Informationssicherheit

IT-Sicherheit nicht nur punktuell erledigen

11.01.2016 von Sven Malte Sopha und Jan Graßhoff
IT-Sicherheit ist schon lange kein Randthema mehr, auch geht es um mehr als die "bloße" Abwehr von Wirtschaftskriminalität. Die Angriffsszenarien werden komplexer. Eine Einordnung.
Welchen Grad an Informationssicherheit eine Organisation erreicht, ist letztlich eine Frage ihrer Kultur und aller Beschäftigten: Sicherheit muss (vor-)gelebt werden.
Foto: Pepsco Studio - shutterstock.com

Nicht nur Großkonzerne wie Sony und TV5Monde, sondern auch staatliche Institutionen wie der Bundestag stehen im Visier der Angreifer. Nur die wenigsten Angriffe werden öffentlich bekannt. Wie wichtig dieses Thema für uns persönlich ist, wird uns jedoch erst bewusst, wenn wir direkt betroffen sind und beispielsweise die Kreditkartendaten gestohlen wurden oder die Beantragung des Personalausweises nicht mehr geht.

Die Digitalisierung hat inzwischen in nahezu alle Lebensbereiche Einzug gehalten - mit allen Vorteilen, aber auch Gefahren. Unternehmen sowie Politik und öffentliche Verwaltung haben die sich ändernde Bedrohungslage erkannt. Neben gesetzlichen Regelungen existieren teilweise auch branchenspezifische Regelungen, um das Thema Sicherheit strukturiert anzugehen und damit das Sicherheitsniveau weiter zu verbessern. Rein technische Mittel reichen zur Abwehr aber nicht mehr aus.

Compliance ist auch in Sachen Informationssicherheit eine wichtige Anforderung geworden. So kann von außen auf Organisationen eingewirkt werden, eigene Daten und die der Kunden besser zu schützen. Werden Vorschriften und Sicherheitsziele nicht eingehalten, können finanzielle Schäden ebenso die Folge sein wie eine Gefährdung der öffentlichen Sicherheit oder eine negative Außenwirkung mit möglicherweise existenzbedrohenden Konsequenzen.

So oder so: Für alle Organisationen ist es unerlässlich, nicht nur die Regularien und gesetzlichen Bestimmungen im Bereich Informationssicherheit formal einzuhalten, sondern Sicherheit und Prozesse auch wirklich operativ zu leben. Wenn die Erfahrung aus der Praxis allerdings eines lehrt, dann dies: Sicherheit kann nicht von einer einzelnen Abteilung nebenher bzw. punktuell erledigt werden - tatsächlich ist Informationssicherheit ein Thema für die gesamte Organisation, zu jeder Zeit. Diese Herausforderungen gelten gleichermaßen für Organisationen aller Branchen und aller Größen und umfassen private Unternehmen genauso wie die öffentliche Verwaltung.

IT-Sicherheit allein greift zu kurz

Die Erfahrung aus zahlreichen Projekten zeigt, dass in vielen Unternehmen und Behörden das Thema Sicherheit derzeit noch als bloße IT-Sicherheit verstanden wird. Entsprechend ist mit dem Thema oft nur ein CISO oder IT-Sicherheitsbeauftragter und gegebenenfalls die IT-Abteilung befasst. Sicherheit ist dann - der Rolle und Perspektive der technisch ausgerichteten Abteilung gemäß - auf ihre technische Dimension reduziert. Organisatorische Aspekte und Maßnahmen geraten selten in den Blick. Eine gesamtheitliche Betrachtung des Themas Sicherheit findet in der Regel nicht statt.

