Es gibt 100 % Sicherheit – gibt es die wirklich?

Dieser Beitrag zeigt dem Leser auf, warum es keine 100%ige Sicherheit gibt und weshalb jedes Unternehmen sich mit IT Security, gerade zur heutigen Zeit, beschäftigen muss. Alle Unternehmen möchten ihre Prozesse digitalisieren. Sei es, um Kosten einzusparen oder ihren Kunden ein großartiges Erlebnis beim Kaufprozess zu bescheren, indem die Prozesse bei der Kundeninteraktion verschlankt oder die User Experience gesteigert wird. Letztlich zielen diese Maßnahmen darauf ab, Umsätze zu erhöhen und Marktanteile zu gewinnen, um somit den Fortbestand des eigenen Unternehmens und damit auch die Arbeitsplätze zu sichern.

Zunehmende Bedeutung von IT Security

Für Unternehmen ist es wichtig zu beachten, dass die Abhängigkeit von der Informationstechnologie steigt, je mehr digitalisiert wird. Mit der zunehmenden Abhängigkeit von der IT steigt auch das Risiko eines Angriffs durch Hacker und die Bedrohungen von Cyberangriffen insgesamt. Dies zeigt vor allem der Bundeslagebericht für Cybercrime 2019 sowie die Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie vom BKA Bundeslagebilder Cybercrime. Die Uniklinik Düsseldorf hat einen Cyberangriff erlitten Uniklinik Düsseldorf: Ransomware „DoppelPaymer“ soll hinter dem Angriff stecken, aber auch Banken und die Telekom in Ungarn haben sich vor Angriffen nicht zu 100 % schützen können Massiver DDoS-Angriff auf Ungarns Banken und Telekom. Gerade in Zeiten von Homeoffice steigen die Risiken und damit die Bedrohungen, die es abzuwehren gilt Cyber Risiken wachsen exponentiell: 100 Tage Corona – 33 % mehr Hackerangriffe. Hinzu kommt, dass Gesetze und Vorgaben der zuständigen Institutionen zunehmend angepasst werden, sodass Unternehmen ihre Sicherheitsanforderungen überdenken und anpassen müssen. Aktuell fordert die Entscheidung des Europäischen Gerichtshof die Unternehmen zum Umdenken heraus, wonach das Privacy-Shield Abkommen zwischen den USA und Europa nicht den Datenschutzanforderungen Europas entspricht und damit gekippt wurde Privacy Shield gekippt: Welche Auswirkungen hat das EuGH-Urteil?. Diese Beispiele zeigen, dass sich Unternehmen und insbesondere die Leitungsebene mit dem Thema IT Security auseinandersetzen müssen.

In diesem Abschnitt erhalten Sie einen Überblick verschiedener Bedrohungsarten, die verstärkt zu Cyberangriffen führen können und somit im Fokus bleiben sollten.

Autor/in
Florida Mustafa
IT-Projektmanagerin Mehr erfahren
Florida Mustafa
Florida Mustafa arbeitet als IT Projektmanagerin seit 2014 an der Schnittstelle zwischen Entwicklern und Anwendern. Bei IT-P ist sie seit 2017 für die Planung, Organisation und Steuerung informationstechnischer Projekte verantwortlich. Neben ihrem Interesse am Einsatz agiler Arbeitsweisen, interessiert sie sich für die Themen rund um die IT-Security. Parallel zu ihrer Arbeit absolviert sie ihr Master-Studium im IT-Management. ... mehr vom Experten
Vom BSI (Bundesamt für Sicherheit in der Informationstechnik) wird eine Bedrohung wie folgt definiert

Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, der oder das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen beeinträchtigen kann, wodurch dem Besitzer bzw. Benutzer der Informationen ein Schaden entstehen kann. Beispiele für Bedrohungen können sein: höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen oder vorsätzliche Handlungen. Trifft eine Bedrohung auf eine Schwachstelle (insbesondere technischer oder organisatorischer Mangel) entsteht eine Gefährdung IT-Grundschutz Glossar.

