Demoverbund KMU
Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Der fiktive Demoverbund "KMU GmbH" veranschaulicht die praxisnahe Anwendung des BSI IT-Grundschutzes in einem kleinen Unternehmen. Dargestellt werden Unternehmensstruktur, IT-Systemlandschaft, Geschäftsprozesse und eine allgemeine Schutzbedarfsfeststellung als Grundlage für ein effektives Informationssicherheitsmanagement.
Strukturanalyse der „KMU GmbH“
Unternehmensbeschreibung
Die KMU GmbH ist ein Spezialist für Unternehmensberatung und IT-Support im KMU-Segment. Mit 14 Mitarbeitenden werden Projekte rund um IT-Optimierung, Digitalisierung und Support für externe Kundschaft abgewickelt.
- Standort: Ein Hauptbüro, daneben Homeoffice-Regelungen für mehrere Beschäftigte.
- Leistungen: IT-Beratung, Support per Fernzugriff, gelegentliche Kundentermine vor Ort.
- Digitalisierungsgrad: Hoher Digitalisierungsgrad, starker Einsatz von Cloud-Groupware und Remotezugriffen.
- Besonderheiten: Keine eigene Serverinfrastruktur, Cloud-first-Ansatz mit externen Dienstleistern für IT-Betrieb und Datensicherung. IT-Sicherheit wird von der Geschäftsführung verantwortet, unterstützt durch eine externe IT-Beratung.
Struktur- und IT-Systemanalyse
Organisatorische Struktur und Informationsverbund
- Geschäftsführung: Gesamtverantwortung, IT-Entscheidungen, Compliance und Datenschutz
- Fachbereiche: Beratung/Projektleitung, IT-Support, Administration/Buchhaltung
- Externe IT-Partner: Betreuung der Cloud- und Netzwerkdienste, Security-Konfiguration
- Alle Mitarbeitenden: Gemeinsame Nutzung der zentralen IT-Dienste und Standardarbeitsplätze
Typische IT-Systeme und Zielobjekte im Informationsverbund
| Kategorie | Beschreibung |
|---|---|
| Cloud-Dienste | Office-Anwendungen, E-Mail, Kalender, Datenspeicherung, Kollaboration (z.B. Microsoft 365, Google Workspace, Nextcloud) |
| Endgeräte | Windows-/Mac-Notebooks (meist Privatgeräte, BYOD-Regelung), Smartphones, gelegentliche Tablets |
| Netzwerk | Firmenrouter mit VPN, Firewall (Standard im Router integriert), WLAN für Mitarbeitende |
| Datensicherung | Cloud-Backup über integrierte Lösungen der Cloud-Anbieter, lokale Backup-Festplatten bei ausgewählten Geräten |
| Supportsysteme | Fernwartungssoftware (z.B. TeamViewer), Ticketing- und Zeiterfassungssystem |
| Kommunikationssysteme | E-Mail, Kollaborationsplattformen mit Chats und Video-Meetings |
| Sicherheitsinfrastruktur | Antivirenlösungen, automatische Betriebssystem- und Software-Updates, Cloud-basierte Zwei-Faktor-Authentifizierung (2FA) |
Typische Prozesse des Informationsverbunds
| Nr. | Geschäftsprozess | Prozessverantwortung | Typische IT-Systeme | Prozesstyp | Kurzbeschreibung |
|---|---|---|---|---|---|
| 1 | Kundenanfrage & Angebotserstellung | Geschäftsführung/Vertrieb | CRM, E-Mail, Office | Kernprozess | Aufnahme von Anfragen, Beratung, Vorbereitung und Versand von Angeboten |
| 2 | Projektumsetzung | Projektleitung/Beratung | Cloud-Workspace, Ticketing | Kernprozess | Planung & Umsetzung von Projekten beim Kunden, Leistungsdokumentation |
| 3 | IT-Support und Fernwartung | Support | Fernwartungstools, Telefon | Kernprozess | Remote-Support, Problemlösung aus der Ferne, Dokumentation |
| 4 | Abrechnung & Buchhaltung | Administration | Buchhaltungssoftware, Office | Hilfsprozess | Zeiterfassung, Rechnungserstellung, Finanzbuchhaltung |
| 5 | Personal- und Ressourcenverwaltung | Administration | Office, Zeiterfassung, Cloud | Hilfsprozess | Verwaltung von Personaldaten, Urlaubsplanung, Zeitauswertung |
| 6 | IT- und Systembetrieb | Externer IT-Partner | Cloud Admin Console | Hilfsprozess | Verwaltung der Cloud-Dienste, Userverwaltung, Updates, Backup |
| 7 | Datenschutzmanagement | Geschäftsführung | Datenschutzdokumentation | Steuerungsprozess | Einhaltung von Datenschutzpflichten, Dokumentation, Auskunftsersuchen |
| 8 | Notfallmanagement & Awareness | Geschäftsführung/Partner | Office, Cloud | Steuerungsprozess | Erstellung von Notfallplänen, Sensibilisierung, Recovery-Maßnahmen |
Besonderheiten bei IT-Grundschutz-Umsetzung – KMU GmbH
- Reduzierte IT-Landschaft: Keine lokale Serverinfrastruktur, Fokus auf Cloud-Dienste.
