MENU
  1. Bildung
  2. Wissen kompakt
  3. IT-Sicherheit
  4. Cybersicherheit mit ISO und CISO

Risiko Cyberkriminalität

Cyberangriffe können das Kerngeschäft wie auch das Image eines Unternehmens nachhaltig schädigen. Deshalb geben Unternehmen selten an, wenn sie von einem Hackerangriff betroffen sind. Experten schätzen, dass die Dunkelziffer hier bei 90 bis 95 Prozent der Fälle liegt.

Grundsätzlich wird der Kampf gegen die Cyberkriminalität immer anspruchsvoller. Um die Jahrtausendwende waren die IT-Strukturen in einem Unternehmen noch relativ einfach und übersichtlich. IT-Sicherheit bedeutete in erster Linie, technische Schutzmaßnahmen zu ergreifen. Angesichts der zunehmenden Digitalisierung werden aber immer mehr Daten ausgetauscht: Unternehmen kommunizieren mit ihren Zulieferern, mit ihren Kunden und mit anderen Firmen, auch über Ländergrenzen hinweg.

Auf der einen Seite braucht eine Firma also offene Systeme für den Informationsaustausch, auf der anderen Seite verfügt sie über schützenswertes Know-how und Wissen. Um diesen Spagat hinzubekommen, müssen Unternehmen Sicherheitsvorkehrungen ergreifen, die neben der IT auch Mitarbeiter und Prozesse mit einbeziehen.

Fünf Maßnahmen zum Schutz der IT-Sicherheit in Unternehmen

Vor dem Hintergrund der Bedrohungslage ist ein 100-prozentiger Schutz kaum möglich. „Aber es geht darum, die Wahrscheinlichkeit für einen IT-Sicherheits-Gau zu verringern, und es geht darum, die Schadenhöhe in so einem Fall zu begrenzen“, so Hans-Ulrich Bierhahn, der als betrieblicher Datenschutzbeauftragter für verschiedene Firmen tätig ist.

Dazu sollten die Verantwortlichen für die IT-Sicherheit in Unternehmen folgende Maßnahmen ergreifen:

Infografik zu den Fünf Erfolgsfaktoren

Download

1. Technik nutzen: aktueller Stand der Software

Grundlegend für die IT-Sicherheit von Unternehmen ist, dass die verwendete Software dem aktuellen Stand der Technik entspricht. Verantwortliche, in größeren Unternehmen etwa der CISO (Chief Information Security Officer) beziehungsweise der Information Security Officer (ISO), müssen also dafür sorgen, dass die von den Herstellern empfohlenen Updates für die Unternehmenssoftware durchgeführt werden. Das betrifft insbesondere Virenschutzprogramme. Zwar gibt es in der Fachwelt eine Diskussion, ob diese Schutzschilde überhaupt noch sinnvoll sind, da Hacker extrem schnell Schwachstellen ausloten, doch dürfte für die meisten Unternehmen derzeit kein Weg daran vorbeiführen.

Zu den elementaren und relativ einfachen Vorkehrungen gehört auch die Nutzung von Verschlüsselungsprogrammen für E-Mails. „Das wird noch viel zu wenig angewendet“, meint Bierhahn. Das macht es ungebetenen „Besuchern“ der Firmen-IT viel schwieriger, illegal Inhalte zu nutzen, um etwa über täuschend echte E-Mails an Daten oder Geldbeträge zu gelangen beziehungsweise Viren einzuschleusen.

2. Infos einholen: Über Neuerungen und Bedrohungslagen informieren

IT-Sicherheit ist ein Bereich mitlaufenden Neuerungen und Entwicklungen. Auch die Bedrohungslage bei Cyberangriffen ändert sich laufend, daher müssen sich die Verantwortlichen ständig über den aktuellen Stand informieren. Dafür eignet sich unter anderem die Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI). Gute Informationen bieten auch das Bundes- und die Landeskriminalämter sowie das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA). Auch der Heise-Verlag veröffentlicht Artikel zu aktuellen Themen und verschickt dazu sogar zweimal wöchentlich einen Newsletter.

