Die Zeiten haben sich geändert: Unternehmenssicherheit ist heute nicht mehr das, was sie noch vor zehn oder sogar zwei Jahren war.
Informationssicherheit spielt für das Wachstum eines Unternehmens heute eine wichtigere Rolle denn je. Sicherheitsteams verfügen über größere Budgets, mehr Möglichkeiten und eine höhere Sichtbarkeit auf Vorstandsebene. Mit diesen Veränderungen steigt auch die Verantwortung und die Kontrolle. Wie können Sie als IT-Führungskraft in dieser neuen Realität agieren?
Warum wir Sicherheit neu denken müssen
Technologie und unsere wachsende Abhängigkeit davon haben unsere Gesellschaft nachhaltig verändert. Wir sind global vernetzt – was einerseits Vorteile, andererseits aber auch Risiken mit sich bringt.
Informationen sind das neue Gold
Ohne geografische Beschränkungen können Cyberkriminelle diese Vernetzung ausnutzen. Straftaten lassen sich anonym und weltweit begehen, das Risiko erwischt zu werden ist gering.
Dieser Vorteil hat einen Markt für ungefilterte Informationen geschaffen, die dann zur Gewinnung von krimineller Intelligenz genutzt werden. Informationen und daraus gewonnene Erkenntnisse sind zu extrem profitablen Gütern geworden.
Ein Beispiel: Shawn Henry, ehemaliger stellvertretender Direktor des FBI, erklärte in einem Artikel des New Yorker: "Als ich in den späten 80ern anfing, war der Kreis der Verdächtigen bei einem Banküberfall auf diejenigen beschränkt, die sich zum Tatzeitpunkt in der Nähe aufhielten. Heute sind potenzielle Täter all jene weltweit, die Zugriff auf einen 500-Euro-Laptop und einen Internetanschluss haben. Das sind mittlerweile 2,5 Milliarden Menschen. Anstatt nur die Kreditkarte einer Person zu stehlen, kann man jetzt gleichzeitig Millionen bestehlen." (Link nur in EN verfügbar).
Datenlecks sind alltäglich geworden
Die Medien berichten täglich von Datenlecks, betroffen ist dabei alles Mögliche – von personenbezogenen Daten (PII) über Kreditkartendaten bis hin zu sensiblen Regierungsdokumenten. Sicherheitsverletzungen nehmen zu und neue Herausforderungen in der Cybersicherheit entstehen genauso schnell, wie Experten sie bekämpfen können. All dies führt zu einem Umdenken im Bereich der Sicherheit, insbesondere der Informationssicherheit.
Sicherheit ist Chefsache: Der Blick über den IT-Tellerrand
Früher war Informationssicherheit ein reines IT-Thema, mit Fokus auf technischen Aufgaben und Projekten. Das war die "Old School" der IT-Sicherheit.
Technisches Know-how ist zwar nach wie vor wichtig, aber moderne Cybersicherheit erfordert eine geschäftsorientierte Sicherheitsstrategie. Dieser "New-School"-Ansatz geht über die IT hinaus: Sicherheitsleiter und -manager müssen Risikomanagement und verschiedene regulatorische, Compliance-, rechtliche und Datenschutz-Faktoren verstehen.
Die Sicherheit Ihres Unternehmens hängt heute von Ihrem Geschäftssinn ab. Sie müssen Bezüge herstellen, kommunizieren und Beziehungen innerhalb Ihrer gesamten Organisation aufbauen. Erfolgreiche Sicherheit erfordert das Identifizieren von Sicherheitsbedrohungen und -fähigkeiten sowie ein Verständnis des Geschäftsumfelds und der Unternehmensziele.
Das könnte Sie auch interessieren: Compliance ist nicht gleich Sicherheit: Warum Zertifizierungen nicht reichen
Damit Sicherheitsteams erfolgreich sein können, müssen sie effektiv mit der gesamten Organisation zusammenarbeiten. Dazu gehören alle Geschäftsfunktionen, um notwendige Geschäftsprozesse und neue Technologiebereiche wie Cloud, Mobile, Bring Your Own Device (BYOD) und andere neue Initiativen zu unterstützen. Das geht weit über reine Zertifizierungen und Compliance hinaus.
