Wie würdest du auf die Frage „Wie stellst du dich im Sinne der Informationssicherheit auf?” antworten? Wahrscheinlich kommt dir bei dieser Frage erstmal die eine oder andere technische Lösung in den Sinn. Und was würdest du auf die Frage „Wie sehen deine Risiken aus und welche Angriffsvektoren hältst du für schützenswert?“ antworten? Wahrscheinlich enthält die Antwort viel Bauchgefühl.
Die aktuell angespannte Situation zeigt, dass oberflächliche technische IT-Sicherheitslösungen nicht ausreichen. Sie können sogar ein Problem darstellen. Unsere Gastautoren, die pco-Podcaster Julius Höltje und Marcel Sievers, wissen: Ohne die individuelle Feststellung des Schutzbedarfs und der Risiken können Unternehmen kein ganzheitliches Informationssicherheitsmanagementsystem (ISMS) aufbauen.
Wo liegt deine Schwachstelle?
Frag dich also, worin deine Risiken und Angriffsvektoren liegen: Remote Access von Mitarbeitern? Vernetzte OT-Anlagen? Multi-Cloud-Strategien? Vielzahl an SaaS? Die Schwachstelle Mensch? Hybride Infrastrukturen und Standortvernetzungen? Vernetzte Lieferketten? Kommunikation mit Partnern über E-Mail? Schwachstellen in Applikationen und Software-Produkten?
Du merkst schon: Diese Liste lässt sich quasi unendlich weiterführen. Daher ist es umso wichtiger, diese Gedanken im Sinne einer strategischen Methodik aufzunehmen und im Anschluss geeignete Maßnahmen für den Ausbau der Informationssicherheit zu finden. Schluss mit Bauchgefühl. Schluss mit Stückwerk.
ISO 27001 – Nicht sexy, aber hilfreich.
Die ISO 27001 bietet dir genau das: einen risikobasierten Ansatz zur Ermittlung des Schutzbedarfs und der ganzheitlichen Implementierung eines ISMS. Klingt nicht sexy, aber hilft ungemein. Speziell im aktuellen Cyberwar sind Angreifer akribisch auf der Suche nach deinen Sicherheitslücken. Da hilft keine meterhohe Wand auf der einen Seite und keine Vorkehrung auf der anderen Seite.
Problem erkannt, Problem gebannt? Nicht so schnell, aber der erste Schritt ist getan. Mach dich also auf den Weg und ermittele den Status Quo – am besten mit Spezialisten, die eine langjährige Erfahrung vorweisen können. Auf dieser Basis lassen sich anhand der ISO 27001 bis zu 114 Maßnahmen ableiten, die dich bis zur erfolgreichen Implementierung eines ISMS begleiten.
Eins müssen wir dir klar sagen: Die Umsetzungen dieser Maßnahmen werden dich üblicherweise über einen längeren Zeitraum von mindestens 18 Monaten einspannen. Und danach muss ein ISMS dauerhaft mit Leben gefüllt werden. Die Rolle eines Informationssicherheitsbeauftragten gehört nicht umsonst zu den wichtigsten Maßnahmen, um Informationssicherheit langfristig im Unternehmen zu etablieren und nach dem PDCA-Zyklus einen kontinuierlichen Verbesserungsprozess zu verfolgen.
Sei vorbereitet. Vorbereitet für den nächsten Cyberwar und die zunehmend steigende Bedrohungslage. Sowohl deine Geschäftspartner als auch deine Gesellschafter und Mitarbeiter werden es dir danken.
Mehr zu diesem Thema erfährst du beim Deutschen IT-Security Kongress. Am 29. September 2022 kommen die besten, klügsten, erfahrensten und verrücktesten Köpfe der IT-Security Branche zusammen: internationale Hersteller, bekannte Speaker und relevante IT-Entscheider – vereint in einem einzigartigen Format. Alle Infos findest du unter https://www.pco-online.de/kongress2022