:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mit Risikoanalyse zu umfassender Informationssicherheit Das leistet ein Information Security Management System
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Unternehmen, die sich für die Einführung eines Information Security Management Systems (ISMS) entscheiden, profitieren nicht nur von mehr Sicherheit. Sie erhalten auch einen frischen Blick auf ihre Geschäftsprozesse – und verbessern ihr Image.
Eine lange Erfolgsbilanz in Sachen Sicherheit verzeichnet die 100x Group laut ihrem CEO Alex Höpfner. Das ist kaum eine Überraschung, ist doch das Unternehmen die Holding der BitMEX, einer führenden Handelsplattform für Kryptowährungs-Derivate. Dank dezentraler Speicherung der Daten und Partitionierung der Netzwerke gilt die Blockchain-Technologie, die auch BitMEX anwendet, als äußerst sicher. Eher überrascht, dass sich das Unternehmen darüber hinaus um lückenlose Informationssicherheit bemüht und erst vor Kurzem die Zertifizierung nach ISO/ IEC 27001 erhalten hat – womit den Kunden und Partnern belegt wird, dass die Sicherheitsrisiken stets im Blick sind. Dass ein Unternehmen, dessen Cyber Security bereits wasserdicht ist, zusätzlich eine hohe Informationssicherheit anstrebt, macht deutlich, wie wichtig ein Information Security Management System (ISMS) ist. Schließlich bieten alle Geschäftsprozesse und -daten eine Angriffsfläche für Attacken von Unbefugten. Ein ISMS hilft, die damit verbundenen Risiken zu verringern. Es erhöht die Sicherheit zusätzlich, steigert die Transparenz in Prozessen und Geschäftsbereichen und verbessert zudem das Vertrauen, das Kunden und Geschäftspartner einem Unternehmen entgegenbringen.
Des Unternehmens Kern finden
Trotz aller Vorteile scheuen vor allem kleinere Unternehmen davor zurück, sich mit der Einführung eines ISMS zu beschäftigen. Die Einhaltung von Datenschutzbestimmungen oder auch der Einstieg in die Cloud und begleitende Digitalisierungsprojekte erscheinen dringender und nehmen die Ressourcen der IT-Abteilungen bereits voll in Anspruch. Hinzu kommt, dass sich der Aufwand für den Aufbau eines ISMS schwer pauschal abschätzen lässt. Das hängt auch damit zusammen, dass in Unternehmen oft Unklarheit über die Cyberrisiken und ihre wirklichen Kronjuwelen herrscht, die priorisiert abgesichert werden sollten. Sie sind zwar gut darin, ihre Geschäftsrisiken zu bestimmen, haben jedoch in Bezug auf Cyber-Security-Risiken einen blinden Fleck. Sie wissen zwar, was ihr neues Produkt einzigartig macht, sind sich jedoch selten bewusst, welche diesem Produkt zugrundeliegenden Daten am engsten mit ihrem Kerngeschäft verknüpft sind. So sind es vielleicht nicht die Baupläne der Produktionsstraße, auf die es Hacker abgesehen haben, sondern die Rezept- oder Steuerungsdaten der Produktion. Greifen Kriminelle auf diese Kerninformationen zu, können Unternehmen schwerwiegende wirtschaftliche Verluste erleiden – oder ihre Handlungsfähigkeit wird empfindlich gestört. Hier liefert ein ISMS ein strukturiertes Vorgehen, mit dem sich Cyberrisiken ermitteln und bewerten lassen, um auf dieser Basis die passenden Sicherheitsmechanismen zu implementieren. Wie umfangreich ein ISMS sein sollte, hängt letztlich davon ab, wie vielfältig die bestehenden Risiken sind und wie viele Risiken ein Unternehmen bereit ist zu akzeptieren.