Sicherheit und Geschäftsziele müssen abgestimmt sein
Sicherheitsbeauftragte und Führungskräfte mit Geschäftszielen sprechen oft unterschiedliche Sprachen. Das macht es schwierig zu entscheiden, welche Sicherheitsprojekte für Ihr Unternehmen wirklich wichtig sind.
Natürlich steht Ihr Unternehmen im Tagesgeschäft vielen Risiken gegenüber, und Sicherheit ist nur eines davon. Indem Sie Sicherheitsanforderungen mit anderen Geschäftsinvestitionen in Einklang bringen, kann die Sicherheitsabteilung als Partner gesehen werden – nicht nur als Kostenfaktor.
Sicherheit ist nur ein Risikobestandteil
Sicherheit ist nur eines von mehreren Risiken, die Ihr Unternehmen managen muss. Die besten Ergebnisse erzielen Sie, wenn Sie Sicherheitsmaßnahmen mit finanziellen, operativen und Reputationsrisiken in Einklang bringen – und alle risikobasierten Entscheidungen müssen von der Geschäftsleitung mitgetragen werden. Hier ein paar Fragen zum Nachdenken:
- Welche potenziellen Verluste sind akzeptabel?
- Welches Risikolevel erachten die Geschäftsführenden für angemessen?
Sicherheitsbudgets im Einklang mit anderen Investitionen
Sicherheitsbudgets sollten das Unternehmenswachstum unterstützen. Ein Tech-Startup zum Beispiel könnte der Absicherung seines geistigen Eigentums Vorrang vor anderen Bereichen einräumen, da der Schutz von Innovationen für den Wettbewerbsvorteil entscheidend ist.
Strategische Planung an erster Stelle
Eines ist sicher: Es geht nicht um die Frage "ob" ein Informationssystem kompromittiert wird, sondern eher um "wann" und "wie viele" Informationen dann verloren gehen. Wie können wir Risiken auf ein akzeptables Niveau managen? Effektive strategische Planung ist notwendig, um auf neue Bedrohungen zu reagieren, Sicherheit mit wichtigen Geschäftsinitiativen und Stakeholdern in Einklang zu bringen und letztendlich den optimalen Ansatz zur Abwehr von Cyberangriffen zu entwickeln.
Strategische Planung ist der erste Schritt. Sicherheit muss in die gesamte Unternehmensstrategie integriert werden. Ein Gesundheitsunternehmen zum Beispiel muss strenge Datensicherheitsmaßnahmen in seine Compliance mit Gesundheitsvorschriften integrieren und diese Bemühungen mit seinem Auftrag zur sicheren Patientenversorgung in Einklang bringen.
Wie wird Sicherheit zum Teil Ihrer Geschäftsstrategie?
Der erste Schritt ist die strategische Planung, an der sowohl Sicherheitsbeauftragte als auch Führungskräfte beteiligt sind. Der Aufbau eines soliden Informationssicherheitsmanagementsystems (ISMS) trägt ebenfalls maßgeblich dazu bei, Sicherheit in die Geschäftsstrategie Ihres Unternehmens zu integrieren. Denn ein ISMS verschafft Ihnen einen guten Überblick über Ihre Unternehmenswerte, Risiken und Maßnahmen zu deren Bewältigung. Dies wiederum hilft dabei, die Sicherheit mit den Geschäftszielen in Einklang zu bringen.
Bauen Sie ein robustes ISMS auf
Ein robustes, modernes ISMS stellt sicher, dass Ihre Sicherheitsmaßnahmen mit Ihrer strategischen Vision übereinstimmen. Ein multinationales Unternehmen kann beispielsweise ein ISMS verwenden, um Sicherheitsverfahren in verschiedenen Regionen zu vereinheitlichen und so einen konsistenten Schutz bei gleichzeitiger Unterstützung globaler Aktivitäten zu gewährleisten.
