23. Jul 2021

Cyber Security und ISMS – a perfect Match

How to break a Hacker’s Heart

Mit der zunehmenden Digitalisierung unserer Gesellschaft sind Unternehmen täglich dem Risiko von Cyberangriffen ausgesetzt. Die Sicherheitsherausforderungen werden sich auch weiterhin zuspitzen und Themen wie Cyber Security, Information Security und Datenschutz benötigen laufend Aufmerksamkeit.

Die schlechten Nachrichten vorweg: die 100% IT-Sicherheit gibt es nicht.

„Die Frage ist nicht, ob oder wann wir stolpern, sondern wie schnell wir wieder auf die Beine kommen“, so Stefan Schiebeck, CIS Netzwerkpartner und Produktexperte der ISO 27001. Nur etwa die Hälfte aller Firmen sei ausreichend über ihre IT-Sicherheitsmaßnahmen bzw. ein dahinterstehendes Notfallmanagement informiert.

Die gute Nachricht? Auch Hacker-Angriffe folgen einer gewissen Logik. Mit diesem Wissen und dem ein oder anderen nützlichen Werkzeug können Unternehmen gewappnet in die Zukunft gehen.

Ständig an sich arbeiten

„So wie Cyberattacken bzw. Cyberkriminalität ständig wachsen, müssen auch Unternehmen und deren Abwehrmechanismen laufend weiterentwickelt werden. Wenn man nicht ständig daran arbeitet, besser zu werden, wird man früher oder später links und rechts überholt“, betont Klaus Veselko, CEO der CIS - Certification & Information Security Services GmbH.

Klaus Veselko führt weiter aus: “Die Norm ISO 27001 unterstützt Unternehmen mit mehr als 100 Maßnahmen – sogenannten Controls – dabei, zu überprüfen und dokumentieren, wie ihr Level an Informationssicherheit aussieht. Das Ergebnis ist ein auf Unternehmen und Branchen abgestimmtes Informationssicherheitsmanagementsystem. In Managementsystemen ist der Kontinuierliche Verbesserungsprozess, kurz KVP, dafür verantwortlich, nie stillzustehen und immer besser zu werden.“

Wie kann also eine ganzheitliche Security Strategie aussehen? Wir haben einige Tipps und Tricks für Sie, um Schluss mit Cyberattacken zu machen und eine langfristige Beziehung zu Ihrem allumfassenden Informationssicherheitmanagementsystem (ISMS) aufzubauen.

1. Sich bewusst sein, was man möchte

Für jeden Topf den passenden Deckel: zunächst müssen Unternehmens- und Sicherheitsziele aufeinander abgestimmt sein. Ein Informationssicherheitsmanagementsystem gilt als der Beziehungs-Guide in der IT. Hacker lieben Unsicherheiten und unklare Beziehungen – daher sollten sich die Sicherheitsziele aus den Unternehmenszielen ableiten. Somit sollte man sich von Anfang an wesentliche Fragen stellen, wie etwa:

  • Was erwarte ich mir von einem ISMS?
  • Welche sind die für mein Unternehmen wertvollsten Werte und IT Assets?
  • Gibt es Anknüpfungspunkte in Form von Schnittstellen, Applikationen oder Systemlandschaften, die kritisch zu beachten sind?

„Bei vielen Unternehmen ist es aktuell so, dass Hacker wenige Stunden benötigen, um in ein System einzudringen – dort können sie üblicherweise bis zu einem Jahr unerkannt bleiben und sensible Daten abfließen lassen. Bei Unternehmen mit gut funktionierendem ISMS brauchen Hacker mehrere Tage bis Wochen, um in IT-Landschaften einzudringen und werden dann im Idealfall bereits nach wenigen Minuten erkannt und wieder hinaus befördert. Somit wird erheblicher Schaden in Form von Opportunitäts- und Betriebsstillstandskosten sowie Imageverlusten vermieden. Das gelingt nur, wenn sämtliche Sicherheitsmaßnahmen schon vorab gut durchdacht und geprüft sind“, so Schiebeck

2. Wissen, an wen man sich wann und wie wenden kann

Klaus Veselko rät zudem, Notfall- und Reaktionspläne zurechtzulegen, mit den für das jeweilige Unternehmen bzw. die jeweilige Branche wahrscheinlichsten Angriffen. „Wenn alle Beteiligten wissen, an wen man sich im Ernstfall wenden kann bzw. welche Gestaltungshebel in Kraft gesetzt werden müssen, kann im Schadensfall ad-hoc und effizient gehandelt werden“, unterstreicht Veselko.

Ein Business Continuity Managementsystem bzw. die ISO 22301 skizziert nach dem Plan-Do-Check-Act Zyklus genau diese möglichen Risiken von Betriebsausfällen, erlaubt Notfallübungen und -simulationen und definiert Krisenteams.

Plan – Was kann getan werden?
Do – Ausprobieren geht über Studieren
Check – ist der gewünschte Output entstanden?
Act – Für die Zukunft mitnehmen

Gleichzeitig gilt es nach dem Need-to-Know Prinzip Verantwortlichkeiten und Zuständigkeiten zu definieren, um im Ernstfall alle Abteilungen rasch informieren zu können – sowohl über den Vorfall als auch über das weitere Vorgehen. „Wer schneller zumindest zu einem eingeschränkten Betrieb kommt, kann die Krise rasch bewältigen und wieder zum Normalzustand kommen“, so Veselko.

Auch Schiebeck betont: „Es gilt sämtliche Endpunkte laufend zu monitoren. Es sind vermehrt Clients, die über Browser-Exploits, Malware oder Phishing-Mails angegriffen werden. Sämtliche Sicherheitsvorfälle müssen protokolliert und nachverfolgt werden, sonst passieren die gleichen Fehler wieder und wieder.“

3. Teamwork / alle ziehen an einem Strang

Was nützt jedoch ein System, wenn die Mitarbeitenden selbst ein Sicherheitsrisiko darstellen? Auch auf personeller Ebene müssen weitgehende Sicherheitsmaßnahmen gesetzt werden – angefangen von den Auszubildenden bis hin zur obersten Führungsetage. Eine offene Kommunikation, das Miteinbeziehen Aller genauso wie das Transportieren der wichtigsten Unternehmens-Assets und Beweggründe kann enorm helfen, damit alle Mitarbeiter das Thema Informationssicherheit verinnerlichen und leben.

Um bei allen im Team höheres Bewusstsein zu schaffen, ist es sehr hilfreich, eine eigens dafür geschulte Person, z. B. in der Position eines Information Security Managers, einzustellen. Diese arbeitet als Schnittstelle zwischen Management und operativen Unternehmensbereichen. Der Information Security Manager ist sozusagen das „strenge Elternteil“, an dem Hacker erstmal vorbei müssen.

Eine Zertifizierung, wie etwa die ISO 27001, gilt als ein wichtiger Nachweis für Kunden und Partner – dennoch sollte der dahinterstehende Gedanke einer gelebten Informationssicherheit auch tatsächlich betriebsintern und abteilungsübergreifend verinnerlicht sein, wenngleich auch das vielleicht hießt, gewisse Dinge einschränken zu müssen, beispielsweise die Nutzung des Firmenhandys zu privaten Zwecken.

4. Aufrüsten und aus Fehlern lernen

Erhöhen Sie Ihre Sicherheitsvorkehrungen, monitoren Sie weiterhin laufend die Netzwerke und führen Sie beispielsweise eine Zwei-Faktor-Authentifizierung – insbesondere für remote Zugriffe auf das Unternehmensnetzwerk – ein. Zertifizierte Unternehmen reagieren auf ständig wechselnde Anforderungen proaktiv und binden Sicherheitsmaßnahmen in den kontinuierlichen Verbesserungsprozess (KVP) ein.

Gleichzeitig zeigt ein KVP, dass ein ISMS ein „lebendes System“ ist – es gilt an den Prozessen und sich zu arbeiten, Maßnahmen zu überdenken und sich laufend zu verbessern. Der betriebliche Ist-Zustand muss stets an einen revidierten Soll-Zustand angepasst werden, um am technischen und organisatorischen sprichwörtlichen „Ball“ zu bleiben. Also nicht auf spontane Dates einlassen - langfristige Beziehungsarbeit zahlt sich aus.

