MENU
Informationssicherheit

Sicherheitslücken finden: Fünf Tipps für Unternehmen

20. Januar 2017

Informationssicherheit steht für Unternehmen im Zeitalter der Industrie 4.0 ganz oben auf der Agenda. Denn in Zeiten von Phishingmails, gehackten Accounts und Datendiebstahl genügt schon ein Klick in eine infizierte E-Mail, um erheblichen Schaden anzurichten. Werden Kunden-, Lieferanten- oder Produktdatenbanken angegriffen, gehen die Schäden schnell in die Millionen. Um sich vor Datenkriminalität zu schützen, setzen Unternehmen deshalb zunehmend auf Informationssicherheits-Managementsysteme (ISMS). Tatjana Brozat, Auditorin für Informationssicherheit und Referentin der TÜV NORD Akademie, erklärt die fünf wichtigsten Erfolgsfaktoren.

Im Zeitalter der Digitalisierung wächst nicht nur der Austausch von Daten rasant, auch die Cyberkriminalität nimmt enorm zu. Das Bundeskriminalamt (BKA) schätzt auf Grundlage einer Studie des Deutschen Instituts für Wirtschaftsforschung, dass es 2015 15 Millionen Fälle von Computer- und Internetkriminalität gegeben hat. Doch nur ein kleiner Bruchteil wird davon überhaupt angezeigt und somit registriert. Insgesamt meldete das BKA für diesen Zeitraum knapp 45.800 Fälle von Cyberkriminalität und einen Schaden von mehr als 40,5 Millionen Euro – Tendenz steigend.

Vor allem Unternehmen werden vermehrt Opfer von Angriffen auf ihre sensiblen Produkt- oder Kundendaten. Großunternehmen, aber auch kleine und mittelständische Unternehmen, müssen die eigenen Firmendaten künftig besser schützen und sich intensiver mit dem wichtigen Thema Informationssicherheit beschäftigen. „Immer häufiger verlangen Auftraggeber von ihren Zulieferern, dass diese die selben Datensicherheitsstandards bieten wie sie selbst. Wer hier nichts vorweisen kann, verliert schnell wichtige Kunden“, sagt Tatjana Brozat. Um langfristig Datenschutz zu gewährleisten, sei es deshalb unerlässlich, ein umfassendes ISMS einzuführen: „Ein rein technischer Schutz durch neue Server oder Firewall-Systeme reicht längst nicht mehr aus. Der Nutzen von organisatorischen Maßnahmen, die für zusätzlichen Schutz sorgen, wird leider oft unterschätzt. Häufig liegen gerade hier Schwachstellen, die von Kriminellen gnadenlos ausgenutzt werden.“ Damit Unternehmen ihre sensiblen Daten professionell schützen und ein ISMS erfolgreich integrieren können, sind laut Tatjana Brozat die folgenden fünf Faktoren entscheidend:

Erfolgsfaktor eins: Informationssicherheit ist Chefsache

„An erster Stelle steht die Unterstützung der Führungsebene“, so Brozat. Die Unternehmensleitung müsse bei der Einführung eines ISMS eingebunden sein und Leitlinien für die Informationssicherheit aufsetzen, die unter anderem die zu schützenden Informationen definieren.

Erfolgsfaktor zwei: Ressourcen für Informationssicherheit

Ohne ausreichend finanzielle und personelle Mittel hat die Maßnahme keinen Erfolg, ist Tatjana Brozat überzeugt. „Wichtig ist, dass je nach Unternehmensgröße ein Mitarbeiter abgestellt wird, der entsprechende Schulungen absolviert und als Beauftragter für Informationssicherheit – der so genannte Chief Information Security Officer, kurz CISO – das Management der Datensicherheit übernimmt“, erklärt die Expertin. Bei größeren Unternehmen könne dieser durch Information Security Officer (ISO) unterstützt werden. Entsprechende Schulungen bietet zum Beispiel die TÜV NORD Akademie an.

Erfolgsfaktor drei: Abteilungsübergreifendes Verständnis

Informationssicherheit nimmt auf alle Kerngeschäftsprozesse eines Unternehmens Einfluss. Daher ist es wichtig, dass allen Mitarbeitern über die interne Kommunikation die Relevanz und mögliche Konsequenzen verdeutlicht werden. Der Erfolg eines ISMS ist von der Einhaltung der Vorgaben und ihrer internen Akzeptanz maßgeblich abhängig.

Erfolgsfaktor vier: Auswahl passender Maßnahmen

Tatjana Brozat empfiehlt, dass die gewählten Maßnahmen, die durch das ISMS eingeführt werden, der Größe des Unternehmens angemessen ist und im Verhältnis zur Wirtschaftlichkeit stehen. Deshalb sollten gleich zu Beginn organisatorische Maßnahmen festgelegt werden – wie zum Beispiel ein Rollen- und Berechtigungskonzept. Erst danach folgt die technische Umsetzung, wie beispielsweise die Einführung einer Mehr-Faktor-Authentifizierung unter Einsatz von Smartcards in Kombination mit Passwörtern.

Erfolgsfaktor fünf: Messmethoden festlegen

Zur Überprüfung des Erfolgs eines ISMS ist es wichtig, messbare „Key Performance Indicators“ zu bestimmen. Durch sie kann jährlich festgestellt werden, ob sich die Informationssicherheit im Unternehmen verbessert hat. Ein möglicher Indikator ist die Anzahl an Informationssicherheitsvorfällen, deren Zu- oder Abnahme in einem jährlichen Management Report festgehalten wird.

ZUR PERSON

Tatjana Brozat ist Auditorin für Informationssicherheit und Referentin der TÜV NORD Akademie.

KURZ ERKLÄRT: INFORMATIONSSICHERHEIT

IT-Sicherheit, Datenschutz, Datensicherheit und Informationssicherheit – viele Begriffe im Zeitalter der Industrie 4.0, die ähnlich klingen und sich auch nicht immer klar voneinander abgrenzen lassen.

Doch was „Informationssicherheit“ bedeutet, schreibt die internationale Norm ISO 27001 exakt vor. Der Begriff meint in erster Linie den Schutz von Informationen – digital und analog. Die Norm definiert dabei drei grundlegende Schutzziele:

  • Vertraulichkeit,
  • Verfügbarkeit und
  • Integrität.

Unternehmen, die professionelle Sicherheit für ihre Firmendaten und Informationssysteme anstreben, können ihr Informationssicherheits-Managementsystem auf Grundlage des internationalen Standards zertifizieren lassen.