MENU
  1. Bildung
  2. Themenwelten: Weiter denken ‒ Wissen entwickeln
  3. Cyberkriminalität
  4. Cybersicherheit mit ISO und CISO

Fünf Erfolgsfaktoren für die Abwehr von Cyberkriminalität

Cyberangriffe gehören zu den peinlichsten Vorfällen, die einem Unternehmen passieren können. Denn sie können überaus imageschädigend sein. Deshalb gibt kaum eine Firma zu, dass sie von einem Hackerangriff betroffen ist. Experten schätzen die Dunkelziffer bei 90 bis 95 Prozent der Fälle.

Einer der größten Cyberangriffe der jüngsten Vergangenheit war die Hackerattacke auf die US-Wirtschaftsauskunftei Equifax, bei der persönliche Daten wie Geburtstage, Adressen und Sozialversicherungsnummern von über 140 Millionen Amerikanern erbeutet wurden, das sind 40 Prozent der US-Bevölkerung. Dass man nicht vollständig machtlos gegen solche Übergriffe ist, zeigt die Untersuchung, die Equifax dazu durchgeführt hat. Die Angreifer nutzten offenbar eine Sicherheitslücke in einer Software, die seit einigen Wochen bekannt war und die mit den dafür angebotenen Updates hätte geschlossen werden können.

5 Erfolgsfaktoren

download

1. Technik nutzen

Zu den grundlegendsten Schutzmaßnahmen gehört deshalb, dass der CISO (Chief Information Security Officer) beziehungsweise der Information Security Officer (ISO) dafür sorgt, dass die von den Herstellern empfohlenen Updates für die Unternehmenssoftware durchgeführt werden. Das betrifft insbesondere auch Virenschutzprogramme. Zwar gibt es in der Fachwelt eine Diskussion, ob diese Schutzschilde überhaupt noch sinnvoll sind, da Hacker extrem schnell Schwachstellen ausloten. Doch für die meisten Unternehmen dürfte derzeit kein Weg daran vorbeiführen. Zu den elementaren und relativ einfachen Vorkehrungen gehört auch die Nutzung von Verschlüsselungsprogrammen für Emails. „Das wird noch viel zu wenig angewendet“, meint Hans-Ulrich Bierhahn, der als betrieblicher Datenschutzbeauftragter für verschiedene Firmen tätig ist. Das macht es ungebetenen „Besuchern“ der Firmen-IT viel schwieriger, illegal Inhalte zu nutzen. Damit hätte beispielsweise folgender Vorfall verhindert werden können: Ein Hacker ergaunerte interne Informationen über eine Rechnung und erschwindelte mit einer täuschend ähnlich gehaltenen E-Mail mittels einer vorgegebenen Kontoänderung einen sechsstelligen Betrag.

2. Informationen einholen

Da sich die Bedrohungslage bei Cyberangriffen laufend ändert, müssen sich die Verantwortlichen ständig darüber informieren. Dafür eignet sich unter anderem die Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI). Gute Informationen bieten auch das Bundes- und die Landeskriminalämter sowie das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA). Der Heise-Verlag veröffentlicht zweimal wöchentlich einen Newsletter mit aktuellen Meldungen.

3. Problembewusstsein schärfen

Wichtig ist, dass die Unternehmensleitung immer wieder darauf hinweist, wie wichtig das Thema ist. Viele, vor allem kleinere Firmen sind sich laut Bierhahn nicht darüber im Klaren, dass sie über Know-how verfügen, das in der Welt der Cyberkriminalität sehr viel wert ist. Außerdem sollte das Management ein Bewusstsein bei den Mitarbeitern dafür schaffen, dass jeder Einzelne an der Cybersicherheit mitwirken kann und muss – und dass im Schadensfall möglicherweise sein Arbeitsplatz in Gefahr ist.

4. Organisatorische Maßnahmen

Neben technischen Maßnahmen wie sichere Server, Firewall-Systeme und Antiviren-Lösungen betrifft das Thema Cybersicherheit noch einen weiteren Punkt, der immer wichtiger wird: nämlich die organisatorischen Maßnahmen. Dabei geht es zunächst ganz grundlegend darum festzulegen, welche cyberrelevanten Werte das Unternehmen hat, welchen Risiken sie ausgesetzt sein können und wie sie geschützt werden können. Dabei müssen die internen Abläufe, Verantwortlichkeiten, involvierten Personen und möglicherweise auch die Zusammenarbeit mit den Zulieferern hinsichtlich dieser Punkte analysiert werden.