5. Schritt für Schritt

Wieso alles alleine erarbeiten, wenn es doch schon viele andere gibt, die das gleiche durchgemacht haben? Support-Gruppen gegen Hacking-Kummer sind gut – den Kummer aber bereits vorweg zu verhindern, noch besser.

Wie eingangs erläutert, ist es wichtig, dass alle Beteiligten wissen, welche Prozesse und Maßnahmen relevant sind bzw. wann was passieren soll. Hier kann ein Informationssicherheitmanagementsystem (ISMS) auf Basis der ISO 27001 helfen, da es mit der Definition von Prozessen und Richtlinien für mehr Informationssicherheit sorgt. Die CIS als akkreditierte Zertifizierungsorganisation ist bereits seit vielen Jahren auf Themen wie Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren sowie auf Business Continuity Management spezialisiert und punktet somit durch wertvolles, langjähriges Know-How. „Viele Unternehmen weisen zwar technische Sicherheitsmaßnahmen, wie etwa Firewalls, auf, verfolgen aber kaum dahinterstehende Strukturen oder Prozesse“, so Veselko.

Die ISO 27001 beschreibt wiederum die Maßnahmen, mit denen die Informationssicherheit verbessert werden kann. Die Norm umfasst nicht nur technische Sicherheitsmaßnahmen, sondern auch organisatorische, personelle und physische Aspekte – wie etwa das Bewusstsein der Mitarbeitenden und die kontinuierliche Weiterbildung dieser. Informationssicherheit beginnt am eigenen Schreibtisch und endet bei einem ausfallsicheren Rechenzentrum.

Auch wenn es nie die Rundum-Garantie für eine glückliche Beziehung – frei von Hackingangriffen – gibt, möchten wir den folgenden Tipp mitgeben: Unternehmen können nach den präventiven Schutzmaßnahmen das bestehende Restrisiko weitgehend minimieren, in dem schon vor dem Ernstfall definiert wird, wann, was geschehen soll.

Hier finden Sie alle wichtigen Informationen zum Thema Informationssicherheit. Sie möchten mehr erfahren? Kontaktieren Sie uns, wir freuen uns auf Ihre Kontaktaufnahme und stehen Ihnen bei Fragen jederzeit zur Verfügung!

Jetzt Kontakt aufnehmen!

Ansprechpersonen

Klaus Veselko
CEO der CIS
E-Mail

 

 

 

 

Stefan Schiebeck
CIS Netzwerkpartner ISO 27001
E-Mail

Weitere News & Events

Immer topaktuell informiert

25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
24. Nov 2021

TISAX® als Firewall

Prototypen- und Datenschutz in der Automotive Industrie.

Mehr erfahren
24. Nov 2021

IT-Sicherheit in Smart Factories stärken – gewusst, wie!

Von IT und OT

Mehr erfahren
22. Nov 2021

CIS auditiert ab sofort Cyber Trust Austria® Label Gold

Kooperation zur Unterstützung auf Ihrem Weg zum Cyber Trust Austria® Label Gold

Mehr erfahren
08. Nov 2021

Auf das Unerwartete vorbereitet sein

Siemens Digital Grid wurde als erste Einheit in der EU erfolgreich nach ISO 22301 zertifiziert.

Mehr erfahren
08. Okt 2021

Wie sieht IT Security im Spital 2.0 aus?

Cybersicherheit im Gesundheitswesen

Mehr erfahren
09. Sep 2021

Wie man sich mit Künstlicher Intelligenz (KI) vor KI-Bedrohungen schützt

Das war der CIS Compliance Summit 2021

Mehr erfahren
08. Sep 2021

Erfolgsrezept Integriertes Managementsystem

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe

Mehr erfahren
06. Sep 2021

NISG und NISV: Nachweis der Erfüllung von Sicherheits­vorkehrungen

Was Betreiber wesentlicher Dienste und Dienstleister jetzt zum Netz- und Informationssystemsicherheitsgesetz (NISG) wissen müssen

Mehr erfahren
11. Aug 2021

Sommergespräch mit Klaus Veselko und Clemens Wasner

CIS Compliance Summit

Mehr erfahren
27. Jul 2021

Global Threat Report 2021

Die wichtigsten Cybersecurity-Trends und wie sich Unternehmen jetzt wappnen können

Mehr erfahren
+43 732 34 23 22