:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Etablierung eines ISMS Strukturierte Prozesse sind das A und O hoher IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Cyber-Risiken nehmen unverändert zu und Unternehmen sind gezwungen, ihre IT-Sicherheit zu erhöhen. Elementare Maßnahmen sind dabei die Etablierung strukturierter Security-Prozesse und die Einführung eines Informationssicherheitsmanagementsystems (ISMS).
Viele Unternehmen, vor allem im Mittelstand, investieren unzureichend in die IT-Sicherheit, meist aus Kostengründen. Dieses Vorgehen kann für lange Zeit gut gehen, muss es aber nicht: Es birgt ein hohes Gefahrenpotenzial und kann erhebliche Schäden nach sich ziehen. Insbesondere die gesetzlichen Vorgaben (u.a. IT-Sicherheitsgesetz 2.0 oder DSGVO) setzen den Mittelstand und die Betreiber von Kritischen Infrastrukturen hierbei gehörig unter Druck. Die möglichen Konsequenzen eines fahrlässigen Umgangs mit der Informationssicherheit reichen vom einfachen Datenklau über Industriespionage und Denial-of-Services bis hin zur Erpressung – Stichwort Ransomware. Auch sollten Unternehmen die im Zuge von DSGVO-Verletzungen in immer höherem Ausmaß verhängten Bußgelder nicht außer Acht lassen: noch dieses Jahr soll es zu einer deutlichen Anpassung der Bußgelder im Zusammenhang mit dem IT-Sicherheitsgesetz 2.0 kommen.
Angesichts der hohen Cyber-Risiken und drohender Sanktionen kann kaum ein Unternehmen und erst recht keine staatliche Behörde auf eine umfassende IT-Sicherheitsstrategie mehr verzichten. Diese Erkenntnis setzt sich glücklicherweise immer stärker durch, das heißt, es wird mehr als in der Vergangenheit in IT- und Informationssicherheit, investiert, um das eigene Geschäft und die eigenen Unternehmenswerte nicht zu gefährden.
Die Aufgabe ist klar: Wollen Unternehmen auch zukünftig in der digitalen Welt erfolgreich sein, müssen sie eine effiziente, Ende-zu-Ende Informationssicherheitsstrategie verfolgen und dauerhaft ein Informationssicherheitsmanagementsystem (ISMS) etablieren. Ziel einer solchen Strategie muss sein, unter Berücksichtigung des jeweiligen Risikos geeignete Sicherheitsmaßnahmen zu ergreifen und die eigenen Verfahren und Techniken kontinuierlich zu evaluieren. Sinnvoll angewendete Cyber-Security erfordert eine gesamtorganisatorische und strukturierte Herangehensweise, die auch Veränderungen in der Geschäftsstruktur berücksichtigen kann. Und auch umgekehrt müssen Veränderungen in der Geschäftsstruktur eine gesamtorganisatorische und strukturierte Herangehensweise an die IT-Sicherheit beinhalten beziehungsweise nach sich ziehen.
Die Erfahrung zeigt, dass die Einführung eines ISMS nur erfolgreich ist, wenn sich von Anfang an die Leitungsebene eines Unternehmens wirksam dafür einsetzt: Ohne ein nachhaltiges Management-Buy-In entsteht auch keine nachhaltige Informationssicherheit. Die Beteiligung von Vorstands- beziehungsweise Geschäftsleitungsebene ist allein schon deshalb wichtig, weil für die Umsetzung von Informationssicherheit Investitionen getätigt werden müssen. Außerdem muss das Management natürlich hinter allen etwaigen Veränderungen stehen und die Mitarbeiter von der Notwendigkeit überzeugen. Schließlich kann die Umsetzung von Sicherheitsmaßnahmen auch mühsam sein, Arbeitsabläufe erschweren oder sogar demotivierend wirken. In der Praxis hat sich hierbei als äußerst hilfreich ein sogenannter Basis-Sicherheits-Check (Quick-Check) erwiesen. Anhand dessen kann branchenübergreifend jedes Unternehmen in kurzer Zeit einen guten und für die Praxis brauchbaren Überblick über den eigenen Stand zur Informationssicherheit erlangen.
Normen und Standards geben den Weg vor
Das Positive bei der Informationssicherheit ist: Kein Unternehmen muss auf der grünen Wiese beginnen. Es stehen etablierte Normen zur Verfügung, die auch genutzt werden sollten. ISO27001 und der BSI-IT-Grundschutz in seiner modernisierten Form etwa sind hinreichend flexibel, um die Anforderungen unterschiedlichster Unternehmen abzudecken, beispielsweise im Hinblick auf die Unternehmensgröße, die Komplexität der Infrastruktur oder den Schutzbedarf. Speziell für kleinere und mittlere Unternehmen bietet sich vor allem der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit“ des BSI an. Er enthält reduzierte Anforderungen und unterstützt bei der schnellen Einführung eines ISMS. Neben solchen Standards müssen selbstverständlich auch interne Compliance-Vorgaben beachtet werden.
