Public Manager
Online-Service
Zum Heft
04.10.2016 | Sicherheit

Fünf Erfolgsfaktoren für die Abwehr von Cyberkriminalität

Phishingmails, gehackte Accounts, Datendiebstahl – bereits eine mit einem Schadcode gespickte E-Mail reicht aus, um erheblichen Schaden anzurichten. Gerade für Unternehmen ist Datenkriminalität in der heutigen Zeit ein ernstes Problem. Werden Kunden-, Lieferanten- oder Produktdatenbanken angegriffen, gehen die Schäden schnell in die Millionen. Informationssicherheits-Managementsysteme (ISMS) gewinnen daher immer mehr an Bedeutung. Die fünf wichtigsten Erfolgsfaktoren für ein ISMS erläutert Tatjana Brozat, Auditorin für Informationssicherheit und Referentin der TÜV NORD Akademie.

Durch die Digitalisierung wird es immer einfacher, Daten untereinander auszutauschen, sei es zwischen Privatpersonen oder Unternehmen. Doch der erhöhte Datenfluss birgt enorme Risiken. Mit steigendem Austausch der Daten nimmt auch die Cyberkriminalität zu: Allein 2015 meldete das Bundeskriminalamt knapp 45.800 Fälle von Cyberkriminalität – die Dunkelziffer wird weitaus höher sein. Gerade Unternehmen werden vermehrt Opfer von Angriffen auf ihre sensiblen Produkt- oder Kundendaten. Der Schutz der eigenen Firmendaten gewinnt daher stetig an Bedeutung. Und dies gilt nicht nur für Großunternehmen: Auch kleine und mittelständische Unternehmen müssen sich vermehrt mit dem wichtigen Thema Datensicherheit auseinandersetzen. „Immer häufiger verlangen Auftraggeber von ihren Zulieferern, dass diese die selben Datensicherheitsstandards bieten wie sie selbst. Wer hier nichts vorweisen kann, verliert schnell wichtige Kunden“, so Brozat. Für den langfristigen Datenschutz ist es laut der Expertin unerlässlich, ein umfassendes ISMS einzuführen. „Ein rein technischer Schutz durch neue Server oder Firewall-Systeme reicht längst nicht mehr aus. Der Nutzen von organisatorischen Maßnahmen, die für zusätzlichen Schutz sorgen, wird leider oft unterschätzt. Häufig liegen gerade hier Schwachstellen, die von Kriminellen gnadenlos ausgenutzt werden.“ Folgende Faktoren sind laut Tatjana Brozat nötig, um ein ISMS erfolgreich zu integrieren:

• Einbindung der Unternehmensleitung: Für die Einführung eines ISMS ist es unabdingbar, dass die Unternehmensleitung eingebunden ist. Diese muss die Maßnahme unterstützen und Leitlinien für die Informationssicherheit aufsetzen, die unter anderem die zu schützenden Informationen definieren.

• Bereitstellung von Ressourcen: Es müssen ausreichend finanzielle und personelle Mittel zur Verfügung stehen. Wichtig ist, dass je nach Unternehmensgröße ein Mitarbeiter abgestellt wird, der entsprechende Schulungen absolviert und als Beauftragter für Informationssicherheit (Chief Information Security Officer, CISO) das Management der Datensicherheit übernimmt. Bei größeren Unternehmen kann dieser durch Information Security Officer (ISO) unterstützt werden. Entsprechende Schulungen bietet zum Beispiel die TÜV NORD Akademie an.

• Abteilungsübergreifendes Verständnis: Informationssicherheit nimmt auf alle Kerngeschäftsprozesse eines Unternehmens Einfluss. Daher ist es wichtig, dass allen Mitarbeitern über die interne Kommunikation die Relevanz und mögliche Konsequenzen verdeutlicht werden. Der Erfolg eines ISMS ist von der Einhaltung der Vorgaben maßgeblich abhängig.

• Auswahl passender Maßnahmen: Die gewählten Maßnahmen, die durch das ISMS eingeführt werden, sollten der Größe des Unternehmens angemessen sein und im Verhältnis zur Wirtschaftlichkeit stehen. Daher gilt es, zu Beginn organisatorische Maßnahmen, wie zum Beispiel ein Rollen- und Berechtigungskonzept, festzulegen. Erst danach folgt die technische Umsetzung, wie beispielsweise die Einführung einer Mehr-Faktor-Authentifizierung unter Einsatz von Smartcards in Kombination mit Passwörtern.

• Messmethoden festlegen: Zur Überprüfung des Erfolgs eines ISMS ist es wichtig, messbare „Key Performance Indicators“ zu bestimmen. Durch sie kann jährlich festgestellt werden, ob sich die Informationssicherheit im Unternehmen verbessert hat. Ein möglicher Indikator ist die Anzahl an Informationssicherheitsvorfällen, deren Zu- oder Abnahme  in einem jährlichen Management Report festgehalten wird.

Über weitere Maßnahmen, kritische Faktoren und aktuelle Praxisbeispiele klärt die Informationsmanagement-Fachtagung am 29. März 2017 und die anschließende Fachtagung zum Datenschutz in Hamburg auf. Weitere Informationen und Anmeldung: siehe Link

 Links:
www.tuev-nord.de/tk-it
 Weitere Artikel in dieser Kategorie
Neues DGWZ-Seminar: Krisenmanagement in der öffentliche... 10.04.2024
Zertifizierungsverfahren zum Technischen Sicherheitsman... 05.04.2024
Software-Unterstützung in der nicht-polizeilichen Gefah... 07.02.2024
Der B.O.S Manager – jetzt erweitert für Großlageneinsät... 30.01.2024
Kabinett beschließt Gesetz für neues Naturgefahrenporta... 20.12.2023
Security-Check für Krankenhaus-IT 07.12.2023
Sichere Innenstädte durch KI 13.11.2023
Dringender Handlungsbedarf in der IT-Sicherheit: BSI-La... 03.11.2023
protekt 2023: Kommunen vor großen Herausforderungen bei... 23.10.2023
Ransomware-Angriffe immer häufiger auf doppeltes Geschä... 09.10.2023