Informationssicherheit für den Mittelstand

Jeder Anfang kann leicht sein.

Chris Borgsdorf,
Geschäftsführer & Cyber-Security-Berater,
bitformer GmbH

Die Anzahl der professionellen Hackergruppen wächst jährlich und damit Ihr Risiko selbst Opfer von Cyber-Angriffen zu werden. Dieser Beitrag bietet Ihnen eine Lösung, die sich in der Praxis bewährt hat.

 

Entwicklung der letzten Jahre und aktueller Stand

Wir können aufgrund der langjährigen Betreuung unserer Kunden aus dem KMU-Bereich der Branchen Chemie, Öffentlicher Dienst, Architektur, Industrie, Handwerk, Werbung und Gesundheitswesen eine spannende Entwicklung beobachten, die von der „Wirtschaftstudie“ (s. Abb. 1) des Branchenverbands bitkom bestätigt wird. Trotz der unterschiedlichen Tätigkeitsfelder der Auftraggeber besteht branchenübergreifend eine Gemeinsamkeit:

Als Motoren der deutschen Gesellschaft und Wirtschaft sind ihre Fachkenntnis und Flexibilität in der heutigen Zeit wichtig wie nie zuvor. Individuelles Know-how, einzigartige Produkte und spezialisierte Prozesse sind nicht mehr länger nur für den direkten Konkurrenten interessant. Globalagierende Konzerne und ausländische Geheimdienste konzentrieren gezielte Angriffe auf den deutschen Mittelstand, um an ihre Informationen zu gelangen.

In den vergangenen zwei Jahren betrug der verursachte Schaden durch Wirtschaftsspionage und Cyber-Kriminalität in Deutschland über 40 Mrd. €. Wer davon ausgeht, er wäre mit seinen Produkten zu unwichtig und somit keine Zielscheibe, unterschätzt die Cyber-Gefahren des 21. Jahrhunderts. Die Schnelllebigkeit und der digitale Wandel schreiten unweigerlich voran. Jedes Detail kann der Konkurrenz Vorsprung verschaffen. Wer nicht vorbereitet ist, wird in kürzester Zeit auf dem hart umkämpften Markt nicht bestehen oder durch Cyber-Kriminalität ins Hintertreffen gelangen.

Dank der EU-DSGVO stehen Datenschutz und IT-Sicherheit im Fokus wie nie zuvor. Dennoch sind KMU-Organisationen nicht ausreichend vorbereitet bzw. geschützt. Sofern Cyber-Angriffe überhaupt bekannt werden, wird auf Sicherheitsvorfälle nur rudimentär reagiert.

 

Ist das Management im Mittelstand leichtsinnig?

Ja und nein. Ein Sicherheitskonzept für die Behandlung von Cyber-Gefahren und die Reduzierung von Risiken liegt zumeist nicht vor. Bekannte Sicherheitskonzepte, auch Informationssicherheitsmanagementsysteme (ISMS) genannt, sind aufwändig und ebenso kostenintensiv. Oft werden ISO 27001 Projekte gestartet und nach drei Monaten abgebrochen, da der Aufwand unterschätzt wurde. Kurzum: Der Mittelstand braucht Methoden zur nachhaltigen Steigerung der Sicherheit, die auch wirtschaftlich sind.

 

Das ISMS VdS 10000 bietet insbesondere für kleine und mittelständische Organisationen ein Höchstmaß an erforderlicher Flexibilität und kann innerhalb kürzester Zeit das Sicherheitsniveau steigern. Wichtig ist, dass sich Unternehmen mit Informationssicherheit beschäftigen und die Verantwortung für die Umsetzung intern oder extern an einen Informationssicherheitsbeauftragten (ISB) delegieren. Die IT und die zugehörige Sicherheit sind in die bestehenden Organisationsprozesse zu integrieren.

