3 Herausforderungen in der Informationssicherheit 2023

Die Sachlage

Jede Woche erreichen uns Nachrichten von Ransomware-Attacken. Von öffentlichen Institutionen über Startups bis hin zu den ganz Großen kann es jeden treffen. Ransomware-Attacken können viele Millionen Dollar kosten. Und im Schnitt dauert es 16 Tage, bis eine betroffene Organisation wieder voll betriebsfähig ist. Ganz zu schweigen von den langfristigen Image-Schäden, die Datendiebstahl nach sich ziehen kann. 

Hacker nutzen immer perfidere Methoden, um sich Zugang zu den Systemen ihrer Opfer zu verschaffen. Neue Malware kann beispielsweise durch ein bloßes „Hovern“ über einem Link in einem Word-Dokument oder einer Präsentation ausgelöst werden. In dem Fall haben Nutzer keine Chance, die Attacke überhaupt zu erkennen.

Das Problem 

Das Problem ist vielschichtig. Auch noch so gute Malware-Scanner können nur solche Schadsoftware erkennen, die bereits bekannt ist. 

Werden Unternehmen mit individuellen Attacken angegriffen, haben solche Programme keine Chance. Auch veraltete Programme bieten Einfallstore für Hacker. Der größte Gefahrenfaktor ist aber nach wie vor der Mensch. Durch Social Engineering verschaffen Cyberkriminelle sich am häufigsten Zugang zu Daten. Das Ransomware-Problem ist also vornehmlich ein Awareness-Problem. 

Die Lösung

Neben technischen Investitionen gilt hier: Trainings, Trainings, Trainings. Mitarbeiter müssen bei jeder E-Mail und jeder Chat-Nachricht auf der Hut sein und darin geschult werden, Angriffe zielsicher zu erkennen und zu melden. 

Wir empfehlen in dem Zusammenhang sowohl berufsgruppenspezifische Online-Kurse aufzusetzen und gleichzeitig geplante Phishing-Simulationen an Mitarbeiter zu verschicken.

InfoSec-Herausforderung 2: Investitionslücken, technische Schulden und fehlende wirtschaftliche Planbarkeit 

Die Sachlage

Die Implementierung von Maßnahmen zur Informationssicherheit kostet Geld und trägt nicht direkt zum Geschäftserfolg bei. Und in unsicheren Zeiten sind es genau diese Kosten, die Unternehmen zuerst einzusparen versuchen. 

Langfristig sind Investitionslücken in der Informationssicherheit jedoch unverhältnismäßig viel teurer als die Ausgaben für Prävention.

Das Problem 

Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) ist ein langwieriger Prozess, während dem ein Unternehmen immer noch anfällig sein kann und trotzdem schon Kosten für die Informationssicherheit anfallen. Und auch danach erfordert der Betrieb eines ISMS kontinuierliches Commitment.

Gleichzeitig ist der Reifegrad von Informationssicherheits-Systemen in Deutschland noch immer relativ niedrig. Und teilweise haben sich über die Zeit hinweg Investitionslücken und technische Schulden aufgebaut (Kosten für das Nachbessern von Fehlern, die dadurch entstehen, dass aus Budget- oder Zeitgrüngen schlechte Lösungen umgesetzt wurden). Dadurch sind heute Investitionen notwendig, die angesichts der wirtschaftlichen Lage schwerer zu treffen sind. 

Die Lösung 

Wie man es dreht und wendet: Am Aufbau eines ISMS führt kein Weg vorbei. Die gute Nachricht ist aber, dass es mittlerweile Services und Plattformlösungen gibt, die einen sehr viel schnelleren und praktikableren ISMS-Aufbau ermöglichen. Im Vergleich zur Service-Landschaft vor drei Jahren hat sich hier viel getan. 

Das bedeutet auch: Erste Schritte zu verbesserter Informationssicherheit und sogenannte Low Hanging Fruits können angegangen werden, ohne große Beträge locker zu machen. Unerlässlich ist und bleibt aber die Unterstützung durch die Geschäftsführung. Nur damit können ISMS-Projekte gelingen. 

Wir unterstützen Sie beim Aufbau und der Zertifizierung Ihres ISMS. 

InfoSec-Herausforderung 3: Ein Mangel an erfahrenen Fachkräften

Die Sachlage 

Allein in Deutschland fehlen rund 100.000 IT-Fachkräfte. Und eine aktuelle Studie von Trellix – einem Cyber-Sicherheitsunternehmen – ergab, dass fehlende Fachkräfte in 85 % der Unternehmen die Cybersicherheit gefährden.

Überraschend ist das nicht – vereinen Berufe in der Informationssicherheit gleich mehrere Anforderungen, die rar sind auf dem Arbeitsmarkt: Neben fundierten IT-Kenntnissen müssen Bewerber sich mit gängigen Normen und Gesetzen, allen voran mit der ISO 27001, der Informationssicherheit auskennen. Darüber hinaus erfordern die meisten Rollen Kommunikations- und Verhandlungsgeschick. 

Das Problem

Wir hören oft von Kunden, dass sie Stellen in der Informationssicherheit (wie die des CISO oder ISB) monate- oder sogar jahrelang nicht nachbesetzten können. Der Markt für Leiharbeit und temporäres Personal wächst, doch auch hier fehlen erfahrene Fachleute. Und Studienabsolventen brauchen mindestens drei Jahre, bis sie in den Bereich hereingewachsen sind und produktiv arbeiten können. 

Das heißt, dass sich das Problem nicht kurzfristig lösen lässt. Während der Bedarf rasant weiter steigt, kommen zu wenig Nachwuchskräfte hinzu. 

Die Lösung 

Auch wir haben keine Lösung für den Fachkräftemangel an sich. Aber wir haben die Leute, die Sie suchen. Unsere Informationssicherheits-Experten betreuen Kunden in Kombination mit unserer Web-Plattform. 

Unser Ansatz: Wir automatisieren manuelle Prozesse, zum Beispiel für die Erstellung von Dokumenten. So haben unsere Experten Zeit für genau die Tätigkeiten, die kein Computer übernehmen kann: persönliche Beratung und Hilfe bei Fragen und Problemen. 

Wir unterstützen Teams, denen die Arbeit über den Kopf wächst, indem wir einen systematischen Ansatz zum Aufbau und Betrieb eines ISMS implementieren. 

Zum Schluss ein positiver Ausblick 

Informationssicherheit ist kein neues Thema. Doch durch die Entwicklungen der letzten Jahre ist das Bewusstsein für ihre Bedeutung gestiegen. Unternehmen müssen schmerzlich feststellen, dass Cyber-Angriffe keine theoretische Gefahr sind. 

Doch drängende Herausforderungen führen wie so oft auch hier zu innovativen Lösungsansätzen. Gerade kleine und mittlere Unternehmen können sich an standardisieren Ansätzen orientieren. Die ISO 27001 liefert hier eine hilfreiche Blaupause. 

Und hier kommt DataGuard ins Spiel

Mit unserer Lösung kann sogar der Fachkräftemangel teilweise ausgeglichen werden. Wir unterstützen Unternehmen beim Aufbau eines ISMS mit unserem erprobten und bewährten hybriden Ansatz. Hybrid bedeutet, dass wir das Fachwissen unserer Informationssicherheitsexperten mit einer web-basierten Sicherheitsplattform kombinieren.

Wir bieten branchenspezifische Beratung, unterstützen Sie bei der Einrichtung Ihres ISMS und bereiten Sie auf ein externes Audit vor. Damit Sie auch langfristig ISO 27001-zertifiziert bleiben, arbeiten wir kontinuierlich mit Ihnen zusammen.