Österreich
Secure Your Business
 

How to Break a Hackers Heart

Cyber Security und ISMS – a perfect Match
Ein Beziehungsratgeber der anderen Art

 

Mit der zunehmenden Digitalisierung unserer Gesellschaft sind Unternehmen täglich dem Risiko von Cyberangriffen ausgesetzt. Die Sicherheitsherausforderungen werden sich auch weiterhin zuspitzen und Themen wie Cyber Security, Information Security und Datenschutz benötigen laufend Aufmerksamkeit.

 

Die schlechten Nachrichten vorweg: die 100% IT-Sicherheit gibt es nicht.


Hero_Heartbreak_600x167px

 

„Die Frage ist nicht, ob oder wann wir stolpern, sondern wie schnell wir wieder auf die Beine kommen“, so Stefan Schiebeck, CIS Netzwerkpartner und Produktexperte der ISO 27001. Nur etwa die Hälfte aller Firmen sei ausreichend über ihre IT-Sicherheitsmaßnahmen bzw. ein dahinterstehendes Notfallmanagement informiert.
Die gute Nachricht? Auch Hacker-Angriffe folgen einer gewissen Logik. Mit diesem Wissen und dem ein oder anderen nützlichen Werkzeug können Unternehmen gewappnet in die Zukunft gehen.

 

Ständig an sich arbeiten

 

„So wie Cyberattacken bzw. Cyberkriminalität ständig wachsen, müssen auch Unternehmen und deren Abwehrmechanismen laufend weiterentwickelt werden. Wenn man nicht ständig daran arbeitet, besser zu werden, wird man früher oder später links und rechts überholt“, betont Klaus Veselko, CEO der CIS - Certification & Information Security Services GmbH.

 

Klaus Veselko führt weiter aus: “Die Norm ISO 27001 unterstützt Unternehmen mit mehr als 100 Maßnahmen – sogenannten Controls – dabei, zu überprüfen und dokumentieren, wie ihr Level an Informationssicherheit aussieht. Das Ergebnis ist ein auf Unternehmen und Branchen abgestimmtes Informationssicherheits-Managementsystem. In Managementsystemen ist der Kontinuierliche Verbesserungsprozess, kurz KVP, dafür verantwortlich, nie stillzustehen und immer besser zu werden.“

Wie kann also eine ganzheitliche Security Strategie aussehen? Wir haben einige Tipps und Tricks für Sie, um Schluss mit Cyberattacken zu machen und eine langfristige Beziehung zu Ihrem allumfassenden Informationssicherheit-Managementsystem (ISMS) aufzubauen.

 

 

 

1. Sich bewusst sein, was man möchte

 

Für jeden Topf den passenden Deckel: zunächst müssen Unternehmens- und Sicherheitsziele aufeinander abgestimmt sein. Ein Informationssicherheits-Managementsystem gilt als der Beziehungs-Guide in der IT. Hacker lieben Unsicherheiten und unklare Beziehungen – daher sollten sich die Sicherheitsziele aus den Unternehmenszielen ableiten. Somit sollte man sich von Anfang an wesentliche Fragen stellen, wie etwa:

  • Was erwarte ich mir von einem ISMS?
  • Welche sind die für mein Unternehmen wertvollsten Werte und IT Assets?
  • Gibt es Anknüpfungspunkte in Form von Schnittstellen, Applikationen oder Systemlandschaften, die kritisch zu beachten sind?

 

„Bei vielen Unternehmen ist es aktuell so, dass Hacker wenige Stunden benötigen, um in ein System einzudringen – dort können sie üblicherweise bis zu einem Jahr unerkannt bleiben und sensible Daten abfließen lassen. Bei Unternehmen mit gut funktionierendem ISMS brauchen Hacker mehrere Tage bis Wochen, um in IT-Landschaften einzudringen und werden dann im Idealfall bereits nach wenigen Minuten erkannt und wieder hinaus befördert. Somit wird erheblicher Schaden in Form von Opportunitäts- und Betriebsstillstandskosten sowie Imageverlusten vermieden. Das gelingt nur, wenn sämtliche Sicherheitsmaßnahmen schon vorab gut durchdacht und geprüft sind“, so Schiebeck.

 

2. Wissen, an wen man sich wann und wie wenden kann

 

Klaus Veselko rät zudem, Notfall- und Reaktionspläne zurechtzulegen, mit den für das jeweilige Unternehmen bzw. die jeweilige Branche wahrscheinlichsten Angriffen. „Wenn alle Beteiligten wissen, an wen man sich im Ernstfall wenden kann bzw. welche Gestaltungshebel in Kraft gesetzt werden müssen, kann im Schadensfall ad-hoc und effizient gehandelt werden“, unterstreicht Veselko.

 

Ein Business Continuity Managementsystem bzw. die ISO 22301 skizziert nach dem Plan-Do-Check-Act Zyklus genau diese möglichen Risiken von Betriebsausfällen, erlaubt Notfallübungen und -simulationen und definiert Krisenteams.

 

Plan – Was kann getan werden?
Do – Ausprobieren geht über Studieren
Check – ist der gewünschte Output entstanden?
Act – Für die Zukunft mitnehmen

 

Gleichzeitig gilt es nach dem Need-to-Know Prinzip Verantwortlichkeiten und Zuständigkeiten zu definieren, um im Ernstfall alle Abteilungen rasch informieren zu können – sowohl über den Vorfall als auch über das weitere Vorgehen. „Wer schneller zumindest zu einem eingeschränkten Betrieb kommt, kann die Krise rasch bewältigen und wieder zum Normalzustand kommen“, so Veselko.