Informationssicherheit ist ein Prozess, der auf alle Kerngeschäftsprozesse des Unternehmens Einfluss nimmt

Tatjana Brozat, Auditorin für Informationssicherheit


Um das Thema im Unternehmen wirklich zu implementieren, ist eine ganzheitliche Herangehensweise wichtig. Deshalb sei der Fokus allein auf technische Maßnahmen nicht ausreichend, sondern setzt einen sicherheitsanalytischen Ansatz voraus. „Dafür ist eine fundierte Ausbildung notwendig“, so Frau Brozat, „die in entsprechenden Kursen erworben werden kann.“ Dazu zählen beispielsweise die Qualifizierungen der TÜV NORD Akademie zum CISO, zum IT-Sicherheitsbeauftragten (ISO) oder zum IT-Grundschutz-Experten.

5. Sicherheit messen

Obwohl Informationssicherheit ein weitgehend immaterieller Wert ist, gibt es verschiedene Methoden, die Verbesserungen in diesem Bereich zu messen. Dazu gehört die Einführung von sogenannten KPIs (Key Performance Indicators). „Ein typisches Beispiel dafür ist die jährliche Auswertung der Anzahl der Informationssicherheitsvorfälle“, erläutert Brozat. Dabei kann man feststellen, ob sich der Trend verbessert hat. Die Expertin rät, mindestens einmal pro Jahr einen Managementreport zu erstellen, der Projekte sowie Statistiken zu den KPIs enthält. Dabei sollte das Erreichte dargestellt und Schwachstellen aufgelistet werden.

Grundsätzlich wird der Kampf gegen die Cyberkriminalität immer anspruchsvoller. Um die Jahrtausendwende waren die IT-Strukturen in einem Unternehmen noch relativ einfach und übersichtlich. IT-Sicherheit bedeutete in erster Linie technische Maßnahmen. Angesichts der zunehmenden Digitalisierung werden aber immer Daten ausgetauscht. Unternehmen kommunizieren mit ihren Zulieferern, mit ihren Kunden und mit anderen Firmen, auch über Ländergrenzen hinweg.

Auf der einen Seite braucht eine Firma also offene Systeme für den Informationsaustausch, auf der anderen Seite verfügt sie über schützenswertes Know-how und Wissen. Um diesen Spagat hinzubekommen, müssen die Verantwortlichen von CISO über ISO bis zu IT-Grundschutz-Experten Sicherheitsvorkehrungen ergreifen, die alle Aspekte eines Unternehmens einbeziehen.

Vor dem Hintergrund der Bedrohungslage ist ein 100-prozentiger Schutz kaum möglich. „Aber es geht darum, die Wahrscheinlichkeit für einen IT-Sicherheits-Gau zu verringern, und es geht darum, die Schadenhöhe in so einem Fall zu begrenzen“, stellt Bierhahn fest.

Unsere Seminare zur IT-Sicherheit

Safe Website Concept

IT-Grundschutz-Experte (TÜV)

BSI-Standard 100 in täglicher Anwendung schafft Sicherheit und Zuverlässigkeit bei der Verarbeitung von Informationen und Daten.
buchen
Composite image of blue technology interface with binary code

IT-Sicherheitsgesetz (IT-SiG)

Verschaffen Sie sich einen Überblick und profitieren Sie von den Handlungsempfehlungen zu den aktuellen Anforderungen an KRITIS-Unternehmen und Zulieferer.
buchen
two businessmen having discussion in office

Information Security Officer - ISO (TÜV)

IT-Sicherheitsbeauftragter gemäß ISO 27001 und IT-Grundschutz. Lernen Sie die Rolle des ISO´s im Betrieb und Erfolgsfaktoren für ein Informationsmanagementsystem kennen.
buchen
security lock symbol on computer circuit board

Chief Information Security Officer - CISO (TÜV)

Sie erhalten fundierte Kenntnisse um Ihre Informationssicherheit kompetent zu steuern.
buchen

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen