Wesentliche organisatorische Maßnahmen und die Rolle eines ISMS

Unsere heutige Welt ist immer stärker vernetzt und abhängig von Technologie, wodurch die Cybersicherheit für Unternehmen jeder Größe zu einem wichtigen Thema geworden ist. Cyber-Bedrohungen gibt es in vielen Formen, von Phishing-Mails und Malware bis hin zu Datenschutzverletzungen und Ransomware-Angriffen. Alle können schwerwiegende Folgen für Unternehmen haben, darunter finanzielle Verluste, Rufschädigung und rechtliche Verpflichtungen. Laut einer BITKOM-Studie  verursachte Cyberkriminalität im Jahr 2022 allein für deutsche Unternehmen jährliche Verluste in Höhe von 223 Milliarden Euro. Besorgniserregend ist dabei, dass sich die Schäden seit 2018-2019 verdoppelt haben und die entsprechenden Zahlen wahrscheinlich zu geringgeschätzt werden, da viele Unternehmen gar nicht wissen, dass sie Opfer eines Angriffs geworden sind oder aus Sorge vor negativer Berichterstattung bewusst versuchen, Angriffe vor der Öffentlichkeit zu verbergen.

Für Unternehmen sollte der wichtigste Ausgangspunkt zum Schutz vor diesen Bedrohungen eine umfassende Cybersicherheitsstrategie sein. Dabei handelt es sich um einen Plan, der darlegt, wie sich eine Organisation vor Cyber-Bedrohungen schützen und auf Cyber-Vorfälle reagieren wird. Eine Cybersicherheitsstrategie umfasst sowohl technische als auch nicht-technische Maßnahmen zur Vorbeugung, Erkennung und Reaktion auf Cyberangriffe, wie z. B. technische Systeme (z. B. Firewalls, Endpunktschutz), Programme zur Schulung und Sensibilisierung der Mitarbeiter sowie Pläne zur Reaktion auf Vorfälle.

Ein zentraler Pfeiler einer Cybersicherheitsstrategie ist ein Informationssicherheitsmanagementsystem (kurz ISMS). Dabei handelt es sich um ein Rahmenwerk aus Richtlinien, Prozessen und Verfahren, das eine Organisation zur Verwaltung und zum Schutz ihrer sensiblen Datenbestände einrichtet. Das Ziel eines ISMS ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen einer Organisation zu gewährleisten.

Die Einführung eines ISMS kann eine Organisation in Folgendem unterstützen:

  • Definition und Verwaltung von Kontrollen zum Schutz vor Cyber-Bedrohungen und Datenschutzverletzungen
  • Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationsbestände durch standardisierte Sicherheitsprozesse
  • Einhaltung von Vorschriften und Compliance-Anforderungen
  • seine Risikomanagementprozesse zu verbessern
  • den Grundstein für Zertifizierungen zu legen und damit seinen Ruf und das Vertrauen seiner Kunden zu stärken
  • die Kosten für die Cybersicherheit zu senken, indem sie eine Reihe standardisierter Verfahren und Kontrollen einführt und so doppelte Anstrengungen und verschwendete Ressourcen vermeidet

Zu diesem Zweck umfasst ein ISMS in der Regel die folgenden Elemente:

  • Richtlinien: Dies sind übergeordnete Aussagen zu den Zielen der Organisation in Bezug auf die Informationssicherheit.
  • Prozesse: Dies sind die spezifischen Schritte, die die Organisation unternimmt, um ihre Informationssicherheitspolitik umzusetzen. Dazu können Verfahren für den Umgang mit sensiblen Informationen, Zugangskontrollen, die Reaktion auf Zwischenfälle und mehr gehören.
  • Prozeduren: Dies sind die detaillierten Anweisungen für die Durchführung bestimmter Aufgaben im Zusammenhang mit den Informationssicherheitsprozessen der Organisation.

Ein ISMS basiert in der Regel auf einer Norm oder einem Rahmenwerk, wie z. B. der ISO 27001. Diese Norm enthält eine Reihe von Best Practices und Richtlinien für die Implementierung und Pflege eines ISMS.

Ein Informationssicherheitsmanagementsystem (ISMS) kann für Organisationen jeder Größe von Vorteil sein. Die spezifischen Elemente des ISMS können jedoch je nach Größe und Komplexität der Organisation variieren. Für ein kleines Unternehmen kann zum Beispiel ein relativ einfaches ISMS mit nur wenigen Richtlinien und Verfahren sinnvoll sein, während ein großes Unternehmen ein umfangreicheres ISMS mit vielen detaillierten Prozessen und Verfahren benötigt, welches z. B. auch in der Lage ist, komplexe Organisationsformen entsprechend abzubilden und so ein Maßnahmenmanagement auf allen Ebenen zulässt.

Ganz konkret sind zwei organisatorische Maßnahmen, die jedem Unternehmen zu empfehlen sind, eine Sensibilisierung der Mitarbeiter und ein Krisenplan:

Aus organisatorischer Sicht ist eine der wichtigsten Maßnahmen die Schulung und Sensibilisierung der Mitarbeiter. Die meisten Cyberangriffe beruhen darauf, Menschen zu Handlungen zu verleiten, die das Unternehmen einem Risiko aussetzen, z. B. das Klicken auf einen bösartigen Link in einer Phishing-Mail oder die Weitergabe vertraulicher Informationen. Indem sie ihre Mitarbeiter über die Arten von Bedrohungen aufklären, denen sie begegnen können, und darüber, wie sie diese erkennen und vermeiden können, können Unternehmen ihr Risiko, Opfer eines Cyberangriffs zu werden, erheblich verringern. Für den Aufbau einer Organisation mit hohem Sicherheitsbewusstsein ist die Sensibilisierung der Mitarbeiter unabdingbar, da allein 15 % aller sicherheitsrelevanten Vorfälle auf Phishing-E-Mails zurückgeführt werden können (Verizon 2020 Data Breach Investigations Report). Diese Sensibilisierung geschieht in der Regel durch Awareness-Trainings und Simulationen von Phishing-Mails zur Erfolgskontrolle der Maßnahme (siehe auch CyberCompare Artikel zu „Wie Security Awareness Ihr Unternehmen schützt“).