Als IT-Leiter oder CISO haben Sie wahrscheinlich bereits ein ISMS im Einsatz. Jetzt geht es darum, herauszufinden, ob es für das Geschäftsmodell Ihres Unternehmens sinnvoll eingerichtet ist:
- Berücksichtigt es Ihren organisatorischen Kontext?
- Haben Sie einen guten Überblick über Ihre wertvollsten Assets und die damit verbundenen Risiken?
- Sind Sie auf Zertifizierungen wie ISO 27001 oder TISAX vorbereitet?
- Basiert Ihr ISMS auf einer zuverlässigen Plattform?
- Haben Sie genügend Expertenunterstützung, die Sie durch die Komplexität von Informationssicherheit, Risikomanagement und Compliance führt?
Identifizieren Sie Ihre kritischen Assets
Nehmen wir an, Sie sind ein Logistikunternehmen. Ein kritisches Asset für Ihr Unternehmen wäre das Versandplanungssystem, das den pünktlichen und effizienten Transport von Waren zu den Kunden gewährleistet. Das System selbst, die Kundendaten (Adressen, Kontaktinformationen) und Kommunikationskanäle (E-Mails, Telefonanlagen) definieren alle eine kritische Funktion für Ihr Unternehmen.
Das könnte Sie auch interessieren: Die besten Cybersicherheitsmaßnahmen: Konzentrieren Sie sich zuerst auf das, was Ihr Unternehmen zum Stillstand bringen könnte
Ihre größten Risiken wären dann mit diesem System verbunden, da dessen Kompromittierung zu Millionenverlusten führen und die Kundenzufriedenheit sowie den Ruf Ihres Unternehmens negativ beeinflussen könnte.
Nutzen Sie das NIST Cybersecurity Framework (CSF)
Werfen Sie einen Blick auf das NIST Cybersecurity Framework (CSF) 2.0. Es ist eine Art Werkzeugkasten mit Richtlinien und Best Practices, mit denen Unternehmen ihre Cybersicherheit und Widerstandsfähigkeit stärken können. Das Framework ist flexibel und lässt sich an unterschiedliche Unternehmenstypen und deren individuelle Cybersicherheitsanforderungen anpassen.
Im Kern beschreibt NIST CSF 2.0 einen zyklischen Prozess für effektives Informationssicherheitsmanagement: governance, identification, protect, detect, respond und recover.
- Verwalten (Govern): Definieren Sie Ihre zentralen Geschäftsprozesse, legen akzeptable Risiken fest und weisen Verantwortlichkeiten zu
- Identifizieren (Identification): Ermitteln Sie, welche Assets diese Prozesse unterstützen, und bewerten die relevanten Risiken.
- Schützen (Protect): Stellen Sie sicher, dass diese Assets geschützt sind.
- Erkennen (Detect): Überwachen Sie verdächtige Aktivitäten.
- Reagieren (Respond): Ergreifen Sie Maßnahmen, um erkannte Bedrohungen abzuwehren.
- Wiederherstellen (Recover): Stellen Sie nach einem Vorfall den Normalbetrieb wieder her
Bauen Sie Ihr ISMS für optimale Sicherheit und Compliance auf
Vielleicht reicht Ihnen aktuell noch eine ausgeklügelte Tabelle, um all Ihre Assets und Risiken zu erfassen. Aber Vorsicht: Mit dem Wachstum Ihres Unternehmens, der Expansion in neue Märkte und der Zusammenarbeit mit weiteren Partnern wird die Sache schnell komplexer. Neue Risiken bedrohen Ihre kritischen Systeme und Daten.
Eine zentrale Lösung zum Aufbau Ihres ISMS für maximale Sicherheit und Compliance (ob DSGVO, ISO 27001 oder TISAX®) könnte die meisten dieser neuen Herausforderungen lösen, besonders mit der Unterstützung von Experten. Gerne können Sie sich an uns wenden, um mehr zu erfahren:
Häufig gestellte Fragen (FAQs)
Welche Beispiele gibt es für Sicherheitsverfahren?
Beispiele für Sicherheitsverfahren umfassen Zugangskontrollen wie Passwortrichtlinien und biometrische Authentifizierung sowie physische Sicherheitsmaßnahmen wie Überwachung und sichere Einlasssysteme.
Weitere Verfahren sind Datenverschlüsselung, regelmäßige Softwareupdates und Backups zum Schutz vor Datenverlust. Auch Incident-Response-Verfahren, die Schritte bei Sicherheitsverletzungen beschreiben, und Schulungsprogramme für Mitarbeiter zum Thema bewährte Sicherheitspraktiken sind wichtige Bestandteile.
Was ist ein organisatorisches Sicherheitsverfahren?
Organisatorische Sicherheitsverfahren beziehen sich auf die standardisierten Prozesse und Richtlinien, die ein Unternehmen zum Schutz seiner Assets und Informationen befolgt. Diese Verfahren beschreiben die Schritte zur Verhinderung, Erkennung und Reaktion auf Sicherheitsvorfälle.
Sie umfassen eine Reihe von Aktivitäten, einschließlich Zugriffskontrollen, Incident-Response-Protokollen, Datenschutzmaßnahmen und regelmäßigen Audits. Ziel ist es, einen systematischen Sicherheitsansatz zu schaffen, der Konsistenz, Compliance und ein effektives Management von Sicherheitsrisiken im gesamten Unternehmen gewährleistet.
Wie gewährleisten Sie die organisatorische Sicherheit?
Die Gewährleistung der organisatorischen Sicherheit erfordert einen umfassenden Ansatz, der die Implementierung robuster Cybersicherheitsmaßnahmen, die Durchführung regelmäßiger Sicherheitsaudits und die Schulung von Mitarbeitern in Sicherheitsfragen umfasst.
Dazu gehören die Einrichtung von Firewalls, Verschlüsselung und Intrusion-Detection-Systemen sowie die Festlegung klarer Richtlinien und Verfahren zur Bewältigung und Reaktion auf Sicherheitsvorfälle. Regelmäßige Softwareupdates, Schwachstellenanalysen und die Förderung einer sicherheitsbewussten Kultur unter den Mitarbeitern sind ebenfalls wichtige Bestandteile.
Was ist der Zweck der organisatorischen Sicherheit?
Der Zweck der organisatorischen Sicherheit besteht darin, die Vermögenswerte des Unternehmens, einschließlich physischer und digitaler Ressourcen, vor Bedrohungen wie Cyberangriffen, Datenlecks, Diebstahl und Naturkatastrophen zu schützen.
Effektive Sicherheitsmaßnahmen gewährleisten die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen und schützen so den Betrieb, den Ruf und die rechtliche Compliance des Unternehmens. Durch die Risikominderung trägt die organisatorische Sicherheit zur Aufrechterhaltung der Geschäftskontinuität und des Vertrauens bei den Stakeholdern bei.
Wie entwickeln Sie einen Sicherheitsplan für ein Unternehmen?
Die Entwicklung eines Sicherheitsplans für ein Unternehmen umfasst die Bewertung potenzieller Risiken und Schwachstellen, die Definition von Sicherheitszielen und die Festlegung von Richtlinien und Verfahren zur Bewältigung der identifizierten Bedrohungen.
Dieser Prozess beinhaltet die Durchführung einer gründlichen Risikobewertung, die Festlegung klarer Sicherheitsziele und die Erstellung eines Incident-Response-Plans. Außerdem umfasst er die Zuweisung von Verantwortlichkeiten, die Implementierung technischer Kontrollen und die regelmäßige Schulung der Mitarbeiter. Kontinuierliche Überwachung und Aktualisierung des Sicherheitsplans sind unerlässlich, um sich an die sich entwickelnden Bedrohungen anzupassen und seine Wirksamkeit zu gewährleisten.