IT-Sicherheit in 6 Schritten
Cyber-Bedrohungen betreffen jedes Unternehmen
Noch vor einigen Jahren konnten Unternehmen tatsächlich davon ausgehen, dass es unwahrscheinlich ist, zum Ziel eines Cyberangriffs zu werden. Angesichts der aktuellen komplexen Bedrohungslandschaft wäre diese Annahme heute jedoch risikoreich und gefährlich. Bedrohungen können überall entstehen, auch intern im Unternehmen. Die Chance ist groß, dass viele Unternehmen in Deutschland schon angegriffen wurden und nichts davon wissen. Deshalb ist ein Umdenken so wichtig: Man sollte auch hierzulande davon ausgehen, dass man in jedem Fall angegriffen wird und die notwendigen Vorkehrungen treffen, um Bedrohungen so schnell wie möglich zu entdecken und beseitigen. Dass es zu Angriffen kommt, steht außer Frage, lediglich der Zeitpunkt ist ungewiss. Mit diesem Bewusstsein – das in anderen Industrienationen häufig schon besser ausgeprägt ist – kann die deutsche Industrie sicherstellen, dass sich der Schaden in Grenzen hält und die Angriffe schnell und mit großer Genauigkeit analysiert werden können.
Umfassendes Monitoring als Schlüssel für mehr Sicherheit
Der Schlüssel zu maximaler Datensicherheit ist eine 360-Grad-Sicht auf alle Netzwerkereignisse. Ohne einen detaillierten Einblick in die Netzwerkstruktur entstehen sogenannte „blinde Flecken“, die Hackern ideale Möglichkeiten bieten, in das Netzwerk einzudringen. Obwohl Perimeter-Lösungen lange Zeit ausreichend gewesen sein mögen, um ein Unternehmen zu schützen, bieten diese allein bei der heutigen Bedrohungslage nicht mehr genügend Schutz. Um einen tieferen Einblick in das Netzwerk zu erhalten, ist ein zentrales Monitoring-System erforderlich, das umfassenden Schutz bietet und die Daten aus verschiedensten Quellen im Netzwerk verarbeiten und auswerten kann. Dies umfasst sowohl Systemereignisse wie auch die Daten aus Anwendungen und Datenbanken.<br /><br /> Die gesammelten Daten müssen intelligent miteinander verknüpft und analysiert werden. Ein einzelnes Ereignis wie beispielsweise ein Anwender, der sich in Düsseldorf in einem Café einloggt, mag für sich allein stehend vollkommen harmlos wirken. Wenn sich dieser Anwender jedoch zehn Minuten zuvor im Münchner Büro ebenfalls im System angemeldet hat, sollten alle Alarmglocken läuten. Können Unternehmen alle verfügbaren Informationen in Bezug zueinander setzen und alle Ereignisse in einem Kontext analysieren, können sie auch Angriffe und Bedrohungen besser erkennen.
Atypische Netzwerkereignisse erkennen
Wie wollen Sie wissen, ob etwas Ungewöhnliches in Ihrem Netzwerk passiert, wenn Sie nicht wissen, was der Normalzustand ist? Wahrscheinlich finden zu jedem Zeitpunkt zahlreiche Netzwerkereignisse statt – seien es Anwender, die sich an ihren Desktops anmelden, oder Datenpakete, die an einen Cloud-Provider übermittelt werden. Ohne zu wissen, wie sich Anwender, Systeme und Anwendungen im Normalfall verhalten, ist es nahezu unmöglich festzustellen, wann Abweichungen auftreten. Unternehmen sollten deshalb eine Basis für die normalen Aktivitäten definieren und alles andere eingehend prüfen. Dabei muss sichergestellt sein, dass alle atypischen Ereignisse als solche gekennzeichnet sind.
Lassen Sie interne Bedrohungen nicht außer Acht
Wenn es um Datendiebstahl geht, sind die Mitarbeiter eines Unternehmens leider eine ebenso große Bedrohung wie Angreifer von außen. LogRhythm hat im Jahr 2013 in einer Marktuntersuchung herausgefunden, dass 23 Prozent der Angestellten auf vertrauliche Daten zugegriffen oder sich diese angeeignet haben. 94 Prozent dieser Datendiebe konnten nicht gefasst werden. Dieselbe Untersuchung hat auch ergeben, dass 75 Prozent der Unternehmen kein System im Einsatz haben, das den unbefugten Zugriff von Mitarbeitern auf sensible Geschäftsdaten verhindert. Deshalb sollten sich Unternehmen nicht ausschließlich auf die Überwachung und den Schutz vor unerlaubtem Zugriff von außerhalb konzentrieren, sondern auch ein Auge darauf haben, was innerhalb ihrer eigenen Wände passiert – ohne dabei die Privatsphäre ihrer Mitarbeiter einzuschränken. Es ist ein schmaler Grat zwischen Kontrolle und kompletter Überwachung und Unternehmen tun - insbesondere in Deutschland - gut daran, nicht auf der falschen Seite zu landen.
Betrachten Sie Fehler als Chance
Fehler sind dazu da, um aus ihnen zu lernen. Ist ein Unternehmen Opfer eines Angriffs geworden und konnte diesen entdecken und eingrenzen, sollten weitere Untersuchungen folgen. Einerseits um zu verstehen, wie das passieren konnte und andererseits, was getan werden muss, um ein derartiges Sicherheitsrisiko in Zukunft zu umgehen. Mit dem passenden Monitoring-Tool im Einsatz kann jede Aktivität und jedes Ereignis im Netzwerk erfasst, dokumentiert und als Basis für die Analyse genutzt werden. Wenn sich Unternehmen eingehend mit diesen Informationen befassen, können sie feststellen, warum sie diese Bedrohung nicht erkannt haben, welche Schwachstellen ihr Sicherheitssystem hat und möglicherweise auch, wer der Eindringling war.<br /><br /> Es ist von großer Bedeutung zu verstehen, ob eine Bedrohung lediglich eine interne Angelegenheit ist und die Daten nicht kompromittiert werden, oder ob ein sicherheitsrelevantes Ereignis auch Kunden oder andere Interessensgruppen betrifft und – vielleicht auch von Rechts wegen – die Benachrichtigung einer dritten Partei erfordert. Damit steht dann fest, wie dieses Ereignis einzustufen ist, welche Maßnahmen aufgesetzt und welche Schritte eingeleitet werden müssen.
Kommunizieren Sie auch Misserfolge
Zu verstehen, was passiert ist, ist das Eine. Es kann jedoch auch nützlich sein, diese Informationen mit anderen zu teilen. Das ist vor allem für Unternehmen mit einer großen Anzahl an Standorten wichtig, denn diese Standorte könnten demselben Sicherheitsrisiko ausgesetzt sein. Wenn Unternehmen die Information, welche Bedrohung aufgetreten ist und wie diese entdeckt und beseitigt wurde, weitergeben, kann dies den Unterschied machen zwischen einem weit verbreiteten und verheerendem Angriff oder einer bloßen Unannehmlichkeit. <br /><br /> Außerdem können dadurch Kunden und Partner gegebenenfalls bei sich selbst noch zusätzliche Sicherheitsmaßnahmen ergreifen, wie zum Beispiel die Änderung ihre Passwörter oder die Verfolgung verdächtiger Vorgänge auf ihrem Online-Banking-Account. <a href="http://www.johnsonking.com/library_de/LogRhythm_GER%20Q4%20survey.pdf" target="_blank">In einer weiteren Studie</a> stimmten sogar fast Zweidrittel der Befragten in Deutschland dafür, dass Unternehmen bedingungslos jeden Datenverlust sofort melden muss. Unternehmen müssen erkennen, dass sie sich dadurch weniger an den Pranger stellen – hauptsächlich hilft die Kommunikation von Datenlecks sich und anderen und schafft zusätzliches Vertrauen. Denn dass jedes Unternehmen heute – häufig auch erfolgreich – angegriffen wird, ist Fakt; ein Unternehmen, das die Betroffenen auch sofort darüber in Kenntnis setzt ist hingegen schon eine Besonderheit.<br /><br /><br /><em>(zusammengestellt von Roland Messmer, Director für Zentral- und Osteuropa bei LogRhythm)</em>

Ebenfalls ist beobachtbar, dass Beschäftigte oft engagiert an der Steigerung des Sicherheitsniveaus mitwirken. Um dieses Potenzial jedoch vollständig zu nutzen, bedarf es deutlicher Unterstützung aus der Führungsebene, beispielsweise bei der Ressourcenbereitstellung. Nur so werden die Fachbereiche in die Lage versetzt, ihre Sicherheitsaufgaben erfüllen zu können.

Informationssicherheit für die gesamte Organisation

Die steigende Komplexität von Sicherheitsvorfällen zeigt, dass sich durch rein technische Maßnahmen kein geeignetes Sicherheitsniveau erreichen lässt. Echte Sicherheit von Informationen entsteht ausschließlich im Zusammenspiel von Menschen, Prozessen und Technologien. Eine übergreifende Informationssicherheit beschäftigt sich nicht ausschließlich mit der Technik.

Aus diesem Grund ist Informationssicherheit nicht allein Sache der IT-Abteilung, sondern eine Aufgabe für die gesamte Organisation, auch aller Fachabteilungen und Beschäftigten. Um die drei Grundwerte der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - sicherzustellen, bedarf es darum neben technischer Maßnahmen immer auch organisatorischer Rahmenbedingungen.

Sicherheit ist ein Führungsthema

Die Notwendigkeit, festgelegte Sicherheitsniveaus von Daten und Informationen einzuhalten, erzeugt Handlungsdruck auf die Führungsebene. Bekanntwerdende Sicherheitsvorfälle führen direkt zu Reputationsschäden und finanziellen Verlusten. In ganz extremen Fällen kommen auch strafrechtliche Konsequenzen in Betracht. Die Führungsebene ist gefragt, entsprechend zu handeln - nicht reaktiv, sondern proaktiv.

Auch weil Sicherheit nicht nur eine technische, sondern auch eine organisatorische Dimension hat, ist es ein Thema, das nur auf der Ebene des Top-Managements strategisch verantwortet werden kann - Informationssicherheit verlangt Führung. Es ist die Aufgabe der Führungsebene, Sicherheitsbewusstsein vorzuleben, für den notwendigen Rahmen zu sorgen, die entsprechenden Organisationsstrukturen zu schaffen und das Thema Sicherheit in der Organisation zu verankern. Effektive Informationssicherheit entsteht nur, wenn sie die Kultur der Organisation durchdringt, wenn sie gelebt wird - von allen Beschäftigten und allen Fachabteilungen.

IT-Sicherheit: Das hilft gegen Ransomware
Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können.
Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen.
Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist.
Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist.
Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind.
Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat?
Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen.
Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken.
Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.

Bewusstsein schafft Sicherheit

Transparenz und Motivation sind unerlässlich, damit Informationssicherheit Bestandteil der Kultur einer Organisation wird. Für das Top-Management kommt es darauf an, in der Organisation eine offene Kultur des Austauschs über Sicherheitsfragen zu schaffen und für ein Umfeld zu sorgen, dass die Beschäftigten über alle Abteilungen hinweg motiviert, sich selbst für Sicherheit einzusetzen.

Um die Beschäftigten dauerhaft zu sensibilisieren und aktiv einzubinden, können pragmatische Ansätze dienen, wie z.B. der regelmäßige Austausch mit den Fachbereichen (um zu wissen, wo der Schuh drückt) und die Stärkung der Mitarbeiter durch Änderung von Prozessen. Der Sicherheitsbeauftragte kann als Brückenbauer zwischen den unterschiedlichen Interessensgruppen moderieren.

Der Effekt: Informationssicherheit wird ein gemeinsames Ziel und integraler Bestandteil des Handelns. Beschäftigte auf allen Hierarchiestufen werden ganz natürlich den Einfluss ihrer Projekte und Prozesse auf die Informationssicherheit überprüfen, aus eigenem Antrieb Missstände identifizieren und auf deren Behebung drängen. Diese intrinsische Motivation der Beschäftigten adressiert auch noch eine andere Herausforderung: Die fortschreitende Vernetzung und steigende Komplexität machen es für eine Organisation zunehmend schwieriger, das erforderliche Sicherheitsniveau mit einem zentralisierten Ansatz zu erreichen.

Allein durch Vorgaben der Führungsebene, die in den Fachabteilungen unreflektiert umgesetzt werden sollen, ist Informationssicherheit kaum noch zu erzielen. Vielmehr hängt sie immer auch davon ab, wie das Tagesgeschäft organisiert ist. Dabei muss das Subsidiaritätsprinzip gelten: Letztlich haben alle, vom Top-Manager über den Administrator bis zum Pförtner, die Aufgabe, Sicherheit in ihren Bereichen sicherzustellen - Informationssicherheit braucht die Mitwirkung der gesamten Organisation.

Darum hat es sich unter anderem bewährt, einen interdisziplinär besetzten Steuerkreis für Informationssicherheit einzurichten. Diesem Steuerkreis kommt eine wichtige Mittlerrolle zu: Das Gremium, dem Vertreter aller Organisationseinheiten bzw. Themenbereiche angehören sollten, kann die unterschiedlichen Bedürfnisse und Interessen aller Abteilungen berücksichtigen.

Die 10 Risiken der IT-Sicherheit
Zutritt und Zugriff für Unberechtigte
Verlust tragbarer Speichermedien
Aufbewahrung von Logins und Passwörtern
Ungesperrte Arbeitsplätze
Private Nutzung geschäftlicher Kommunikationsmittel
Weitergabe firmeneigener IT
Preisgabe vertraulicher Firmeninformationen
Unerlaubter Zugriff auf Teile des Netzes
Installation nicht freigegebener Software
Änderungen an den Sicherheitseinstellungen des Clients durch den Mitarbeiter

Management-Systeme als methodischer Rahmen

Organisationen werden es in Zukunft mit immer komplexeren Angriffen auf IT-Systeme zu tun haben. Alle Szenarien im Vorfeld zu durchdenken ist unmöglich. Ein effektiver Ansatz ist, die Organisation so aufzustellen, dass Regelungen zur Unterstützung von strategischen Zielen definiert, Sicherheitsprozesse und Zuständigkeiten etabliert werden. Im Ernstfall steht dann ausschließlich die inhaltliche Arbeit im Fokus, nicht erst die Klärung von Zuständigkeiten.

Es ist Aufgabe der Führungsebene ein effizientes Steuerungssystem aufzubauen. Werden klare Verantwortlichkeiten benannt, ist auch eine zielgerichtete Ressourcensteuerung möglich. Dies adressiert neben den strategischen auch taktische Aspekte, etwa weil die Führung so die Steuerung konkreter Sicherheitsvorfälle gewährleisten kann. Sogenannte Management-Systeme können den notwendigen Rahmen bilden, um Informationssicherheit in der Organisation zu verankern.

Standards und Tools reduzieren die Komplexität

Ein international anerkanntes Management-System ist der Standard ISO 27001. Dieser definiert, wie ein Information Security Management System (ISMS) aussehen sollte. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) knüpft mit seinem Konzept für den "IT-Grundschutz" an die internationale ISO 27001 an. Das BSI hat mit dem IT-Grundschutz den Standard für Informationssicherheit geschaffen, dessen Einhaltung für Bundes- und die meisten Landesbehörden eine Compliance-Aufgabe und damit verbindlich ist.

Es hat sich bewährt, bei der Steuerung und Umsetzung von Maßnahmen Tools zur Unterstützung zu nutzen. Dabei sollte auf Bewährtes zurückgegriffen werden. Am Markt vorhandene Tools lassen sich an die eigenen Bedürfnisse anpassen und so auch in komplexeren Umgebungen einsetzen. ISMS-Tools dienen beispielsweise dazu, die Vorgaben des gewählten Standards darzustellen, die Zusammenhänge und Abhängigkeiten zwischen Komponenten zu dokumentieren und für eine übersichtliche Darstellung der Konformität zu sorgen. Eine toolgestützte Umsetzung erleichtert auch die Steuerung des ISMS deutlich, die übergreifende Zusammenarbeit in Organisationen wird ebenfalls vereinfacht.

Informationssicherheit geht alle an

Für alle Organisationen ist es an der Zeit, das Thema Informationssicherheit aus dem technischen Ghetto der IT-Abteilung zu befreien. Informationssicherheit ist ein strategisches Thema für die Führungsebene - und ein Alltagsthema für die gesamte Organisation. Wer die Regularien und Gesetze im Bereich Informationssicherheit einhalten will, braucht dazu das Engagement und die Akzeptanz aller Beschäftigten. Es braucht das Bewusstsein, dass Informationssicherheit eine zentrale Säule der Organisation ist - ein Fundament, das von Führungskräften und Beschäftigten kontinuierlich gestärkt werden muss. Welchen Grad an Informationssicherheit eine Organisation erreicht, ist letztlich eine Frage ihrer Kultur und aller Beschäftigten: Sicherheit muss (vor-)gelebt werden.

6 Botschaften zur IT-Sicherheit
6 Befunde zur IT-Sicherheit
Die IT-Security-Studie von PwC in Zusammenarbeit mit CIO und CSO wartet mit einer Reihe von Befunden auf. Unsere Bildergalerie pickt sechs zentrale Botschaften heraus.
Gefährliche Insider
Die Mehrzahl der Security-Vorfälle wird von eigenen Mitarbeitern oder Ehemaligen verursacht. Der Anteil externer Angreifer ist deutlich geringer.
Wettbewerber gefährlicher als Staat
PRSIM zum Trotz: Staaten sind laut Studie nur für 4 Prozent der Vorfälle verantwortlich. Die größte Gefahr geht immer noch von klassischen Hackern aus, gefolgt von lästigen Konkurrenten.
Risikoherd Mobilität
Wenngleich nicht unbedingt schnell, so bauen die Firmen doch den Schutz ihrer mobilen Flanke aus. Am meisten zugelegt hat in den letzten Monaten die besonders wirksame Authentifizierung auf mobilen Endgeräten.
Angst vor der Konkurrenz
PwC geht davon aus, dass eine Zusammenarbeit auch mit anderen Firmen die Sicherheitslage verbessern könnte. Die Grafik zeigt, woran das in der Praxis scheitert. Es fehlt an Vertrauen gegenüber anderen Firmen - vor allem, wenn sie finanzstärker sind. Außerdem will man Security-Probleme weithin am liebsten totschweigen.
Bessermacher und Durchschnitt
PwC identifiziert in der Studie eine Führungsgruppe, die IT-Sicherheit besser im Griff hat als der Rest. Diese Grafik zeigt, woran sich das konkret festmachen lässt. Alignment, übergreifende Zusammenarbeit und Unterstützung auf Vorstandsebene sind bei den Leader-Firmen überdurchschnittlich ausgeprägt.
10 Tipps von PwC
PwC macht zehn Stellschrauben aus, über die sich zeitgemäß an der Security drehen lässt. Tools zur Verschlüsselung und Entdeckung von Gefahren zählen ebenso dazu wie Mitarbeiterschulung und schriftlich fixierte Richtlinien.

5 Schlussfolgerungen zum Thema Informationssicherheit

1. Informationssicherheit ist eine Aufgabe der gesamten Organisation

Betrachten Sie es als strategische Aufgabe der Führungsebene, Engagement in Sachen Sicherheit vorzuleben und die Rahmenbedingungen dafür zu schaffen, dass Informationssicherheit als Thema für die ganze Organisation akzeptiert wird. Ohne eine entsprechende Kultur in Ihrer Organisation gibt es keine Sicherheit. Eine geeignete Organisationssteuerung schafft die Voraussetzungen dafür.

2. Transparente Strukturen fördern das Bewusstsein der Beschäftigten

Die Führungsebene sollte die Rahmenbedingungen für eine offene Austauschkultur schaffen, in der die Beiträge aller Fachbereiche und Beschäftigten gewürdigt werden können. Ein gemeinsames Arbeitsumfeld trägt dazu bei, das Sicherheitsbewusstsein aller Beteiligten zu fördern und zu schärfen.

3. Managementsysteme erleichtern die Steuerung

Die Führungsebene muss für geeignete Prozesse sorgen, Ressourcen und Verantwortlichkeiten zuweisen und Vorgaben etablieren, um ein sinnvolles Managementsystem aufzubauen. Setzen Sie auf einen etablierten Managementstandard - etwa Best-Practice-Ansätze wie den internationalen ISO 27001 Standard oder den IT-Grundschutz des BSI - und adaptieren Sie ihn für Ihre Organisation.

4. Tools reduzieren den Aufwand

Nutzen Sie für die Umsetzung ein bewährtes ISMS-Tool, um Sicherheit übergreifend bearbeiten zu können und Maßnahmen zu priorisieren. Auch Zertifizierungen lassen sich durch ein ISMS-Tool gut vorbereiten. Der Reifegrad Ihres ISMS ist jederzeit transparent.

5. IT-Sicherheit ist nur ein Aspekt der Informationssicherheit

Betrachten Sie die technischen Aspekte von Sicherheit - die IT-Sicherheit - immer als ein Bestandteil der Informationssicherheit. Organisatorische Aspekte sind ebenso wichtig. Nur in einer entsprechenden Kultur können gesteckte Sicherheitsziele in Ihrer Organisation erreicht und gehalten werden.