Unternehmen sollten über aktuelle und individuelle Pläne zur Bewältigung relevanter Krisen- und Notfallszenarien verfügen. Im Kontext der Cybersecurity ist die Erstellung eines CIRP – CyberIncidentResponsePlan, das geeignete Mittel. Dieser kann zum einen Verfahren zur Identifizierung des Angriffs, zur Schadensbegrenzung und zur Wiederherstellung der betroffenen Systeme und Daten enthalten. Andererseits werden darin alle notwendigen Schritte beschrieben, die im Rahmen Öffentlichkeitsarbeit anfallen, wie z. B. die Information von Kunden und Lieferanten oder der Umgang mit der Presse. Am besten ist es, wenn der Plan allen relevanten Stakeholdern bekannt ist, sicher aufbewahrt und regelmäßig verprobt wird.

Aus technischer Sicht ist der Einsatz von robusten und modernen Sicherheitstechnologien unabdingbar. Wie beim ISMS gibt es auch hier kein Patentrezept für eine Standardlösung, da die Kombination von Cybersicherheitstechnologien von den spezifischen Bedürfnissen und Risiken der jeweiligen Organisation abhängt.

Dennoch gibt es einige allgemeine Grundsätze, die Organisationen dabei helfen können, die richtigen Technologien für ihre Bedürfnisse auszuwählen:

  • Berücksichtigen Sie die Arten von Bedrohungen, mit denen das Unternehmen am ehesten konfrontiert wird: Verschiedene Technologien sind für den Schutz vor unterschiedlichen Arten von Bedrohungen konzipiert. Ein EDR-System (Endpoint Detection & Response) schützt beispielsweise Endgeräte wie Notebooks, Server und Smartphones, wohingegen sich eine Firewall auf die Identifizierung und Verhinderung unbefugter Netzwerkzugriffe konzentriert.
  • Der Aufwand für das Technologiemanagement sollte zu Ihrem Unternehmen passen: Cybersecurity-Technologien, die schwierig zu bedienen sind oder einen hohen Wartungsaufwand erfordern, können eine Belastung für das Unternehmen darstellen und werden möglicherweise nicht effektiv genutzt. Daher ist es wichtig wichtig, Technologien auszuwählen, die zum Betriebsmodell Ihres Unternehmens passen oder diese gemeinsam mit einem Partner zu betreiben.
  • Berücksichtigen Sie das Budget der Organisation: Ein Cybersecurity Technologie-Stack kann schnell teuer werden, daher ist es wichtig, bei der Auswahl der Technologien das Budget der Organisation zu berücksichtigen. Es kann notwendig sein, Kompromisse zwischen verschiedenen Technologien zu schließen, um das Budget nicht zu überreizen.
  • Verlassen Sie sich nicht auf eine einzige Technologie: Keine einzelne Technologie kann einen vollständigen Schutz gegen alle Cyber-Bedrohungen bieten. Es ist wichtig, eine Kombination von Technologien zu verwenden, um den bestmöglichen Schutz zu gewährleisten.
  • Überprüfen und aktualisieren Sie regelmäßig den Technologie-Stack Ihres Unternehmens: Cyber-Bedrohungen entwickeln sich ständig weiter. Daher ist es wichtig, den Technologie-Stack des Unternehmens regelmäßig zu überprüfen und zu aktualisieren, um sicherzustellen, dass er immer noch einen wirksamen Schutz vor aktuellen Bedrohungen bietet.

Zusammenfassend lässt sich sagen, dass eine gute Kombination von Cybersicherheitstechnologien auf die spezifischen Bedürfnisse und Risiken des Unternehmens zugeschnitten ist, einfach zu verwenden und zu verwalten ist, in das Budget des Unternehmens passt und regelmäßig überprüft und aktualisiert wird, um mit den sich entwickelnden Bedrohungen Schritt zu halten.

Insgesamt ist der Aufbau bzw. die Aufrechterhaltung der Cybersicherheit ein fortlaufender Prozess, der eine kontinuierliche Überwachung und Aktualisierung erfordert, um mit den sich entwickelnden Bedrohungen Schritt zu halten. Durch einen proaktiven Ansatz und die Umsetzung einer Reihe von Maßnahmen können Unternehmen ihr Risiko, Opfer eines Cyberangriffs zu werden, erheblich verringern und sich vor den möglichen Folgen schützen. Genau dabei helfen wir als CyberCompare unseren Kunden. Als Trusted Advisor führen wir Cybersecurity-Diagnosen durch, um den Cybersecurity Reifegrad des Unternehmens zu ermitteln. Darüber hinaus unterstützen wir oder übernehmen sogar komplette Sourcing-Projekte zu Cybersecurity-Themen, um unseren Kunden beim Aufbau einer modernen und robusten Cybersecurity-Organisation bestmöglich zu helfen.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.

CyberCompare Logo

Protect, Detect, Respond

20. Juni 2024 | 09:00 - 11:15 Uhr

Erhalten Sie Einblicke von Security-Anbietern in Incident Response und forensische Analyse von Cyberangriffen.