:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Information Security Management System ISMS passt auch für den Mittelstand
In mittelständischen Betrieben wird es mit zunehmender Digitalisierung immer wichtiger, für Informationssicherheit zu sorgen. Ein Information Security Management System (ISMS) hilft, notwendige Maßnahmen und Richtlinien eines Sicherheitskonzeptes zu definieren, zu steuern und zu kontrollieren. Die Einführung eines ISMS ist je nach Vorgehensweise jedoch verhältnismäßig aufwändig. Es lohnt sich deshalb, die verschiedenen Rahmenwerke näher zu betrachten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Angriffe auf das Router-Netz der Deutschen Telekom im November 2016 haben erneut gezeigt, dass Cyber-Attacken kein Szenario aus einem Science-Fiction-Film sind. Und sie verursachen einen hohen Schaden: Der Branchenverband BITKOM beziffert den Schaden der deutschen Wirtschaft im Jahr 2015, verursacht durch digitale Wirtschaftsspionage, Sabotage und Diebstahl, auf 51 Milliarden Euro. Aber nicht nur Großkonzerne werden Opfer von Angriffen. Security-Experten warnen seit Jahren besonders mittelständische Betriebe vor der zunehmenden Gefahr durch Sicherheitsrisiken ihrer IT. Zwar ist inzwischen ein Bewusstsein für die Bedrohungslage entstanden, doch häufig ziehen Unternehmen noch keine Konsequenzen daraus.
Ein Sicherheitskonzept darf nicht statisch sein. Es muss sich immer wieder den wechselnden Anforderungen an die Informationssicherheit anpassen. Eine gute Ausgangsbasis für Security-Maßnahmen ist daher ein ISMS. Es stellt im Unternehmen ein angemessenes Sicherheitsniveau her, macht Risiken transparent und spart langfristig Kosten. Auf der einen Seite kanalisiert das Managementsystem alle relevanten Verfahren und Regeln, um die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicherzustellen. Auf der anderen Seite ist das Einführen eines solchen Rahmenwerks allerdings mit zusätzlichem Aufwand für das Unternehmen verbunden.
Vorschriften und was man daraus macht
Seitens des Gesetzgebers gibt es einige Vorgaben bezüglich der Informationssicherheit in Unternehmen. Dazu gehören zum Beispiel das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Bundesdatenschutzgesetz (BDSG) oder das IT-Sicherheitsgesetz (ITSiG).
Besonders das 2015 in Kraft getretene ITSiG stellt Mittelständler, die kritische Infrastrukturen betreiben (KRITIS), unter Handlungszwang. Gemeint sind in diesem Zusammenhang beispielsweise Betriebe aus den Sektoren Energie, Transport und Verkehr oder Gesundheit. Diese müssen ihre Informationssicherheit nachweislich regulieren – im besten Fall in Form eines anerkannten Zertifikats. Zwar spricht das ITSiG nicht wörtlich von einem Information Security Management System, der Ausdruck „aktueller Stand der Technik“ impliziert dies jedoch. Das Gesetz schreibt vor, dass Unternehmen gerade einmal zwei Jahre Zeit haben, die geforderten Maßnahmen umzusetzen. Auch kooperierende Großkonzerne üben mehr und mehr Druck auf mittelständische Betriebe aus: Sie schließen immer häufiger Unternehmen von Ausschreibungsverfahren aus, die kein zertifiziertes ISMS vorweisen können.
Nicht selten fühlen sich insbesondere kleinere und mittlere Unternehmen von diesen gesetzlichen Regularien überfordert. Das zeigt eine aktuelle Studie der Bundesdruckerei zur IT-Sicherheit und Digitalisierung. Dabei profitieren diese Unternehmen durchaus von der Einführung eines ISMS. Denn ein gelebtes Managementsystem unterstützt sie bei der Einhaltung von Gesetzen, Vorgaben und Normen. Und es sorgt für effektive Sicherheitsprozesse und schützt vor Angriffen wie Datendiebstahl, die hohe monetäre Schäden verursachen können.
Das passende ISMS finden
Die Zahl der Regelwerke, an denen sich mittelständische Unternehmen heute orientieren können, ist groß. Es gibt eher übersichtliche Rahmenwerke wie ISIS12, den umfangreichen IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder die international anerkannte ISO 27001. Jedes Rahmenwerk hat allerdings auch eine Zielgruppe. Das Informationssicherheits-Managementsystem in 12 Schritten (ISIS12) ist speziell für den Mittelstand konzipiert. Sehr knapp formuliert es die grundlegendsten Maßnahmen und Prozesse und kann als Grundlage für ein zertifizierbares ISMS dienen.
Das geeignetste Rahmenwerk ist in diesem Fall jedoch die ISO 27001. Zwar schrecken mittelständische Unternehmen häufig aufgrund des Umfangs vor ihr zurück, doch der darin beschriebene Standard lässt sich auf jede Unternehmensgröße skalieren. Zudem räumt das Rahmenwerk einen großen Spielraum bei der Umsetzung der erforderlichen Maßnahmen ein. Es ist also problemlos möglich, die vorgeschriebenen Regeln den eigenen Bedürfnissen anzupassen. Ein Beispiel: Kommt ein Unternehmen gänzlich ohne mobile Endgeräte aus, spielen die Maßnahmen zum Mobile Device Management und zur Mobile Security keine Rolle. Kann die eigene IT diese Anpassungs-Arbeit nicht leisten, ist es ratsam, auf einen spezialisierten Berater zurückzugreifen. Oft zeigt sich dann schnell, wie leicht ein Managementsystem nach ISO 27001 tatsächlich umzusetzen ist.
Schritt für Schritt das ISMS implementieren
Der erste Schritt, ein ISMS zu implementieren, ist die Risikoanalyse. Zunächst bestimmen Unternehmen dafür ihren aktuellen Stand der Informationssicherheit und potenzielle IT-Risiken. Sie analysieren außerdem, welche Daten und Informationen für das Unternehmen wertvoll beziehungsweise schützenswert sind. Diese Recherche stellt die Basis dar, um Gegenmaßnahmen auszuarbeiten, die es möglich machen, Bedrohungsszenarien zu minimieren und darauf zu reagieren. Der nächste Schritt ist das Erstellen eines Soll-Konzeptes. Dieses beschränkt sich nicht auf die IT-Abteilung, sondern geht darüber hinaus. Es bezieht auch die Werkssicherheit bzw. das Facility Management mit ein. Denn Informationssicherheit schließt nicht nur digitale oder virtuelle Sicherheitsaspekte ein, sondern auch physische. Eine anschließende Gap-Analyse zeigt die Differenz zwischen Soll und Ist auf.
Häufig folgt der Implementierung eines ISMS die Einführung eines Risikomanagements. Für Mittelständler macht das – neben einem Notfallmanagement und Sensibilisierungsmaßnahmen für die Mitarbeiter – durchaus Sinn. Bei allen Maßnahmen gilt es, auf Augenmaß zu achten. Oft lassen sich Ressourcen einsparen, wenn die Projektverantwortlichen die Einführung der Sicherheitsmaßnahmen mit anstehenden Aufgaben verknüpfen. Warum nicht die Migration auf ein neues Betriebssystem mit dem Stichtag für weitere Sicherheits-Tasks verbinden? Behalten Unternehmen dies im Hinterkopf und planen ein ISMS auf Basis des bestehenden Managementsystems, lassen sich Aufwand und Kosten reduzieren. Die Zusammenarbeit mit einem externen Berater empfiehlt sich darüber hinaus, um die individuellen Gegebenheiten im Unternehmen optimal anzupassen.
Der Autor Marius Brüggemann ist IT-Sicherheitsexperte beiAirITSystems.
(ID:44576402)
:quality(80)/p7i.vogel.de/wcms/e2/fa/e2fa3fb6dfcce8649ea43d1b85663d75/0113555225.jpeg "Zur erfolgreichen ISO 27001-Zertifizierung gelangt man in sechs Schritten. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/1e/d11e4732aa005a3dbc125b4a726d7349/0105852151.jpeg "Ein Datendiebstahl kann nicht nur über IT-Systeme erfolgen, sondern auch dadurch, dass ein Unbefugter in den internen physischen Bereich eines Unternehmens eindringt. (Bild: SasinParaksa - stock.adobe.com)")