Akzeptanz für das Projekt einholen
Ein ISMS sichert den Schutz aller Informationswerte im Unternehmen und ist damit ein Projekt, das alle Unternehmensbereiche und -prozesse umfasst. Das ist wichtig zu bedenken, wenn man ein ISMS plant, denn Unternehmen tendieren dazu, parzelliert zu arbeiten. In den einzelnen Abteilungen vom Marketing über die Produktion bis hin zum Vertrieb herrschen in der Regel sehr unterschiedliche Auffassungen darüber, welche Werte abgesichert werden müssen. Für eine umfassende Betrachtung ist ein Perspektivenwechsel dringend notwendig. Es braucht einen Top-Down-Ansatz, für den der Impuls zwingend von der Unternehmensführung ausgehen muss. Diese muss sich auf das Projekt committen und es gemeinsam mit den Verantwortlichen aus allen relevanten Bereichen vorantreiben. So entsteht ein Konzept, das unternehmensweit ausgerollt und akzeptiert wird. Dabei hilft es, von Beginn an einen externen IT-Dienstleister mit ins Boot zu holen, der die nötige Projekterfahrung und das technische Know-how für ein solches Projekt mitbringt. Dieser kann als neutrale Instanz Bedrohungsszenarien und die Einführung von Sicherungsmaßnahmen unbelastet von Investitions- und innerbetrieblichen Aspekten betrachten und zwischen verschiedenen Interessenslagen vermitteln. Ebenso kann er interne Prozesse und Anforderungen unabhängig evaluieren. In der gemeinsamen Diskussion lässt sich analysieren, wo die größten Risiken liegen, bevor eine umfassende Betrachtung weiterer bestehender Risiken folgt. Dabei werden die Fragen beantwortet, wo das Hauptrisiko liegt und welche Risiken um jeden Preis gesenkt werden müssen, bzw. toleriert werden können. In dieser Einführungsphase werden die Risiken nicht nur identifiziert (etwa anhand einer Risikomatrix), sie werden dokumentiert und nach ihrer Eintrittswahrscheinlichkeit und potentiellen Schadenshöhe klassifiziert. Damit steht ein strukturiertes Vorgehen zur Verfügung, das sich dem Umgang mit allen Arten von Risiken zugrunde legen lässt und hilft, diese auf ein akzeptables Maß zu reduzieren.
Nicht nur sicher, sondern auch produktiver und aufgeräumter
Auch wenn die Bedrohungen durch Cyberkriminalität und Hackerattacken allgegenwärtig sind – das Risiko, das mit einer Bedrohung einhergeht, hängt letztlich davon ab, wie wahrscheinlich es ist, dass der Ernstfall eintritt. Mit Hilfe eines ISMS lässt sich diese Eintrittswahrscheinlichkeit abschätzen. Es leistet jedoch viel mehr als nur Risiken zu reduzieren. Da innerhalb des ISMS Geschäftsprozesse permanent in Bezug auf Cyber-Risiken und Schwachstellen analysiert und bewertet werden, liegt der Fokus nun auf den kritischen Prozessen. Veraltete und unsichere Prozesse werden sichtbar, was nicht nur mehr Sicherheit, sondern auch Raum für mehr Produktivität schafft und Geschäftsprozesse verbessert. Die Belegschaft wird auf Risiken sensibilisiert und weiß, was im Ernstfall zu tun ist. So lassen sich Sicherheitsmaßnahmen in kurzer Zeit implementieren und Bedrohungen überall im Unternehmen erfolgreich bekämpfen – bei Daten, in Prozessen und Strukturen. Die dazu nötigen Regeln und Abläufe fasst ein ganzheitliches Information Security Management System individuell passend für die Unternehmens-Workflows zusammen. Damit wird es ein Teil des großen Ganzen. Damit dies gelingt, stehen Experten für Sicherheitsthemen bereit, um Unternehmen bei der Umsetzung von ISMS-Projekten zu unterstützen. Sie können dank ihrer breit angelegten Erfahrung und als unbeteiligter Dritter dem Projektteam in allen Phasen der Umsetzung zur Seite stehen. Auch danach übernehmen sie weitere Aufgaben, etwa die Schulung der Mitarbeiter oder das komplette Outsourcing des ISMS. Unternehmen, die sich wie in dem oben genannten Beispiel für eine Zertifizierung nach ISO entscheiden, erwerben dadurch ein zusätzliches Qualitätsmerkmal. Sie zeigen ihre Kompetenz bezüglich der Informationssicherheit – und können der Bedrohungslandschaft der Zukunft ruhig ins Auge sehen.
Über den Autor: Der studierte Elektrotechnik-Ingenieur Ulf-Gerrit Weber begann seine Karriere als Netzwerk-Entwickler bei der Eltec Elektronik, einem Hersteller für Industrierechner und Industrial Imaging-Lösungen, bevor er in den Vertrieb des Unternehmens wechselte. Bei dem Systemintegrator Controlware Communicationssystems arbeitete der Security-Experte anschließend überwiegend als Vertriebsbeauftragter für IT-Security-Lösungen. Seit 2004 ist er Senior Security Consultant bei Axians IT Security, wo er die Konzeption und Implementierung technischer und organisatorischer Security-Projekte verantwortet. Durch den kontinuierlichen Kundenkontakt kennt er aktuelle Security-Bedrohungen aus erster Hand und verfügt über umfangreiches Praxiswissen.
(ID:47826966)
:quality(80)/images.vogel.de/vogelonline/bdb/1937300/1937381/original.jpg "Krankenhäuser sind eine Goldgrube für Cyberkriminelle. Seit dem ersten Januar 2022 fordert der Gesetzgeber aus diesem Grund von Kliniken ein höheres Maß an Informationssicherheit. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1902400/1902401/original.jpg "Sicherheitszertifizierungen sind heute wichtiger denn je. Sie ermöglichen nicht nur einen ganzheitlichen Unternehmensschutz, sondern auch einen Wettbewerbsvorteil. (BSI)")