Die 5 relevantesten Bedrohungsarten

  • 1. Schadprogramme
    Oft gelangen Schadprogramme über E-Mail-Anhänge oder Links auf die Rechner der Nutzer, wenn sie diese anklicken bzw. öffnen und im Hintergrund die schädliche Software installiert wird.
    Insbesondere wenn Schadprogramme verändert werden und damit neue Varianten  entstehen sowie die eigenen Antivirus-Programme aufgrund der Neuartigkeit diese nicht identifizieren können, steigt das Risiko, dass sich eine schädliche Software in die eigenen IT-Systeme einschleicht.
    Gerade die neuen Emotet Angriffe zeigen, dass die Schadprogramme immer intelligenter werden und gezielter Angriffsversuche durchführen.
  • 2. Diebstahl von Identitäten durch u. a. Phishing
    Eine Identität besteht aus einer Anzahl von Merkmalen, die auf eine Person oder ein Objekt schließt. Beim Diebstahl werden diese Informationen bzgl. der Merkmale einer Person oder eines Objekts angeeignet. Ein Missbrauch der Identität besteht dann, wenn die Informationen unautorisiert für andere Zwecke genutzt werden. Identitäten können u. a. über Phishing E-Mails, Schadprogramme sowie Daten-Leaks passieren.
    Beim Phishing werden E-Mails versendet, die bspw. die Korrespondenz der Haus-Bank vorgaukeln und über einen Link auf eine Phishing-Seite umleiten, in der bspw. die Login-Daten eingetragen werden sollen.
  • 3. Schwachstellen in Hard- und Software
    Schwachstellen in Hard- und Software können ausgenutzt werden. Daher müssen diese kurzfristig behoben werden, sobald sie bekannt sind. Maßnahmen zur Beseitigung von Schwachstellen sind meist Updates oder Patches, die von den Herstellern selbst zur Verfügung gestellt werden. Zur Bewertung der Schwachstellen werden oft die Auswirkungen auf die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität herangezogen. Um die Schwachstellen so gering wie möglich zu halten, werden bereits vor der Softwareentwicklung die Sicherheitsanforderungen an die Software aufgenommen und fließen in die Entwicklung mit ein.
  • 4. Advanced Persistent Threats
    Advanced Persistent Threats, auch APTs, sind langfristig und aufwendig geplante, auf bestimmte Objekte abzielende Angriffe. Die Motivation dahinter liegt im Informationsabzug oder der Sabotage. Dabei weitet sich das Spektrum der Angriffe von Phishing-E-Mails bis hin zur Kompromittierung bspw. Angriffe auf das Regierungsnetz.
  • 5. Distributed Denial of Service
    Beim Distributed Denial of Service, auch DDoS, handelt sich um Angriffe, die bei Internetdiensten zu Überlastungen führen. Diese können zu einem hohen wirtschaftlichen Schaden und zum Verlust der Reputation führen.
Zusätzliche Gefährdung durch die Corona-Krise

Hier werden verstärkt Social-Engineering-Angriffe genutzt. Diese meinen vor allem Betrugs- sowie Manipulationsversuche, indem falsche Tatsachen vorgespielt und somit die Emotionen der Menschen ausgenutzt werden. Angreifer setzen hierbei auf öffentliche Themen, die in den Medien diskutiert werden und bauen ihre Angriffsmethoden auf diesen auf. Insbesondere während der Corona-Krise werden negative Emotionen der Menschen, wie Angst und Unsicherheiten, genutzt, um ihr darauffolgendes Verhalten in die günstige Richtung für die Angreifer zu lenken. Auch die Verlagerung bestimmter Lebensbereiche, wie Beruf und Bildung, in die digitale Welt ermöglicht zunehmend Angriffsfläche. Vor allem für die Arbeit im Homeoffice wurden zeitnah Cloud-Dienste für die Mitarbeitenden freigeschaltet, um mit wenig Unterbrechung die Arbeit fortzuführen. Dies führt oft dazu, dass sicherheitsrelevante Aspekte zunächst nicht betrachtet und bewertet werden, sodass es leicht für Angreifer ist, Schwachstellen bspw. durch Schadprogramme auszunutzen.

Wie können diese Bedrohungen von IT-Security beherrscht werden?

IT-Risikomanagement

Ein Risiko entsteht, wenn eine Gefahr auf eine Schwachstelle trifft und diese mit einer bestehenden Wahrscheinlichkeit eintreten kann. Diese Risiken können dann weiterhin mit einer Eintrittswahrscheinlichkeit und Schadenshöhe klassifiziert werden. Um die identifizierten Risiken zu steuern sowie die Übersicht und Kontrolle darüber zu behalten, sollte ein Risikomanagement mit IT-Bezug eingeführt werden. Dafür muss ein entsprechender Prozess initialisiert werden. Hierfür muss der IST-Zustand erfasst und die Risikobewertung durchgeführt werden. Im Anschluss erfolgt die Beurteilung, indem die Ergebnisse gesammelt und die Kostenimpacts bewertet werden. Nach der Beurteilung sollten die Risiken gesteuert und entsprechende Maßnahmen definiert werden, um die Risiken soweit es geht zu minimieren. Außerdem muss die Überwachung der Risiken etabliert werden, um den laufenden Prozess zu erhalten, indem die Maßnahmen ergriffen und die Risiken neu bewertet werden.

Schutzziele

Um Gefahren und damit einhergehende Risiken für Schäden zu minimieren oder gänzlich zu vermeiden, dienen die folgenden klassischen Schutzziele der IT Security.

Vertraulichkeit Informationen liegen nur einem eingeschränkten und berechtigten Nutzerkreis zur Verfügung. Demzufolge dürfen diese Informationen nicht weitergegeben oder veröffentlicht werden.
Verfügbarkeit Auf Informationen und Systeme kann im Rahmen eines definierten Zeitrahmens zugegriffen werden. Hierbei wird mit Wahrscheinlichkeiten gerechnet und im Rahmen von SLAs vereinbart.
Integrität Informationen und Systeme sollen korrekt funktionieren bzw. unversehrt bleiben.

Gesetzliche Anforderungen

Weiterhin unterliegen Unternehmen einer Reihe von Verpflichtungen. So werden das Handelsgesetzbuch sowie das Aktiengesetz um das Gesetz zur „Kontrolle und Transparenz“, auch KonTraG genannt, erweitert, die ein Risikomanagement bei Unternehmen fordern. Neben diesen Verpflichtungen gibt es weitere Vorschriften, die die IT Security betreffen. Diese können je nach Branche andere Vorschriften darstellen.

Zum Beispiel beinhaltet Basel II aus der Bankenbranche bestimmte Vorgaben, die im Rahmen von Kreditvergaben IT-seitig zu gewährleisten sind. Diese sind im Baseler Rahmenwerk mit allen Standards zu finden, die dem Baseler Ausschuss für Bankenaufsicht zugeschrieben werden. Kern dieses Rahmenwerkes sind Kreditrisiken, Marktrisiken sowie operationelle Risiken.

Auch die Bankaufsichtliche Anforderungen an die IT (BAIT) müssen in der Bankenbranche beachtet werden. Dem gegenübergestellt gelten für die Versicherungsbranche die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Diese stellen neben den Mindestanforderungen an das Risikomanagement (MaRisk) die gesetzlichen Anforderungen, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Gestaltung sicherer IT-Systeme den Unternehmen auferlegt werden.

Weiterhin muss das IT-Sicherheitsgesetz, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, seitens der KRITIS Unternehmen (Unternehmen mit kritischer Infrastruktur) eingehalten werden. Desweiteren wird die Umsetzung der NIS-Richtlinien (Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit) vorgegeben, wenn es sich um bestimmte Dienste mit höherem Schutzbedarf handelt, wie digitale Marktplätze oder Cloud-Computing.

Auch die DSGVO (Datenschutz-Grundverordnung) regelt EU-weit die Verarbeitung sensibler Informationen (personenbezogene Daten). Zudem gibt es Normen, die zwar keinem bestimmten Gesetz unterliegen, die aber im Schadensfall bei Nicht-Einhaltung zu rechtlichen Auswirkungen führen können. Zu nennen sind hier u. a. der IT-Grundschutz, ISO/IEC 27001:2013, VDI/VDE 2182; ISO/IEC 27011:2016.

IT Security Standards

Der wohl bekannteste IT Security Standard in Deutschland ist der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik. Bei dem IT‑Grundschutz handelt es sich um eine Vorgehensweise, die unterstützt, Sicherheitsmaßnahmen in der IT zu identifizieren und umzusetzen. Dabei wird gefordert, dass die Maßnahmen angemessen sind. Die Schutzmaßnahmen sollen ein ausreichendes Schutzniveau generieren. Zur Zielerreichung der Schutzniveaus empfiehlt der BSI die selbst entwickelten IT-Grundschutz-Kataloge. Die Kataloge bestehen dabei aus Sicherheitsmaßnahmen und Schutzprogrammen. Die Basis des IT-Grundschutzes bilden die BSI-Standards sowie das IT-Grundschutz-Kompendium. Folgende BSI-Standards sind anzuwenden:

BSI-Standard 200-1 Managementsysteme für Informationssicherheit:

Anforderung an ein Managementsystem der Informationssicherheit mit zugehörigen Komponenten und Aufgaben. Vergleichbar mit der Norm ISO/IEC 27001 sowie anderen internationalen Standards.

BSI-Standard 200-2 IT-Grundschutz-Methodik, um das ISMS sukzessive einzuführen mit beschriebenen Verfahren zur Konkretisierung der Anforderungen aus dem BSI-Standard 200‑1.
BSI-Standard 200-3 Risikoanalyse auf Basis des IT‑Grundschutzes mit vereinfachtem Verfahren und anzuwenden, sobald Komponenten zu sichern sind, wenn Basis- und Standard-Anforderungen nicht ausreichend sind.

 

Das Kompendium dient als Nachschlagewerk für die Informationssicherheit und besteht aus den folgenden IT‑Grundschutz-Bausteinen:

  • ISMS: Sicherheitsmanagement
  • ORP: Organisation und Personal
  • CON: Konzeption und Vorgehensweise
  • OPS: Betrieb
  • DER: Detektion und Reaktion
  • APP: Anwendungen
  • SYS: IT-Systeme
  • IND: Industrielle IT
  • NET: Netze und Kommunikation
  • INF: Infrastruktur

Darüber hinaus gibt es für die IT Security in Unternehmen die internationale Norm ISO/IEC 27001, Information technology – Security techniques – Information security management systems – Requirements. Diese ISO-Norm behandelt die Anforderungen bzgl. Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierlicher Verbesserung des Informationssicherheits-Managementsystems. Auch hier werden Risiken der Informationssicherheit beurteilt und behandelt. Fokus dieser Norm ist es, sämtliche Unternehmenswerte mit Hilfe geeigneter Maßnahmen zu schützen. Die Norm ist vor allem für folgende Bereiche anwendbar:

  • Anforderungen und Zielsetzungen formulieren
  • Sicherheitsrisiken kosteneffizient managen
  • Einklang mit Gesetzen und Regularien sicherstellen
  • Gibt Prozessrahmen, um Maßnahmen zu implementieren und zu managen
  • Bestehende und neue Informationssicherheits-Managementprozesse und zugehörige Tätigkeiten definieren
  • Für interne und externe Audits verwendbar

Es gibt viele weitere Standards und Rahmenwerke, die in der IT eingesetzt werden können, wie COBIT oder ITIL. Wichtig ist zunächst zu wissen, dass es anerkannte Standards für IT Security gibt.

Aufbauorganisation

Unternehmen haben eine innere Gliederung, die eine Aufbauorganisation darstellt und in einem Organigramm abgebildet wird. Weiterhin werden in Unternehmen Funktionen als Rollen bezeichnet, die bestimmten Rechten, Pflichten sowie Aufgaben unterliegen und im Organigramm aufgeführt werden können. Eine Rolle kann von einer ganzen Abteilung, einer bestimmten Gruppe oder einer Person bekleidet werden. Insbesondere im Falle einer Rollenbesetzung durch eine Person muss diese eine eindeutige Vertretung haben, damit auch bei Abwesenheit die Aufgaben, Rechte und Pflichten wahrgenommen werden können. Typische Rollen in einem Unternehmen können sein:

IT-Sicherheitsbeauftragter Diese Rolle beschäftigt sich verantwortlich mit den IT-Sicherheitsthemen
IT-Datenschutzbeauftragter Diese Rolle sorgt dafür, dass die Datenschutzvorschriften eingehalten werden
Weitere beispielhafte Rollen Unternehmensleitung, IT-Leitung, IT-Notfallbeauftragter

Bei der Rollenverteilung ist darauf zu achten, dass keine Rollenkonflikte entstehen bspw. sollten die Rollen des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten nicht von der gleichen Person bekleidet werden, da ein möglicher Interessenkonflikt entsteht. Interessenkonflikte sollten grundsätzlich vermieden werden.