 

Auch Schiebeck betont: „Es gilt sämtliche Endpunkte laufend zu monitoren. Es sind vermehrt Clients, die über Browser-Exploits, Malware oder Phishing-Mails angegriffen werden. Sämtliche Sicherheitsvorfälle müssen protokolliert und nachverfolgt werden, sonst passieren die gleichen Fehler wieder und wieder.“

 

3. Teamwork / alle ziehen an einem Strang

 

Was nützt jedoch ein System, wenn die Mitarbeitenden selbst ein Sicherheitsrisiko darstellen? Auch auf personeller Ebene müssen weitgehende Sicherheitsmaßnahmen gesetzt werden – angefangen von den Auszubildenden bis hin zur obersten Führungsetage. Eine offene Kommunikation, das Miteinbeziehen Aller genauso wie das Transportieren der wichtigsten Unternehmens-Assets und Beweggründe kann enorm helfen, damit alle Mitarbeiter das Thema Informationssicherheit verinnerlichen und leben.

 

Pexels_close-up-photography-of-yellow-green-red-and-brown-plastic-163064_c_Pixabay-small

Um bei allen im Team höheres Bewusstsein zu schaffen, ist es sehr hilfreich, eine eigens dafür geschulte Person,

z. B. in der Position eines Information Security Managers, einzustellen. Diese arbeitet als Schnittstelle zwischen Management und operativen Unternehmensbereichen.

Der Information Security Manager ist sozusagen das „strenge Elternteil“, an dem Hacker erstmal vorbei müssen.

 

Eine Zertifizierung, wie etwa die ISO 27001, gilt als ein wichtiger Nachweis für Kunden und Partner – dennoch sollte der dahinterstehende Gedanke einer gelebten Informationssicherheit auch tatsächlich betriebsintern und abteilungsübergreifend verinnerlicht sein, wenngleich auch das vielleicht hießt, gewisse Dinge einschränken zu müssen, beispielsweise die Nutzung des Firmenhandys

zu privaten Zwecken.


4. Aufrüsten und aus Fehlern lernen

 

Erhöhen Sie Ihre Sicherheitsvorkehrungen, monitoren Sie weiterhin laufend die Netzwerke und führen Sie beispielsweise eine Zwei-Faktor-Authentifizierung – insbesondere für remote Zugriffe auf das Unternehmensnetzwerk – ein. Zertifizierte Unternehmen reagieren auf ständig wechselnde Anforderungen proaktiv und binden Sicherheitsmaßnahmen in den kontinuierlichen Verbesserungsprozess (KVP) ein.

 

Gleichzeitig zeigt ein KVP, dass ein ISMS ein „lebendes System“ ist – es gilt an den Prozessen und sich zu arbeiten, Maßnahmen zu überdenken und sich laufend zu verbessern. Der betriebliche Ist-Zustand muss stets an einen revidierten Soll-Zustand angepasst werden, um am technischen und organisatorischen sprichwörtlichen „Ball“ zu bleiben. Also nicht auf spontane Dates einlassen - langfristige Beziehungsarbeit zahlt sich aus.


5. Schritt für Schritt

 

Wieso alles alleine erarbeiten, wenn es doch schon viele andere gibt, die das gleiche durchgemacht haben? Support-Gruppen gegen Hacking-Kummer sind gut – den Kummer aber bereits vorweg zu verhindern, noch besser.

 

Wie eingangs erläutert, ist es wichtig, dass alle Beteiligten wissen, welche Prozesse und Maßnahmen relevant sind bzw. wann was passieren soll. Hier kann ein Informationssicherheit-Managementsystem (ISMS) auf Basis der ISO 27001 helfen, da es mit der Definition von Prozessen und Richtlinien für mehr Informationssicherheit sorgt. Die CIS als akkreditierte Zertifizierungsorganisation ist bereits seit vielen Jahren auf Themen wie Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren sowie auf Business Continuity Management spezialisiert und punktet somit durch wertvolles, langjähriges Know-How. „Viele Unternehmen weisen zwar technische Sicherheitsmaßnahmen, wie etwa Firewalls, auf, verfolgen aber kaum dahinterstehende Strukturen oder Prozesse“, so Veselko.

 

Die ISO 27001 beschreibt wiederum die Maßnahmen, mit denen die Informationssicherheit verbessert werden kann. Die Norm umfasst nicht nur technische Sicherheitsmaßnahmen, sondern auch organisatorische, personelle und physische Aspekte – wie etwa das Bewusstsein der Mitarbeitenden und die kontinuierliche Weiterbildung dieser. Informationssicherheit beginnt am eigenen Schreibtisch und endet bei einem ausfallsicheren Rechenzentrum.

 

AdobeStock_270049168_mitNetz-small_test hero 600px
 

Auch wenn es nie die Rundum-Garantie für eine glückliche Beziehung – frei von Hackingangriffen – gibt, möchten wir den folgenden Tipp mitgeben: Unternehmen können nach den präventiven Schutzmaßnahmen das bestehende Restrisiko weitgehend minimieren, in dem schon vor dem Ernstfall definiert wird, wann, was geschehen soll.

 

Hier finden Sie alle wichtigen Informationen zum Thema Informationssicherheit. Sie möchten mehr erfahren? Kontaktieren Sie uns, wir freuen uns auf Ihre Kontaktaufnahme und stehen Ihnen bei Fragen jederzeit zur Verfügung!
 


Ansprechpersonen

 

KV_2019aWEB_klein (002)StefanSchiebeck_websize
Klaus VeselkoStefan Schiebeck
CEO CIS Netzwerkpartner ISO 27001
E-MailE-Mail

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB