:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Etablierung eines ISMS Strukturierte Prozesse sind das A und O hoher IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Cyber-Risiken nehmen unverändert zu und Unternehmen sind gezwungen, ihre IT-Sicherheit zu erhöhen. Elementare Maßnahmen sind dabei die Etablierung strukturierter Security-Prozesse und die Einführung eines Informationssicherheitsmanagementsystems (ISMS).
Viele Unternehmen, vor allem im Mittelstand, investieren unzureichend in die IT-Sicherheit, meist aus Kostengründen. Dieses Vorgehen kann für lange Zeit gut gehen, muss es aber nicht: Es birgt ein hohes Gefahrenpotenzial und kann erhebliche Schäden nach sich ziehen. Insbesondere die gesetzlichen Vorgaben (u.a. IT-Sicherheitsgesetz 2.0 oder DSGVO) setzen den Mittelstand und die Betreiber von Kritischen Infrastrukturen hierbei gehörig unter Druck. Die möglichen Konsequenzen eines fahrlässigen Umgangs mit der Informationssicherheit reichen vom einfachen Datenklau über Industriespionage und Denial-of-Services bis hin zur Erpressung – Stichwort Ransomware. Auch sollten Unternehmen die im Zuge von DSGVO-Verletzungen in immer höherem Ausmaß verhängten Bußgelder nicht außer Acht lassen: noch dieses Jahr soll es zu einer deutlichen Anpassung der Bußgelder im Zusammenhang mit dem IT-Sicherheitsgesetz 2.0 kommen.
Angesichts der hohen Cyber-Risiken und drohender Sanktionen kann kaum ein Unternehmen und erst recht keine staatliche Behörde auf eine umfassende IT-Sicherheitsstrategie mehr verzichten. Diese Erkenntnis setzt sich glücklicherweise immer stärker durch, das heißt, es wird mehr als in der Vergangenheit in IT- und Informationssicherheit, investiert, um das eigene Geschäft und die eigenen Unternehmenswerte nicht zu gefährden.
Die Aufgabe ist klar: Wollen Unternehmen auch zukünftig in der digitalen Welt erfolgreich sein, müssen sie eine effiziente, Ende-zu-Ende Informationssicherheitsstrategie verfolgen und dauerhaft ein Informationssicherheitsmanagementsystem (ISMS) etablieren. Ziel einer solchen Strategie muss sein, unter Berücksichtigung des jeweiligen Risikos geeignete Sicherheitsmaßnahmen zu ergreifen und die eigenen Verfahren und Techniken kontinuierlich zu evaluieren. Sinnvoll angewendete Cyber-Security erfordert eine gesamtorganisatorische und strukturierte Herangehensweise, die auch Veränderungen in der Geschäftsstruktur berücksichtigen kann. Und auch umgekehrt müssen Veränderungen in der Geschäftsstruktur eine gesamtorganisatorische und strukturierte Herangehensweise an die IT-Sicherheit beinhalten beziehungsweise nach sich ziehen.
Die Erfahrung zeigt, dass die Einführung eines ISMS nur erfolgreich ist, wenn sich von Anfang an die Leitungsebene eines Unternehmens wirksam dafür einsetzt: Ohne ein nachhaltiges Management-Buy-In entsteht auch keine nachhaltige Informationssicherheit. Die Beteiligung von Vorstands- beziehungsweise Geschäftsleitungsebene ist allein schon deshalb wichtig, weil für die Umsetzung von Informationssicherheit Investitionen getätigt werden müssen. Außerdem muss das Management natürlich hinter allen etwaigen Veränderungen stehen und die Mitarbeiter von der Notwendigkeit überzeugen. Schließlich kann die Umsetzung von Sicherheitsmaßnahmen auch mühsam sein, Arbeitsabläufe erschweren oder sogar demotivierend wirken. In der Praxis hat sich hierbei als äußerst hilfreich ein sogenannter Basis-Sicherheits-Check (Quick-Check) erwiesen. Anhand dessen kann branchenübergreifend jedes Unternehmen in kurzer Zeit einen guten und für die Praxis brauchbaren Überblick über den eigenen Stand zur Informationssicherheit erlangen.
Normen und Standards geben den Weg vor
Das Positive bei der Informationssicherheit ist: Kein Unternehmen muss auf der grünen Wiese beginnen. Es stehen etablierte Normen zur Verfügung, die auch genutzt werden sollten. ISO27001 und der BSI-IT-Grundschutz in seiner modernisierten Form etwa sind hinreichend flexibel, um die Anforderungen unterschiedlichster Unternehmen abzudecken, beispielsweise im Hinblick auf die Unternehmensgröße, die Komplexität der Infrastruktur oder den Schutzbedarf. Speziell für kleinere und mittlere Unternehmen bietet sich vor allem der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit“ des BSI an. Er enthält reduzierte Anforderungen und unterstützt bei der schnellen Einführung eines ISMS. Neben solchen Standards müssen selbstverständlich auch interne Compliance-Vorgaben beachtet werden.
Risikobewertung ist der Ausgangspunkt
Eine umfassende Risikobewertung – laut BSI eine Struktur- und Schutzbedarfsanalyse oder im Rahmen eines Business-Continuity-Managements eine Business-Impact-Analyse – steht immer am Anfang der Festlegung einer Sicherheitsstrategie und der Implementierung eines ISMS. Es ist nicht sinnvoll, Sicherheitsmaßnahmen zu ergreifen, wenn die Risiken nicht analysiert und bewertet wurden. Das Ergebnis einer Risikoanalyse kann zum Beispiel auch sein, dass bestimmte Sicherheitsmaßnahmen nicht ergriffen werden, weil der Aufwand in keinem Verhältnis zum möglichen Schaden steht – auch hier gilt die Redewendung „Nicht mit Kanonen auf Spatzen schießen“. Andererseits müssen IT-Systeme, die maßgeblich für die Wertschöpfung des Unternehmens sind, unbedingt maximal geschützt werden.
Eine unverzichtbare Basis für eine effiziente Sicherheitsstrategie ist somit eine ganzheitliche Risikobetrachtung. Zu den Mindestanforderungen gehört die Klärung folgender Fragen
- Wie sieht mein Informationsverbund aus? Welche IT-Systeme sind überhaupt vorhanden? Welche Geschäftsbereiche nutzen welche Systeme?
- Wie gefährdet sind die Systeme wirklich? Sind die IT-Systeme nur Ziele von Skriptkiddies oder auch von Kriminellen oder sogar fremden Diensten?
- An welcher Stelle verlassen Daten das Unternehmen? Wie sehen die Schnittstellen aus?
- Was passiert mit dem Geschäft, wenn bestimmte IT-Systeme ausfallen?
- Wie wahrscheinlich ist ein Ausfall – sei es durch einen Angriff oder einen technischen Defekt?
- Was kostet eine vollständige oder teilweise Wiederinbetriebnahme nach Ausfall?
- Welche sonstige Kosten zieht ein Ausfall nach sich, etwa im Hinblick auf fällige Bußgelder?
- Was kostet die umfassende Sicherung aller relevanten Systeme?
Lösungsauswahl und Mitarbeiterqualifikation
Basierend auf der spezifizierten Strategie müssen die erforderlichen Sicherheitslösungen und -tools eingeführt werden. Dabei ist es erforderlich, die in Frage kommenden Lösungen zu evaluieren, Kosten-Nutzen-Betrachtungen anzustellen und Fragen der Installation, des Betriebs und der Wartung zu klären. Unter Umständen kann bei diesem Prozess die Nutzung von Consulting-Services externer Dienstleister sinnvoll sein. Auch ein komplettes Outsourcing des Themas IT-Sicherheit kann für viele Unternehmen aufgrund von Ressourcenengpässen ein empfehlenswerter Weg sein.
Von elementarer Bedeutung ist, dass der vorhandene Mitarbeiterstamm die Sicherheitsstrategie umsetzen kann, es müssen also die erforderlichen Qualifikationen im Unternehmen verfügbar sein. Außerdem muss ein Unternehmen die Verantwortlichkeiten für die Durchsetzung und Kontrolle von organisatorischen Maßnahmen festlegen und Aktivitäten zur Motivation und Sensibilisierung der Mitarbeiter ergreifen. Es ist im Rahmen eines ISMS ein absolutes Muss, ein Schulungs- und Sensibilisierungskonzept zu erstellen und nachzuweisen. Auch hinsichtlich des im Unternehmen verfügbaren Sicherheits-Know-hows stellt sich die Frage nach einem Outsourcing. Dabei sollte ein Unternehmen abwägen, ob es kostengünstiger ist, das eigene Personal zu qualifizieren oder externe Experten zu involvieren.
Insgesamt ist bei der Etablierung von Security-Prozessen eine strukturierte Vorgehensweise erforderlich, punktuelle Aktivitäten führen hingegen kaum zum Erfolg und zu einer durchgängig höheren Sicherheit. Wichtig ist auch, dass die Sicherheitskultur im Unternehmen gelebt wird, Startpunkt ist zwar das Management, aber die anschließende Achtsamkeit der Mitarbeiter ist unerlässlich.
Bei allen Vorbehalten gegenüber den Kosten, die mit Sicherheitsmaßnahmen verbunden sind, darf ein Aspekt zudem nicht zu kurz kommen. Security ist immer auch eine Chance, sich im Markt zu behaupten. Gerade mittelständische Unternehmen, die als Zulieferer von Organisationen oder Einrichtungen mit hoher staatlicher Bedeutung fungieren – Stichwort Kritische Infrastrukturen, müssen in immer stärkerem Maße Nachweise zur Informationssicherheit erbringen. Sicherheit wird damit mehr und mehr zum Wettbewerbsfaktor.
Über den Autor: Andreas Kirsch ist Director Consulting Services und Teamlead für IT-Governance, Risk and Compliance bei CGI in Köln.
(ID:46972247)
:quality(80)/images.vogel.de/vogelonline/bdb/1937300/1937381/original.jpg "Krankenhäuser sind eine Goldgrube für Cyberkriminelle. Seit dem ersten Januar 2022 fordert der Gesetzgeber aus diesem Grund von Kliniken ein höheres Maß an Informationssicherheit. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1902400/1902401/original.jpg "Sicherheitszertifizierungen sind heute wichtiger denn je. Sie ermöglichen nicht nur einen ganzheitlichen Unternehmensschutz, sondern auch einen Wettbewerbsvorteil. (BSI)")