Da IT Security in einem Unternehmen als Vorsorgeaufgabe verstanden wird, ist sie bei der Unternehmensleitung aufzusetzen und dieser direkt unterstellt sowie berichtet dieser direkt.

Sicherheitsprozess

Die Informationssicherheit unterliegt einem kontinuierlichen Verbesserungsprozess, bei dem die Sicherheit eingeführt und verbessert wird. Dieser kontinuierliche Verbesserungsprozess ermöglicht die schrittweise Umsetzung der IT Security. Ein mögliches Modell des kontinuierlichen Verbesserungsprozesses ist der PDCA-Zyklus.

Wie in der Abbildung zu sehen besteht der Zyklus aus den Phasen Plan, Do, Check und Act. In der Phase Plan werden die Sicherheitsziele geplant und konzipiert. Im Do wird die Planung realisiert. Die Umsetzung wird dann überprüft, ob der gewünschte Effekt eingetreten ist oder Probleme aufgekommen sind, was die Phase Check darstellt. In der Phase Act werden dann die Ergebnisse aus der Phase Check betrachtet und es leiten sich notwendige Veränderungen ab, die wiederum geplant werden müssen. Auch Anforderungen, die sich zwischenzeitlich ergeben haben, werden berücksichtigt. Damit schließt sich der Zyklus und der Kreislauf startet von vorn.

Im Kontext Sicherheitsmanagement wird mit der Sicherheitsleitlinie die Planung (Plan) aufgestellt. Damit entsteht ein Sicherheitskonzept oder es werden Anpassungen am Bestehenden vorgenommen. In der Phase Do wird das Sicherheitskonzept umgesetzt. Die Erfahrungen und Ergebnisse, die aus der Alltagspraxis gesammelt wurden, werden in der Phase Check regelmäßig überprüft. In der Phase Act wird auf Grundlage der Erkenntnisse und sonstigen Sicherheitsanforderungen und Handlungsempfehlungen, die das Sicherheitsniveau verbessern, abgeleitet. Segnet die Leitungsebene die Handlungsempfehlungen ab, plant die IT Security diese ein und es startet die Phase Plan.

Um IT Security zu konzipieren, muss zunächst der Gegenstand festgestellt werden. Der Gegenstand können u. a. die Geschäftsprozesse, IT-Systeme und Netze sein. Damit wird der Scope oder der IT-Verbund festgelegt. Um die Sicherheit zu verbessern, werden nach und nach die Bereiche bearbeitet; begonnen mit dem relevantesten Bereich sowie sukzessivem Hinzufügen der weiteren Bereiche des Unternehmens. Desweiteren sollten auch Schulungen und Trainings durchgeführt werden, um die Sensibilisierung im Unternehmen zu erhöhen, die in Bezug auf IT Security sehr wichtig ist.

Sensibilisierung wird auch häufig Awareness genannt und meint die Aufmerksamkeit für wichtige Themen oder Probleme, hier im Kontext von IT Security. Bei einer Schulung werden dabei mögliche Lösungen für ein Problem übermittelt. Im Training werden dann diese Lösungen in der Alltagspraxis geübt. Awareness ist auf allen Ebenen eines Unternehmens herzustellen. Das heißt sowohl auf Leitungsebene als auch bei allen Mitarbeitenden im Unternehmen, wodurch das Verständnis für die Wichtigkeit des Themas geschaffen wird. Es ist essenziell, in den Schulungen die Ziele und Maßnahmen von IT Security des eigenen Unternehmens zu vermitteln. Dabei müssen entsprechende Nachweise geführt werden, da diese von bestimmten Interessensgruppen eingefordert werden könnten wie externen Auditoren.

Schreitet der Sicherheitsprozess voran, entstehen diverse Dokumente, wie die Sicherheitsleitlinie, Verfahrensbeschreibungen, Sicherheitskonzept sowie Sicherheitsrichtlinien. Damit kein Durcheinander in den Dokumenten entsteht, kann eine sogenannte hierarchische Dokumentenpyramide aufgebaut werden.

Die Inhalte des Dokuments sind aktuell, vollständig und genau zu halten. Es ist weiterhin ein klarer Freigabeprozess einzuhalten. Das Dokument muss für die Berechtigten verfügbar sein und falls erforderlich geheim gehalten werden. Jedes Dokument ist zu klassifizieren. Es gibt dabei die Klassen Vertraulich, Intern und Öffentlich, das jedem Dokument als Attribut hinzugefügt wird. So ist immer ersichtlich, welcher Adressatenkreis die Berechtigung zur Einsicht für das Dokument hat. Zur Vereinfachung bei Erstellung der Dokumente können Dokumentenvorlagen angeboten werden, die Angaben wie Adressatenkreis, Version, Datum und Freigabevermerk beinhalten.

Um die Einhaltung der Maßnahmen, die in den Dokumenten getroffen wurden, zu prüfen, sind interne Audits oder andere Tests zu planen und regelmäßig durchzuführen.

Zertifizierung/Audits

Es ist ratsam regelmäßig interne Audits durchzuführen, um den aktuellen Stand des Sicherheitsniveaus im Unternehmen festzustellen. Vor allem, wenn Unternehmen nach dem Standard ISO/IEC 27001 zertifiziert sind, ist die regelmäßige Durchführung von internen Audits unumgänglich.

Wie im Sicherheitsprozess, wird auch ein internes Audit vorab geplant. Die Auditplanung sollte dabei für eine längere Frist aufgestellt werden, da die Vorbereitung, Durchführung und die Auswertung Zeit benötigen. Der interne Auditor sollte jemand sein, der nicht operativ im Unternehmen tätig ist, damit dieser sich nicht selbst prüfen muss, wodurch ein Interessenskonflikt entstehen könnte. Eine mögliche Rolle, die unabhängig ist, wäre bspw. der IT-Sicherheitsbeauftragte. Aber auch eine Person aus der Revisionsabteilung käme in Frage. Ergebnis eines durchgeführten Audits ist der Auditbericht. In diesem sind alle Feststellungen verschriftlicht und bzgl. ihres Schweregrades bewertet. Aus den Feststellungen können Aktionen abgeleitet werden, die in einer vorgegebenen oder vereinbarten Zeit, z. B. 1 Monat, 1 Quartal oder 1 Jahr behoben werden müssen. Auch diese Umsetzung muss überwacht werden. Dieser Auditbericht fließt wiederum in die Bewertung der Sicherheit des gesamten Unternehmens ein.

Will sich ein Unternehmen zertifizieren lassen, bspw. nach ISO/IEC 27001, gehört ein regelmäßiges Audit durch einen externen Auditor dazu. Auch dieser plant das Audit, führt es durch und verfasst einen Bericht mit den bewerteten Feststellungen. Geschieht dies im Rahmen einer Zertifizierung, werden auch hier Zeiträume festgelegt, innerhalb derer die Feststellungen behoben werden müssen. Die Umsetzung wird wiederum vom externen Auditor überprüft. Eine mögliche Zertifizierungsstelle, die die Auditierung durchführt, ist bspw. der TÜV SÜD.

Wie die aktuelle Lage zeigt, gibt es zu keinem Zeitpunkt eine 100%ige Sicherheit, die über einen längeren Zeitraum anhält. Vor allem die aktuelle Corona-Krise führt uns vor Augen, dass sich die Sicherheitslage täglich verändern kann. Es finden immer mehr Angriffe auf technischer und sozialer Ebene statt.

Wichtig für Unternehmen und insbesondere für die Leistungsebene ist es, zunächst zu akzeptieren, dass die eigene IT Security nicht zu 100 % sicher ist. Es gilt, Sensibilisierung auf allen Ebenen des Unternehmens für das Thema zu schaffen, zu informieren und allen Mitarbeitenden die Unterstützung anzubieten, die sie benötigen, um ihre Aufgaben weitestgehend sicher umzusetzen. Die Leitungsebene muss ihre Risiken managen sowie abwägen, welche Maßnahmen umgesetzt werden müssen. Unterstützend tritt hier der IT‑Sicherheitsbeauftragte in Kraft, der der Leitungsebene dabei hilft, die Mitarbeitenden für IT Security im Unternehmen zu sensibilisieren und weitere Aufgaben durchzuführen, die dafür notwendig sind. Letztlich kann ein Unternehmen sich nach anerkannten Standards zertifizieren lassen, um dem Markt die eigene Sicherheit zu signalisieren und wettbewerbsfähig zu bleiben.

RISIKO ASSESSMENT
Jetzt kostenfreies Risiko Assessment durchführen