Zumindest das Ziel teilen sich die Maßnahmen, die den drei Begriffen zuzuordnen sind,
in jedem Fall: Immer geht es darum Unternehmenswerte, Daten, Systeme und Geschäftsprozesse zu schützen und sicherzustellen, dass der (IT-)Betrieb weiterläuft.
Ob Produktion, Marketing, Vertrieb, Buchhaltung oder Personalwesen – heutzutage ist jede Abteilung
IT-gestützt oder von IT abhängig. Bei dem Maß an Digitalisierung und dieser starken Abhängigkeit
von IT-Systemen erübrigt sich die Frage, ob es Maßnahmen zur Absicherung braucht. Die Frage ist
viel mehr: Wie viele und welche Maßnahmen sind notwendig?
Und diese Frage ist nicht ganz trivial zu beantworten, mehr geht nämlich immer. Sie können eine
Firewall anschaffen oder ein Cluster bestehend aus mehreren. Sie können aber auch dieses Cluster
noch redundant absichern und an einem zweiten Standort ein zweites Cluster aufstellen. Doch wieviel
ist sinnvoll? Die wenigsten Unternehmen, gerade im (kleinen) Mittelstand haben unbegrenzte Budgets
und es macht auch keinen Sinn zum Schutz von 10.000 Euro Bargeld einen Tresor zu kaufen der
50.000 Euro kostet.
Cybersicherheit darf kein Selbstzweck sein!
Maßnahmen müssen zum Schutzbedarf des Unternehmens passen. Wichtig ist hierbei den Kontext
der eigenen Organisation zu betrachten, darauf zu achten, wie groß das Risiko für gewisse Gefährdungen anhand der Eintrittswahrscheinlichkeit und potenziellen Schadenshöhe tatsächlich ist und
welche Maßnahmen sinnvoll umgesetzt werden können. Auch ein gesundes Maß an Pragmatismus schadet hierbei nicht.
Sinnvollerweise beginnt man diesen Prozess aus der Vogelperspektive, statt mit der Umsetzung einzelner,
gut gemeinter Maßnahmen. Es ist sicherlich nicht falsch, eine Firewall anzuschaffen, ein Antivirus-
System zu betreiben und Unternehmensdaten mit einer Backup-Software zu sichern – im Gegenteil,
es gibt vermutlich kein Unternehmen, dass sich um diese Dinge nicht gekümmert haben sollte.
Gesteuerte Cybersicherheit beginnt allerdings an anderer Stelle.
Cybersicherheit ist Chefsache!
Vor allem sollte Cybersicherheit nicht rein aus der IT-Abteilung gesteuert werden. Die Unternehmensleitung muss den Grundstein für ein Managementsystem legen, welches mit Prozessen,
Dokumentationen und Richtlinien dafür sorgt, dass der
Schutzbedarf des Unternehmens festgestellt und daraus resultierend sinnvolle Maßnahmen getroffen
werden. Dabei ist wichtig zu beachten, ob es Anforderungen aus gesetzlichen, regulatorischen
oder vertraglichen Bereichen zu erfüllen gibt. Dies zu berücksichtigen und auf die Unternehmens-IT
zu übersetzen, stellt den ersten Schritt zu einem Informationssicherheitsmanagementsystem (oder
kurz ISMS) dar.
Viele Unternehmen kennen Managementsysteme vor allem aus dem Bereich QM und sind nicht selten
sogar nach ISO 9001 zertifiziert. Im Bereich der Informationssicherheit gibt es ebenfalls Standards, an
denen man den Aufbau des eigenen ISMS orientieren (oder es auf dieser Basis zertifizieren) kann: ISO
27001, BSI IT-Grundschutz oder TISAX sind einige, die immer häufiger auch im Mittelstand Erwähnung
finden. Inzwischen werden viele Unternehmen sogar von Kunden, Partnern oder Zulieferern aufgefordert,
ihr ISMS zertifizieren zu lassen.
Diese Entwicklung bestätigt die Prognose von Gartner, dass im Jahr 2025 Cybersicherheit eine, wenn
nicht die tragende Rolle bei der Risikobewertung für Kreditvergaben und Auftragsvergabe sein wird.
Eine Kernaufgabe eines ISMS ist es, die notwendigen technischen Maßnahmen für das Unternehmen
zu bestimmen. Wie viele Firewalls tatsächlich benötigt werden und wie diese konfiguriert werden
müssen oder wie oft Daten wohin gesichert werden und ob diese verschlüsselt werden müssen, sind
Fragen, die bei der Durchführung der einzuführenden Prozesse beantwortet werden und sicherstellen,
dass das Maß an Cybersicherheit am Ende auch wirklich zum Unternehmen passt.
Nicht jedes ISMS muss zertifiziert werden!
Wenn es im Unternehmen keine Anforderung einer Zertifizierung gibt, wird zwar möglicherweise kein
ISMS nach ISO 27001 benötigt. Dennoch sollte in jedem Fall sichergestellt werden, dass Sicherheitsmaßnahmen an den Schutzbedarf der Unternehmenswerte angepasst sind.
Gerade in kleinen Unternehmen reicht es dann häufig aus, Richtlinien zu erstellen, regelmäßig Überprüfungen der IT-Sicherheit durchführen zu lassen (bspw. durch Audits oder
Penetrationstests),
Notfallpläne zu erstellen sowie für die Sensibilisierung der MitarbeiterInnen zu sorgen – beispielsweise
durch Schulungen, e-Learning oder Phishing-Simulationen.
Frank Fengel
Protektis GmbH
Benzstraße 2a
63741 Aschaffenburg
06021 6262 15-0
frank.fengel@protektis.de
www.protektis.de