Cybersicherheit: Wie Unternehmen mit der gegenwärtigen Bedrohung umgehen können


Es vergeht kaum noch ein Tag an dem wir nicht mit Headlines wie

  • Kritische Sicherheitslücke „Print Nightmare“
  • Ransomware-Angriff auf den Elektronik-Fachmarkt
  • Im Würgegriff der Erpresser
  • Großer Lebensmitteleinzelhändler kauft ein Cybersecurity-Unternehmen
  • ERP-Hersteller schließt ungewohnt viele kritische Lücken zum Patchday

konfrontiert werden. Die Liste an Cyberbedrohungen – egal ob in Deutschland oder in anderen Ländern – ließe sich beliebig fortsetzen.

Der Neuigkeitswert dieser Nachrichten hält sich zwar in Grenzen und dennoch beschleicht einen zunehmend das Gefühl, dass sich die Situation stetig zuspitzt. War die Bedrohungslage in der Vergangenheit eher abstrakter und theoretischer Natur, hören wir inzwischen von uns wohlbekannten Institutionen, die von Cyberangriffen betroffen sind. Fälle aus dem eigenen persönlichen Netzwerk werden bekannt und als verantwortliche Person kämpft man selbst fast im Tagesrhythmus mit dem Rollout von sehr dringlichen Patches.

Trotz Cybersicherheits­maßnahmen in Unternehmen: Die Unsicherheit bleibt

Eine ganze Menge von technischen Maßnahmen werden in Unternehmen bereits ergriffen, um Cybersicherheit herzustellen und das Risiko von Angriffen zu mindern. Unsere Arbeitsplätze sind mit Antiviren-Lösungen ausgerüstet, eine Firewall wacht über den Netzwerkverkehr, wir halten unsere Systeme auf dem aktuellen Patchlevel und informieren uns über die Bedrohungslage, so gut wie es der volle Terminkalender erlaubt.

Das gibt schon einmal ein gutes Gefühl und doch bleibt eine gewisse Unsicherheit, ob die ergriffenen Maßnahmen für die wirklich angemessen sind. Reicht das Schutzniveau? Was ist das richtige Maß, um Informationen und Daten zu schützen? Wieviel Aufwand ist zur Absicherung angebracht? Wer oder was kann mir die Antwort dazu liefern, wie meine Cybersicherheitsstrategie gestaltet sein muss?

Unternehmen haben individuelle Anforderungen an ihre Cybersicherheit

Nehmen wir die schlechte Nachricht gleich vorweg: Die Antwort auf diese Fragen muss jedes Unternehmen für sich selbst finden. Damit ist zum Glück nicht gemeint, dass Organisationen bei der Entwicklung und Umsetzung einer Cybersicherheitsstrategie vollständig auf sich allein gestellt sind. Hilfestellung kann z.B. von darauf spezialisierten Dienstleistern im Bereich Informations- und IT-Sicherheit kommen. Auch erprobte und anerkannte Anforderungskataloge und Normen können den richtigen Rahmen liefern und in einem umfassenden Ansatz die Frage nach dem „Was sollte ich tun?“ beantworten. Das „Wie sollte ich es genau tun?“ wird damit häufig nicht beantwortet, aber darauf gibt es auch – wie gesagt – keine allgemeingültige Antwort.

Unternehmen müssen für sich selbst definieren, was sie im Einzelfall und im Rahmen der üblichen Best Practices für angemessen halten. Aber auch hier gilt: Erfahrene Berater können in diesem Prozess wertvolle Hilfe bei der Verbesserung der Cybersicherheit leisten. Sie kennen einschlägige Lösungsansätze und helfen dabei, diese an die Anforderungen anzupassen.

Normen und Richtlinien geben Orientierung und Sicherheit

Es gibt zwei wesentliche Punkte, warum es sich für die eigene IT-Sicherheit außerdem bewährt hat, sich an Normen und Richtlinien wie ISO 27001, BSI-Grundschutz, VDS 10000, etc. zu orientieren:

  1. Sie können gewährleisten, dass Unternehmen keine wesentlichen Aspekte der Informationssicherheit auslassen. Schließlich ist es mit punktuellen Aktivitäten im Bereich Cybersicherheit nicht getan. Es ist eine Binsenweisheit, dass die doppelt verstärkte Eingangstür nicht viel nützt, wenn die Terassentür auf Kipp steht.
  2. Diese Richtlinien und Normen beschreiben Informationsmanagementsysteme. Ein Managementsystem dient dazu, Unternehmen in Strukturen und Abläufen so zu organisieren, dass sie systematisch handeln, um geplante Ergebnisse wiederkehrend zu erreichen. Teil eines solchen Managementsystem ist immer ein kontinuierlicher Verbesserungsprozess, der stets den Status Quo überprüft, hinterfragt und für eine Weiterentwicklung sorgt.

Unternehmen brauchen schlanke und belastbare Prozesse

Die Anforderungen an eine Informationssicherheitsstrategie klingen auf den ersten Blick sperrig. Es riecht nach viel Aufwand, Dokumentation, unflexiblen und bürokratischen Prozessen. Wenn Unternehmen es falsch angehen, könnte auch genau das dabei herauskommen. Doch ist das Ziel nicht, die Organisation zu lähmen. Eine Informationssicherheitsstrategie soll das Niveau der Cybersicherheit auf das gewünschte Level bringen und Bedrohungen abwenden. Dies sollte mit angemessenen Maßnahmen, schlanken und gleichzeitig belastbaren Prozessen sowie einer klaren Rollenverteilung erreicht werden.

Zertifizierung oder nicht?

Eine externe Zertifizierung des Managementsystems kann aus unterschiedlichen Gründen sinnvoll sein, beispielsweise um das Vertrauen von Lieferanten, Dienstleistern und Geschäftspartnern zu stärken. Gibt es keine Notwendigkeit für die Zertifizierung, bleibt diese natürlich optional. Die oben genannten Normen lassen sich auch ohne eine externe Zertifizierung heranziehen, um interne Verbesserungen herbeizuführen.

Schlussendlich ist es schließlich nicht das Paperwork per se, das dafür sorgt, dass die richtigen technischen und organisatorischen Maßnahmen das Schutzniveau sicherstellen. Wichtiger ist das konsequente Handeln nach den selbst erstellten Richtlinien und die Weiterentwicklung des Systems.

Informations­­sicherheit by affinis

An dieser Stelle setzen wir von affinis mit unserem Erfahrungsschatz an. Die Kombination aus dem Know-how zur Einführung von Managementsystemen mit der Praxiserfahrung aus der Begleitung von lebenden Managementsystemen unserer Kunden und der Aufrechterhaltung unserer eigenen Zertifizierung bilden das Fundament für die zielgerichtete Beratung unserer Kunden.

Finden Sie diesen Ansatz interessant? Dann nehmen Sie gerne Kontakt zu uns auf oder informieren Sie sich über unser Beratungsangebot.

Anzeige
Anzeige für die Checkliste