Wurde das ISMS erfolgreich implementiert, sind die Geschäftsprozesse und Abhängigkeiten zwischen Mensch, Informationen und IT-Systemen bekannt und dokumentiert. Das akzeptierte Restrisiko für das Eintreten möglicher Cyber-Bedrohungen ist ermittelt. Eine Prozesslandkarte, IT-Dokumentationen, Notfallmanagement und die kontinuierliche Weiterentwicklung der Informationssicherheit begründen das subjektive Sicherheitsempfinden der Entscheider in der Organisation.

 

Wie kann begonnen werden?

Der erste Schritt ist immer die organisationsweite Analyse des aktuellen Sicherheitsniveaus. Diese kann durch unsere bewährte und kompakte Methode des Quick-Audits für Basis-Informationssicherheit erreicht werden. Auf Basis der VdS 10000 werden alle notwendigen Teilbereiche der Informationssicherheit analysiert und bewertet. Das Ergebnis ist ein fundierter Auditbericht zur aktuellen Sicherheitslage und ein Maßnahmenkatalog für die konsequente Steigerung der Informationssicherheit. Zugleich können technische und organisatorische Maßnahmen (TOM) für die Umsetzung der EU-DSGVO-Bestimmungen sinnvoll ergänzt werden.

Der Weg wird skizziert und der Anfang zur Implementierung eines ISMS erleichtert. Das subjektive Sicherheitsgefühl und die Risikobereitschaft des Top-Managements definieren letztlich, welche empfohlenen Maßnahmen umgesetzt werden. Wird eine anerkannte Zertifizierung gewünscht, so bietet sich nach der erfolgreichen Umsetzung der normativen Punkte der VdS 10000 das externe Audit an.

Organisationen, die bereits ein ISMS implementiert haben, können sich das Sicherheitsniveau mithilfe des Quick-Audits zur Basis-Informationssicherheit überprüfen lassen.

 

ISO 27001, BSI Grundschutz und VdS 10000 verfolgen gemeinsam das gleiche Ziel – eine nachhaltige Verbesserung des Sicherheitsniveaus. Die Normen unterscheiden sich im Aufwand und in den Interpretationsmöglichkeiten. Benötigte Ressourcen steigen um ein Vielfaches, je höher ihr Sicherheitsbedürfnis ist.

Dank der Aufwärtskompatibilität der VdS 10000 kann eine zukünftige Zertifizierung der international anerkannten ISO 27001 angestrebt werden.

Praxistipps
  • Definieren Sie Verantwortungsbereiche für Informationssicherheit. Sind keine internen Ressourcen vorhanden, dann bestellen Sie einen externen Informationssicherheitsbeauftragten (ISB). In Kooperation mit dem Informationssicherheitsteam (IST) und dem Datenschutzbeauftragten (DSB) werden Sicherheitskonzepte erarbeitet.
  • Das Bewusstsein für Cyber-Gefahren muss an erster Stelle stehen. Informieren Sie Ihre Mitarbeiter und Kollegen stets über aktuelle Bedrohungen, um bei Sicherheitsvorfällen schnellstmöglich reagieren zu können.
  • Sicherheit ist nicht kostenlos. Legen Sie einen Budget- und Zeitplan fest, um Informationssicherheit in der Organisation zu integrieren. Suchen Sie sich einen vertrauensvollen Partner, der Ihre Sicherheit objektiv bewertet und Sie beim Aufbau des ISMS unterstützt.
  • Konzentrieren Sie sich zu Beginn auf Ihre Kernprozesse. Dabei sind Abhängigkeiten zwischen Mensch, IT-Systemen und einzelnen Prozessen zu erfassen. Sie steigern die Zuverlässigkeit des Betriebes und verkürzen bei einer Störung die Wiederanlaufzeit.
  • Überprüfen Sie die Zuverlässigkeit Ihrer Datensicherung und testen Sie die Wiederherstellung von Daten und vollständigen IT-Systemen.
  • Installieren Sie regelmäßig System- und Sicherheitsupdates.

Beitragsnummer: 1068