3. Bewusstsein schärfen: Mitarbeiter sind mit verantwortlich für IT-Sicherheit

Viele, vor allem kleinere Firmen, sind sich laut Bierhahn nicht darüber im Klaren, dass sie über Know-how verfügen, dass in der Welt der Cyberkriminalität sehr viel wert ist. Tatsächlich aber ist das Thema Informationssicherheit nicht nur relevant für die Unternehmensleitung, den CISO oder ISO, sondern für alle Mitarbeiter. Das Management sollte ein Bewusstsein bei den Mitarbeitern dafür schaffen, dass jeder Einzelne an der Cybersicherheit mitwirken kann und muss – und dass im Schadensfall möglicherweise sein Arbeitsplatz in Gefahr ist.

4. Maßnahmen treffen: Organisation und Prozesse im Unternehmen prüfen

Um die Informationssicherheit im Unternehmen gewährleisten zu können, ist eine ganzheitliche Herangehensweise wichtig. Neben technischen Maßnahmen wie sichere Server, Firewall-Systeme und Antiviren-Lösungen betrifft das Thema Cybersicherheit auch organisatorische Maßnahmen. Dabei geht es zunächst ganz grundlegend darum festzulegen, welche cyberrelevanten Werte das Unternehmen hat, welchen Risiken sie ausgesetzt sein können und wie sie geschützt werden können. Dazu müssen die internen Abläufe, Verantwortlichkeiten, involvierten Personen und möglicherweise auch die Zusammenarbeit mit den Zulieferern hinsichtlich dieser Punkte analysiert werden.

„Informationssicherheit ist ein Prozess, der auf alle Kerngeschäftsprozesse des Unternehmens Einfluss nimmt“, meint Tatjana Brozat, Auditorin für Informationssicherheit. Deshalb sei der Fokus allein auf technische Maßnahmen nicht ausreichend, sondern setzt einen sicherheitsanalytischen Ansatz voraus. „Dafür ist eine fundierte Ausbildung notwendig, die in entsprechenden Kursen erworben werden kann“, so Brozat.

5. Sicherheit messen: KPIs im Auge behalten

Obwohl Informationssicherheit ein weitgehend immaterieller Wert ist, gibt es verschiedene Methoden, die Verbesserungen in diesem Bereich zu messen. Dazu gehört die Einführung von sogenannten KPIs (Key Performance Indicators). „Ein typisches Beispiel dafür ist die jährliche Auswertung der Anzahl der Informationssicherheitsvorfälle“, erläutert Brozat. Dabei kann man feststellen, ob sich der Trend verbessert hat. Die Expertin rät, mindestens einmal pro Jahr einen Managementreport zu erstellen, der Projekte sowie Statistiken zu den KPIs enthält. Dabei sollte das Erreichte dargestellt und Schwachstellen aufgelistet werden.

Beispiel Euqifax: Hackerattacke im Mai 2017

Einer der größten Cyberangriffe der jüngsten Vergangenheit war die Hackerattacke auf die US-Wirtschaftsauskunftei Equifax, bei der persönliche Daten wie Geburtstage, Adressen und Sozialversicherungsnummern von über 140 Millionen Amerikanern erbeutet wurden, das sind 40 Prozent der US-Bevölkerung. Im Nachgang zeigten Untersuchungen von Equifax, dass die Angreifer offenbar eine Sicherheitslücke in einer Software genutzt haben, die bereits seit Wochen bekannt war und die mit den dafür angebotenen Updates hätte geschlossen werden können. Equifax hätte die Hackerattacke also wahrscheinlich verhindern können. Das zeigt: Unternehmen sind Cyberangriffen nicht machtlos ausgesetzt, stehen aber selbst in der Verantwortung.

IT-Sicherheit in Deutschland: aktuelle Themen

Information Security Officer – ISO (TÜV)

IT-Sicherheitsbeauftragter gemäß ISO 27001 und IT-Grundschutz. Lernen Sie die Rolle des ISO's im Betrieb und Erfolgsfaktoren für ein Informationsmanagementsystem kennen.
Zum Seminar

Chief Information Security Officer – CISO (TÜV)

Sie erhalten fundierte Kenntnisse um Ihre Informationssicherheit kompetent zu steuern.
Zum Seminar

ISO/IEC 27001 – Informationssicherheitsmanagement-Auditor

Lassen Sie sich in unserer ISO 27001 Lead Auditor Schulung (IRCA 17242) zum Informations-sicherheitsmanagement-Auditor ausbilden.
Zum Seminar

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen