anwendbar ist. Eingesetzt wird daher ein IT-Sicherheits-Check des ZVEH, mit dem Titel: "E-CHECK IT, Gewerbe". Mit den hier verfügbaren Checklisten wird die gesamte Palette der Informationssicherheit überprüft und bewertet. Der "E-CHECK IT, Gewerbe", liefert zudem Handlungsempfehlungen zur Schließung eventueller Sicherheitslücken.
Im November 2017 wurden über ein Qualifizierungsangebot des Schaufenster Informations- und Kommunikationstechnologien, IT-Fachbetriebe aus der Region von Oldenburg bis Hannover im Umgang mit unterschiedlichen Formaten für einen IT-Check vorbereitet. Aus der Teilnehmergruppe wurde anschließend seitens des Schaufensters Informations- und Kommunikationstechnologien, ein IT-Fachbetrieb aus der Nähe des Unternehmens eingeladen. Im gemeinsamen Dialog sollte nun ein individueller Umsetzungsprozess beschrieben und ein Terminplan entwickelt werden.
Im ersten Schritt erfolgte die Übergabe der Checklisten des E-CHECK IT an den Administrator, mit der Aufgabe, diese Checkliste für das Unternehmen zu bearbeiten. Anschließend wurde die Checkliste mit dem IT-Fachbetrieb und dem Schaufenster Informations- und Kommunikationstechnologien ausgewertet. Das Ergebnis wurde in einem weiteren Termin in der Dreierkonstellation (Unternehmen, IT-Fachbetrieb, Schaufenster Informations- und Kommunikationstechnologien) ausgewertet und ein Maßnahmenpaket festgelegt. Diese Maßnahmen müssen nun vom Unternehmen bzw. dem Administrator umgesetzt werden. Nach Fertigmeldung erfolgt dann ein abschließendes Audit, in dem die Umsetzung der Maßnahmen begutachtet und dabei auch eine Auswahl verschiedener Punkte der Checkliste überprüft wird.
Inzwischen hat das Audit ergeben, dass alle Punkte der Checkliste zur Erteilung des E-CHECK IT Zertifikats sowie die angesetzten Maßnahmen erfolgreich umgesetzt wurden. Das Gütesiegel E-CHECK IT des ZVEH wurde durch den IT-Fachbetrieb übergeben. Damit hat das Unternehmen nun die Möglichkeit auch den eigenen Kunden gegenüber darzustellen, dass die Informationssicherheit nach aktuellem Stand der Möglichkeiten umfassend umgesetzt ist. Zur Aufrechterhaltung des Zertifikats und der Einhaltung von eingesetzten internen Regeln werden einmal jährlich "Digitale" Mitarbeiterschulungen zur Sensibilisierung durchgeführt. In spätestens 3 Jahren wird der E-CHECK IT wiederholt. Für das Unternehmen bildet dies eine wesentliche Säule der Unternehmensabsicherung.
Für den IT-Fachbetrieb bestehen zudem gute Aussichten auf ein neues Geschäftsfeld.
Erfolgsgeschichten aus dem Handwerk #2 – Zertifizierte Informationssicherheit im Handwerk
