Sicherheitsmassnahmen für KMU IT analysieren & implementieren

c3: Datensicherheit und Datenschutz für ICT-Lösungen planen, implementieren und dokumentieren

Die Informatikerinnen und Informatiker planen Massnahmen zur Datensicherheit und zum Datenschutz, implementieren sie und dokumentieren sie: Sie identifizieren zunächst die sensiblen Daten und kategorisieren sie. Anschliessend modellieren sie die sensiblen Daten nach dem Privacy-by-Design-Prinzip. Sie klären die nach der Sensibilität der Daten erforderlichen Schutzmechanismen ab und qualifizieren sie. Dabei berücksichtigen sie den gesetzlichen Rahmen (u. a. DSGVO) und wenden ihn situationsgerecht an. Auf dieser Basis erarbeiten sie ein Konzept für Datensicherheit und Rollen gemäss dem Auftrag, dokumentieren es und setzen es um (z. B. Backup erstellen, Zugriffsberechtigungen implementieren, Daten verschlüsseln).

e1: Netzwerke planen und dokumentieren

Die Informatikerinnen und Informatiker planen neue IP-Netzwerke für die unterschiedlichsten Auftraggeber (vom Kleinstunternehmen bis zur Grossfirma), erstellen die nötige Dokumentation und stellen deren Nachverfolgung sicher. Damit liefern sie nachvollziehbare Grundlagen für den Aufbau und Betrieb der Netzwerke: Sie erfassen zunächst die Bedürfnisse (z. B. Verfügbarkeit, Sicherheit) (a1) bei den betroffenen Stakeholdern (z. B. Auftraggeber, interne Abteilung, Hersteller). Aus den erhobenen Bedürfnissen erarbeiten sie einen ersten Vorschlag oder Lösungsvarianten. Je nach Situation berücksichtigen sie die Besonderheiten des Unternehmens, technische Standards/Normen und/oder gesetzliche Vorschriften. Sie halten ihren Vorschlag fest. Anschliessend gehen sie zum Detaildesign über: Sie konzipieren die geeignete Netzwerkinfrastruktur (LAN) unter Berücksichtigung der räumlichen Bedingungen und weiterer Vorgaben (z. B. Bandbrei-

e4: Netzwerksicherheit implementieren, dokumentieren und überprüfen

Die Informatikerinnen und Informatiker implementieren, dokumentieren und überprüfen die Netzwerksicherheit. Damit gewährleisten sie, dass kritische Systeme angemessen vor Angriffen oder Infektionen geschützt sind: Sie analysieren zunächst die potenziellen Risiken in Bezug auf die Netzwerksicherheit und bewerten sie. Dazu nutzen sie aktuelle und betriebsspezifische Tools (z. B. Portscanner). Auf dieser Grundlage konzipieren sie die physischen und systemischen Sicherheitsmassnahmen im lokalen Netzwerk (e1). Sie setzen die geplanten Sicherheitsmassnahmen um, indem sie Sicherheitsdienste und -komponenten (z. B. Firewall, VPN, NAT, VLAN, DMZ) implementieren. Schliesslich testen sie die Sicherheitsmassnahmen systematisch und dokumentieren deren Funktionsweise.

b3: Kunden in Sachen Datenschutz und Datensicherheit beraten

Die Informatikerinnen und Informatiker beraten Kunden in Bezug auf den Umgang mit sensiblen Daten und schlagen Lösungen für die Umsetzung von Schutzmassnahmen vor: Dazu klären sie die Sicherheitslage beim Auftraggeber, indem sie gezielte Fragen zu Systemen, Netzwerken, Software und Daten stellen. Auf der Grundlage der erhaltenen Informationen schlagen sie die für die untersuchten Bereiche notwendigen und empfohlenen Schutzmassnahmen vor. Sie schaffen beim Auftraggeber ein Bewusstsein für die Gefahren im Zusammenhang mit dem Netzwerk und dem Umgang mit sensiblen Daten. Um diese Aufgaben zu erfüllen, informieren sie sich laufend über Änderungen im rechtlichen Rahmen bzw. in den anwendbaren gesetzlichen Vorschriften. Bei Bedarf schulen sie die Mitarbeitenden in der Anwendung der unternehmensspezifischen IT-Richtlinien.