Sicherheitsmaßnahmen für Unternehmen am Safer Internet Day
Ein sicheres Netz geht uns alle etwas an – der Aktionstag „Safer Internet Day“, der heuer am 7. Februar 2023 stattfindet, wurde ursprünglich für die Zielgruppe junger Menschen ins Leben gerufen. Unter dem Motto „Together for a better internet“ soll Bewusstsein für diverse Informations- bzw. Cybersicherheitsmaßnahmen geschaffen werden, um so einen Beitrag für ein „besseres Internet“ zu leisten.
Doch inwiefern können auch Unternehmen und Organisationen zu einem sicheren Internet für alle beitragen? Was können Betriebe, sozusagen das eine Ende der Nutzungskette, tun, um auch die eigenen Sicherheitsmaßnahmen genauer unter die Lupe zu nehmen? Wie kann der Stand der betrieblichen IT- und Cybersicherheit auf ein Höchstmaß gebracht und kontinuierlich verbessert werden?
Vorsicht ist besser als Nachsicht
Seit vielen Jahren erkennen wir den Trend der zunehmenden Vernetzung und Digitalisierung sämtlicher Prozesse, womit auch eine erhöhte Anzahl an Cyber- oder Ransomware-Attacken einhergeht. Gleichzeitig erleben wir zunehmende Komplexität und Dynamik im Alltag, wodurch die betrieblichen Abläufe stetig angepasst werden müssen. Für Organisationen wird es daher immer wichtiger, eine gesamtheitliche Informationssicherheitsstrategie zu implementieren und – wo möglich – sich auch proaktiv mit möglichen Risiken auseinanderzusetzen.
Managementsysteme können helfen, Prozesse langfristig zu planen und diese gleichzeitig kontinuierlich zu überprüfen und anzupassen. Dazu gehören etwa die ISO 27001 im Bereich Informationssicherheit oder auch die ISO 22301 (Business Continuity Management) als gängige Managementsystemnormen. Business Continuity ist gerade in den letzten Jahren ein Schlüsselthema geworden, da es das Ziel verfolgt, die Betriebsfähigkeit nach disruptiven Ereignissen schnellstmöglich wiederherzustellen oder mögliche Auswirkungen auf ein Minimum zu reduzieren.
Kontinuierliche Verbesserung von Prozessen
Managementsysteme bauen auf einem Kontinuierlichen Verbesserungsprozess (KVP) oder auch PDCA-Zyklus (Plan-Do-Check-Act) auf. Gerade Informationssicherheit oder Datenschutz sind Themen, bei denen es nicht reicht, diese einmal zu implementieren. Diese müssen laufend betrachtet, analysiert, reflektiert und letztendlich um neue Aspekte erweitert bzw. verbessert werden. Nur so kann ein stetiges Höchstmaß an Informationssicherheit gewährleistet werden.
Entsprechende Beauftragte definieren
Gewusst wie: geschultes Personal – z. B. Information Security Manager oder Informationssicherheitsbeauftragte – widmet sich vorrangig Themen wie Informations- und Cybersicherheit, Datenschutz oder Risikomanagement. Dabei werden sämtliche Prozesse unter die Lupe genommen, Insights unterschiedlicher Abteilungen quer durch alle Unternehmenshierarchien eingeholt und entsprechende Maßnahmen gesetzt und verantwortet. Übergeordnetes Ziel von Information Security Managern ist es, sämtliche Sicherheitsrisiken und -lücken aufzuzeigen, entsprechende Abwehrmaßnahmen zu planen und die Umsetzung zu koordinieren bzw. bei dieser zu unterstützen. Auf entsprechende Sicherheitsbeauftrage zu setzen, kann in Zeiten wie diesen einen wichtigen Vorteil sichern.
Sensibilisierung - Mitarbeiter sind über Social Engineering Angriffe die häufigste Angriffsquelle, die das Tor zum eigenen Unternehmen öffnet
Mit Homeoffice, New Work & Co. gehen häufig auch erhöhte Sicherheitsrisiken einher. Für den Fall – wie auch im regulären Bürobetrieb – gilt: Führungskräfte müssen eine gewisse Sicherheitskultur vorleben und diese mittels Bewusstseinsbildung im ganzen Unternehmen verinnerlichen.
Denn nach wie vor sind Mitarbeitende häufig Tür und Tor für Sicherheitsangriffe. Mit einer Sensibilisierung von oben geht schließlich einher, dass Mitarbeitende u. a. wissen, wie sie ihre Passwörter entsprechend sicher gestalten, dass nicht bedenkenlos USB-Sticks fremder Quellen verwendet werden oder dass beim Öffnen von E-Mails unbekannter Absender stets Vorsicht geboten sein sollte.
Bei der Wahl von Partnern entlang der Lieferkette auf Vorsicht achten
Last but not least: es ist nicht nur wichtig, dass Sie im jeweiligen Unternehmenskontext sich über diverse Informationssicherheitsmaßnahmen bewusst sind. Auch Ihre Partner und Zulieferer sollten das Thema ernstnehmen. Zertifizierungen wie die ISO 27001 und deren weiterführenden Spezialnormen oder Labels wie z. B. das Cyber Trust Label sind ernstzunehmende Aushängeschilder, die zeigen, dass Betriebe auf ein gewisses Maß an Sicherheit Wert legen.
Mehr erfahren? Hier finden Sie unsere System- und Personenzertifizierungen im Bereich Informationssicherheit. Wir freuen uns, von Ihnen hören zu dürfen und stehen bei Rückfragen gerne zur Verfügung!