Risikobewertung ist der Ausgangspunkt
Eine umfassende Risikobewertung – laut BSI eine Struktur- und Schutzbedarfsanalyse oder im Rahmen eines Business-Continuity-Managements eine Business-Impact-Analyse – steht immer am Anfang der Festlegung einer Sicherheitsstrategie und der Implementierung eines ISMS. Es ist nicht sinnvoll, Sicherheitsmaßnahmen zu ergreifen, wenn die Risiken nicht analysiert und bewertet wurden. Das Ergebnis einer Risikoanalyse kann zum Beispiel auch sein, dass bestimmte Sicherheitsmaßnahmen nicht ergriffen werden, weil der Aufwand in keinem Verhältnis zum möglichen Schaden steht – auch hier gilt die Redewendung „Nicht mit Kanonen auf Spatzen schießen“. Andererseits müssen IT-Systeme, die maßgeblich für die Wertschöpfung des Unternehmens sind, unbedingt maximal geschützt werden.
Eine unverzichtbare Basis für eine effiziente Sicherheitsstrategie ist somit eine ganzheitliche Risikobetrachtung. Zu den Mindestanforderungen gehört die Klärung folgender Fragen
- Wie sieht mein Informationsverbund aus? Welche IT-Systeme sind überhaupt vorhanden? Welche Geschäftsbereiche nutzen welche Systeme?
- Wie gefährdet sind die Systeme wirklich? Sind die IT-Systeme nur Ziele von Skriptkiddies oder auch von Kriminellen oder sogar fremden Diensten?
- An welcher Stelle verlassen Daten das Unternehmen? Wie sehen die Schnittstellen aus?
- Was passiert mit dem Geschäft, wenn bestimmte IT-Systeme ausfallen?
- Wie wahrscheinlich ist ein Ausfall – sei es durch einen Angriff oder einen technischen Defekt?
- Was kostet eine vollständige oder teilweise Wiederinbetriebnahme nach Ausfall?
- Welche sonstige Kosten zieht ein Ausfall nach sich, etwa im Hinblick auf fällige Bußgelder?
- Was kostet die umfassende Sicherung aller relevanten Systeme?
Lösungsauswahl und Mitarbeiterqualifikation
Basierend auf der spezifizierten Strategie müssen die erforderlichen Sicherheitslösungen und -tools eingeführt werden. Dabei ist es erforderlich, die in Frage kommenden Lösungen zu evaluieren, Kosten-Nutzen-Betrachtungen anzustellen und Fragen der Installation, des Betriebs und der Wartung zu klären. Unter Umständen kann bei diesem Prozess die Nutzung von Consulting-Services externer Dienstleister sinnvoll sein. Auch ein komplettes Outsourcing des Themas IT-Sicherheit kann für viele Unternehmen aufgrund von Ressourcenengpässen ein empfehlenswerter Weg sein.
Von elementarer Bedeutung ist, dass der vorhandene Mitarbeiterstamm die Sicherheitsstrategie umsetzen kann, es müssen also die erforderlichen Qualifikationen im Unternehmen verfügbar sein. Außerdem muss ein Unternehmen die Verantwortlichkeiten für die Durchsetzung und Kontrolle von organisatorischen Maßnahmen festlegen und Aktivitäten zur Motivation und Sensibilisierung der Mitarbeiter ergreifen. Es ist im Rahmen eines ISMS ein absolutes Muss, ein Schulungs- und Sensibilisierungskonzept zu erstellen und nachzuweisen. Auch hinsichtlich des im Unternehmen verfügbaren Sicherheits-Know-hows stellt sich die Frage nach einem Outsourcing. Dabei sollte ein Unternehmen abwägen, ob es kostengünstiger ist, das eigene Personal zu qualifizieren oder externe Experten zu involvieren.
Insgesamt ist bei der Etablierung von Security-Prozessen eine strukturierte Vorgehensweise erforderlich, punktuelle Aktivitäten führen hingegen kaum zum Erfolg und zu einer durchgängig höheren Sicherheit. Wichtig ist auch, dass die Sicherheitskultur im Unternehmen gelebt wird, Startpunkt ist zwar das Management, aber die anschließende Achtsamkeit der Mitarbeiter ist unerlässlich.
Bei allen Vorbehalten gegenüber den Kosten, die mit Sicherheitsmaßnahmen verbunden sind, darf ein Aspekt zudem nicht zu kurz kommen. Security ist immer auch eine Chance, sich im Markt zu behaupten. Gerade mittelständische Unternehmen, die als Zulieferer von Organisationen oder Einrichtungen mit hoher staatlicher Bedeutung fungieren – Stichwort Kritische Infrastrukturen, müssen in immer stärkerem Maße Nachweise zur Informationssicherheit erbringen. Sicherheit wird damit mehr und mehr zum Wettbewerbsfaktor.
Über den Autor: Andreas Kirsch ist Director Consulting Services und Teamlead für IT-Governance, Risk and Compliance bei CGI in Köln.
(ID:46972247)
:quality(80)/p7i.vogel.de/wcms/a3/68/a36874bcdcb01c8653a18875b2f58abd/0112879816.jpeg "Da Ressourcen – allen voran die IT-Sicherheitsexperten – nicht unbegrenzt zur Verfügung stehen, führt an einer nachhaltigen IT-Security-Strategie und entsprechenden risikobasierten Maßnahmen kein Weg vorbei. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")