- Begrenzte Ressourcen: Wenig operativer Aufwand für dedizierte IT-Sicherheitspersonen; IT-Sicherheit als Aufgabe der Geschäftsführung, unterstützt von externen Spezialisten.
- Zentralisierte Administration: Viele Maßnahmen (z.B. Backup, Patchmanagement, Zugangsschutz) werden über die Cloud-Administration der Anbieter umgesetzt.
- Standardisierte Prozesse: Routinen wie regelmäßige Passwortwechsel, 2FA und Awareness-Schulungen erfolgen nach festen Vorgaben.
- Hoher Grad an Auslagerung: Neben klassischen Office-Prozessen auch Ticketing, Zeiterfassung und Kundenverwaltung in SaaS-Lösungen ausgelagert.
Aufbau des Informationsverbunds (Beispielhafte Gliederung)
- Verbundzentrale: Administration, Buchhaltung, zentrale Cloud-Administration, Geschäftsführung
- Beratungs-/Projektbereich: Arbeitsplätze von Beratenden, Zugriff auf CRM und Projektmanagementtools, Cloud-Dokumente
- Supportbereich: Arbeitsplätze für IT-Supportende, Fernwartungstools, Support-Tickets
- Externe Schnittstellen: VPN-/Fernzugriff auf Kundensysteme, E-Mail-Verkehr mit Kunden, Lieferanten und Partnern
- Backup und Notfall: Cloud-Backups, ausgewählte lokale Sicherung, Notfallplan für Ausfall von Cloud-Diensten, Zugriffspfade auf Notfallkontakte
Schutzbedarfsfeststellung (Auszug mit Kurzbegründung)
| Geschäftsprozess | Vertraulichkeit | Integrität | Verfügbarkeit | Begründung |
|---|---|---|---|---|
| Kundenanfrage/Angebot | hoch | hoch | hoch | Enthält oft vertrauliche Kundendaten und Preisinformationen. |
| Projektumsetzung | hoch | hoch | normal | Vertrauliche Informationen für die Kunden, Fehler können zu Imageschäden führen, Verfügbarkeit meist planbar. |
| IT-Support/Fernwartung | sehr hoch | hoch | hoch | Zugriff auf Kundensysteme, teils kritische Informationen, Remote-Ausfall bedeutet Service-Stau. |
| Abrechnung/Buchhaltung | hoch | hoch | normal | Personen-, Bank- und Zahlungsdaten, Fehler haben finanzielle/rechtliche Folgen. |
| Personalverwaltung | hoch | hoch | normal | Vertrauliche Personaldaten müssen geschützt werden, Prozesse sind wenig zeitkritisch. |
| IT-/Systembetrieb | hoch | hoch | hoch | Richtige Konfiguration essenziell für Datensicherheit und Zugänge. |
| Datenschutzmanagement | sehr hoch | hoch | normal | Erfüllung gesetzlicher Pflichten, Fehler haben hohe rechtliche Risiken. |
| Notfallmanagement | hoch | hoch | hoch | Verfügbarkeit der Notfallpläne entscheidend für Geschäftskontinuität. |
