Empfehlung

Fünf Erfolgsfaktoren für mehr IT-Sicherheit

laptop, tippen, büro, office, hände, hr-software

Phishingmails, gehackte Accounts, Datendiebstahl – Cybercrime boomt und schadet vor allem kleinen und mittleren Unternehmen (KMU). Gerade für Unternehmen ist Datenkriminalität in der heutigen Zeit ein ernstes Problem. Bereits eine mit einem Schadcode gespickte E-Mail reicht aus, um erheblichen Schaden anzurichten. Aus diesem Grund haben Experten für Informationssicherheit die fünf wichtigsten Erfolgsfaktoren für ein funktionierendes Informationssicherheits-Managementsystem (ISMS) zusammengefasst.

Unternehmen werden vermehrt Opfer von Cyberkriminalität

Durch die Digitalisierung wird es immer einfacher, Daten untereinander auszutauschen, sei es zwischen Privatpersonen oder Unternehmen. Doch der erhöhte Datenfluss birgt enorme Risiken. Stichwort: BYOD, Bring Your Own Device. Mit steigendem Austausch der Daten nimmt auch die Cyberkriminalität zu: Allein 2015 meldete das Bundeskriminalamt (BKA) knapp 45.800 Fälle von Cyberkriminalität. Die Dunkelziffer wird weitaus höher sein. Gerade Unternehmen werden vermehrt Opfer von Angriffen auf ihre sensiblen Produkt- oder Kundendaten.

IT-Sicherheit: Wer hier nichts vorweist, verliert Kunden

Der Schutz der eigenen Firmendaten gewinnt daher stetig an Bedeutung. Und dies gilt nicht nur für Großunternehmen: Auch KMU müssen sich vermehrt mit dem wichtigen Thema Datensicherheit auseinandersetzen. „Immer häufiger verlangen Auftraggeber von ihren Zulieferern, dass diese die selben Datensicherheitsstandards bieten wie sie selbst. Wer hier nichts vorweisen kann, verliert schnell wichtige Kunden“, so Tatjana Brozat, Auditorin für Informationssicherheit und Referentin der TÜV NORD Akademie. Für den langfristigen Datenschutz ist es laut der Expertin unerlässlich, ein umfassendes ISMS einzuführen. „Ein rein technischer Schutz durch neue Server oder Firewall-Systeme reicht längst nicht mehr aus. Der Nutzen von organisatorischen Maßnahmen, die für zusätzlichen Schutz sorgen, wird leider oft unterschätzt. Häufig liegen gerade hier Schwachstellen, die von Kriminellen gnadenlos ausgenutzt werden.“ Folgende Faktoren sind laut Tatjana Brozat nötig, um ein ISMS erfolgreich zu integrieren:

1. Einbindung der Unternehmensleitung

Für die Einführung eines ISMS ist es unabdingbar, dass die Unternehmensleitung eingebunden ist. Diese muss die Maßnahme unterstützen und Leitlinien für die Informationssicherheit aufsetzen, die unter anderem die zu schützenden Informationen definieren.

2. Bereitstellung von Ressourcen

Es müssen ausreichend finanzielle und personelle Mittel zur Verfügung stehen. Wichtig ist, dass je nach Unternehmensgröße ein Mitarbeiter abgestellt wird, der entsprechende Schulungen absolviert und als Beauftragter für Informationssicherheit (Chief Information Security Officer, CISO) das Management der Datensicherheit übernimmt. Bei größeren Unternehmen kann dieser durch Information Security Officer (ISO) unterstützt werden.

3. Abteilungsübergreifendes Verständnis

Informationssicherheit nimmt auf alle Kerngeschäftsprozesse eines Unternehmens Einfluss. Daher ist es wichtig, dass allen Mitarbeitern über die interne Kommunikation die Relevanz und mögliche Konsequenzen verdeutlicht werden. Der Erfolg eines ISMS ist von der Einhaltung der Vorgaben maßgeblich abhängig.

4. Auswahl passender Maßnahmen

Die gewählten Maßnahmen, die durch das ISMS eingeführt werden, sollten der Größe des Unternehmens angemessen sein und im Verhältnis zur Wirtschaftlichkeit stehen. Daher gilt es, zu Beginn organisatorische Maßnahmen, wie zum Beispiel ein Rollen- und Berechtigungskonzept, festzulegen. Erst danach folgt die technische Umsetzung, wie beispielsweise die Einführung einer Mehr-Faktor-Authentifizierung unter Einsatz von Smartcards in Kombination mit Passwörtern.

5. Messmethoden festlegen

Zur Überprüfung des Erfolgs eines ISMS ist es wichtig, messbare „Key Performance Indicators“ zu bestimmen. Durch sie kann jährlich festgestellt werden, ob sich die Informationssicherheit im Unternehmen verbessert hat. Ein möglicher Indikator ist die Anzahl an Informationssicherheitsvorfällen, deren Zu- oder Abnahme  in einem jährlichen Management Report festgehalten wird.

Über die TÜV NORD GROUP:

Die TÜV NORD GROUP ist einer der größten technischen Dienstleister. Zu den Geschäftsbereichen gehören Industrie Service, Mobilität, IT und Bildung. Schulungen zum Thema IT-Sicherheit für Unternehmen bietet beispielsweise die zum Dienstleister gehörende TÜV NORD Akademie an. Weiterführende Informationen finden am Thema im Internet unter www.tuev-nord-group.com

Christoph Schroeder

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.