Hamburg: Phishingmails, gehackte Accounts, Datendiebstahl – bereits eine mit einem Schadcode gespickte E-Mail reicht aus, um erheblichen Schaden anzurichten. Gerade für Unternehmen ist Datenkriminalität in der heutigen Zeit ein ernstes Problem. Werden Kunden-, Lieferanten- oder Produktdatenbanken angegriffen, gehen die Schäden schnell in die Millionen. Informationssicherheits-Managementsysteme (ISMS) gewinnen daher immer mehr an Bedeutung. Die fünf wichtigsten Erfolgsfaktoren für ein ISMS erläutert Tatjana Brozat, Auditorin für Informationssicherheit und Referentin der TÜV NORD Akademie.
Durch die Digitalisierung wird es immer einfacher, Daten untereinander auszutauschen, sei es zwischen Privatpersonen oder Unternehmen. Doch der erhöhte Datenfluss birgt enorme Risiken. Mit steigendem Austausch der Daten nimmt auch die Cyberkriminalität zu: Allein 2015 meldete das Bundeskriminalamt knapp 45.800 Fälle von Cyberkriminalität – die Dunkelziffer wird weitaus höher sein. Gerade Unternehmen werden vermehrt Opfer von Angriffen auf ihre sensiblen Produkt- oder Kundendaten. Der Schutz der eigenen Firmendaten gewinnt daher stetig an Bedeutung. Und dies gilt nicht nur für Großunternehmen: Auch kleine und mittelständische Unternehmen müssen sich vermehrt mit dem wichtigen Thema Datensicherheit auseinandersetzen. „Immer häufiger verlangen Auftraggeber von ihren Zulieferern, dass diese die selben Datensicherheitsstandards bieten wie sie selbst. Wer hier nichts vorweisen kann, verliert schnell wichtige Kunden“, so Brozat. Für den langfristigen Datenschutz ist es laut der Expertin unerlässlich, ein umfassendes ISMS einzuführen. „Ein rein technischer Schutz durch neue Server oder Firewall-Systeme reicht längst nicht mehr aus. Der Nutzen von organisatorischen Maßnahmen, die für zusätzlichen Schutz sorgen, wird leider oft unterschätzt. Häufig liegen gerade hier Schwachstellen, die von Kriminellen gnadenlos ausgenutzt werden.“ Folgende Faktoren sind laut Tatjana Brozat nötig, um ein ISMS erfolgreich zu integrieren:
Einbindung der Unternehmensleitung: Für die Einführung eines ISMS ist es unabdingbar, dass die Unternehmensleitung eingebunden ist. Diese muss die Maßnahme unterstützen und Leitlinien für die Informationssicherheit aufsetzen, die unter anderem die zu schützenden Informationen definieren.
Bereitstellung von Ressourcen: Es müssen ausreichend finanzielle und personelle Mittel zur Verfügung stehen. Wichtig ist, dass je nach Unternehmensgröße ein Mitarbeiter abgestellt wird, der entsprechende Schulungen absolviert und als Beauftragter für Informationssicherheit (Chief Information Security Officer, CISO) das Management der Datensicherheit übernimmt. Bei größeren Unternehmen kann dieser durch Information Security Officer (ISO) unterstützt werden. Entsprechende Schulungen bietet zum Beispiel die TÜV NORD Akademie an.
Abteilungsübergreifendes Verständnis: Informationssicherheit nimmt auf alle Kerngeschäftsprozesse eines Unternehmens Einfluss. Daher ist es wichtig, dass allen Mitarbeitern über die interne Kommunikation die Relevanz und mögliche Konsequenzen verdeutlicht werden. Der Erfolg eines ISMS ist von der Einhaltung der Vorgaben maßgeblich abhängig.
Auswahl passender Maßnahmen: Die gewählten Maßnahmen, die durch das ISMS eingeführt werden, sollten der Größe des Unternehmens angemessen sein und im Verhältnis zur Wirtschaftlichkeit stehen. Daher gilt es, zu Beginn organisatorische Maßnahmen, wie zum Beispiel ein Rollen- und Berechtigungskonzept, festzulegen. Erst danach folgt die technische Umsetzung, wie beispielsweise die Einführung einer Mehr-Faktor-Authentifizierung unter Einsatz von Smartcards in Kombination mit Passwörtern.
Messmethoden festlegen: Zur Überprüfung des Erfolgs eines ISMS ist es wichtig, messbare „Key Performance Indicators“ zu bestimmen. Durch sie kann jährlich festgestellt werden, ob sich die Informationssicherheit im Unternehmen verbessert hat. Ein möglicher Indikator ist die Anzahl an Informationssicherheitsvorfällen, deren Zu- oder Abnahme in einem jährlichen Management Report festgehalten wird.
Über weitere Maßnahmen, kritische Faktoren und aktuelle Praxisbeispiele klärt die Informationssicherheit-Fachtagung am 29. März 2017 und die anschließende Fachtagung zum Datenschutz in Hamburg auf.
Über die TÜV NORD GROUP
Die TÜV NORD GROUP ist mit über 10.000 Mitarbeitern einer der größten technischen Dienstleister. Mit ihrer Beratungs-, Service- und Prüfkompetenz ist sie weltweit in 70 Ländern aktiv. Zu den Geschäftsbereichen gehören Industrie Service, Mobilität, IT und Bildung. Mit Dienstleistungen in den Bereichen Rohstoffe und Aerospace hat der Konzern ein Alleinstellungsmerkmal in der gesamten Branche. Leitmotiv: „Excellence for your business.“