Kapitel 1: Ein akutes Problem
Das Thema Informations- und Cybersicherheit ist seit einigen Jahren in den Schlagzeilen, wurde aber früher eher als ein Problem betrachtet, mit dem sich die IT-Abteilung zusammen mit den üblichen Softwarefehlern befassen musste. Mit der zunehmenden Zahl von öffentlichkeitswirksamen Angriffen und deren finanziellen und rufschädigenden Folgen hat das Thema eine neue Bedeutung erlangt.
Es gibt verschiedene Arten von Bedrohungen mit unterschiedlichen Motiven. Auf der untersten Ebene lässt sich ein Angriff am besten als digitaler Vandalismus beschreiben, der kein bösartigeres Motiv hat, als aus "Spaß" zu stören. Darüber hinaus kann es sich bei Angriffen aber auch um Versuche handeln, das Unternehmen direkt um Geld zu erpressen, Kundendaten zu stehlen - insbesondere Finanzdaten, die für kriminelle Zwecke verwendet werden können -, um Wirtschafts- oder Industriespionage, den Diebstahl von Patenten und sensiblen Informationen oder einfach nur um einen böswilligen Angriff eines Rivalen oder verärgerten Mitarbeiters, der darauf abzielt, maximale Störungen zu verursachen. In den schlimmsten Fällen, in denen die Organisation eine lebenswichtige Dienstleistung erbringt, wie z. B. Energieerzeugung und -verteilung, Gesundheits-, Finanz-, Logistik- oder Reisedienste, richtet sich die Bedrohung in der Regel weniger gegen die Organisation selbst als vielmehr gegen die Öffentlichkeit oder den Staat.
Zu verstehen, wie Bedrohungen entstehen, und Systeme zur Bewältigung des Problems zu entwickeln, ist eine wichtige Aufgabe für jede Organisation.
Kapitel 2: Die Bedrohung der Informationssicherheit
Ein Cyberangriff kommt selten - auch wenn es den Anschein hat - aus heiterem Himmel und Experten gehen davon aus, dass es sieben Stufen gibt, bevor das eigentliche Ziel des Angreifers erreicht wird. Zunächst wird das Unternehmen ausgekundschaftet, was bedeuten kann, dass eine Person mit so genannten Phishing-E-Mails ins Visier genommen wird. Je mehr Zeit die Hacker damit verbringen, Informationen über die Menschen und Systeme im Unternehmen zu sammeln, desto erfolgreicher wird der Hacking-Versuch sein.
Danach versuchen die Hacker, das Netzwerk des Zielunternehmens mit verschiedenen Mitteln zu infiltrieren. In der Exploitation-Phase beginnen die Hacker, die Früchte der Vorbereitung und Durchführung des Angriffs zu ernten. Zu diesem Zweck stellen die Angreifer sicher, dass sie so lange Zugang zum Netzwerk haben, wie es zum Erreichen ihrer Ziele erforderlich ist.
Sobald sie ungehinderten Zugang zum gesamten Netzwerk und zu den Administratorenkonten haben, sind alle erforderlichen Tools für die Kommando- und Kontrollphase vorhanden. In dieser Phase können die Hacker die IT-Anwender eines Unternehmens vom gesamten Netzwerk ausschließen, wenn sie dies wünschen, und möglicherweise ein Lösegeld für die Wiederherstellung des Zugangs fordern. Die abschließende Aktions- oder Zielphase führt dazu, dass die Hacker ihr Ziel erreichen.
Kapitel 3: Wo stehen die Unternehmen heute?
Im Jahr 2021 führte DNV eine Umfrage durch, um herauszufinden, wo sich die Unternehmen auf dem Weg zu einem sicheren Informationssicherheitsmanagement sehen. Eine ähnliche Umfrage wurde 2015 durchgeführt, und der Unterschied bei den Antworten ist verblüffend.
In der Zwischenzeit hat die Informationssicherheit an Bedeutung gewonnen, und es ist viel mehr Wissen in die Vorstandsetagen der Unternehmen gelangt. Die Zahl der Unternehmen, die ihr System als reif oder führend einschätzen, ist jedoch nur um etwa 4 Prozentpunkte gestiegen. Mehr als die Hälfte (55 %) sieht sich noch in einem frühen Stadium der Systemreife.
Zwei von drei Unternehmen sehen es als den wichtigsten Faktor an, über geeignetes Personal für das Management von Informationssicherheit zu verfügen. Die Investitionen verlagern sich von der Technik zum Personal. Die Schulung der Mitarbeiter im Bereich der Informationssicherheit wird von den Unternehmen im Jahr 2021 höher bewertet. Zwei von drei Unternehmen geben an, dass die Investitionen in die Informationssicherheit in den nächsten drei Jahren gleich hoch oder höher sein werden als heute.
Unternehmen mit einem zertifizierten Informationssicherheitsmanagementsystem (ISMS) sind sensibler und reagieren schneller auf Veränderungen. Fast 80 % geben an, dass sie den Anpassungsprozess an die neue digitale Umgebung entweder vollständig oder teilweise abgeschlossen haben. Diese Unternehmen scheinen auch eher bereit zu sein, das "Zero-Trust"-Modell zu übernehmen, was bedeutet, dass sie niemandem vertrauen und jeder überprüft werden muss.
Es überrascht nicht, dass viele der befragten Unternehmen der Meinung sind, dass mobile Geräte und innovative Technologien einen großen Einfluss auf die Cybersicherheit haben.
Kapitel 4: Zertifizierung für mehr Kontrolle
Unternehmen, die einen strukturierten Ansatz für das Informationssicherheitsmanagement anwenden, sind höchstwahrscheinlich bereits nach einem anerkannten internationalen Standard zertifiziert oder auf dem besten Weg dazu.
Die Zertifizierung zeigt, dass man sich verpflichtet hat, Informationswerte proaktiv zu steuern und zu schützen und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. ISO/IEC 27001 ist die anerkannteste internationale Norm für Informationssicherheitsmanagementsysteme und wurde so konzipiert, dass sie mit anderen ISO-Managementsystemnormen kompatibel und harmonisiert ist.
So wie sich die Cyber-Bedrohungen weiterentwickeln, so entwickelt sich auch die ISO-Norm weiter. Eine überarbeitete Version der Norm (ISO/IEC 27001:2022) wurde am 25. Oktober 2022 veröffentlicht. Die wichtigste Änderung betrifft die Sicherheitsmaßnahmen und Anleitungen, die Unternehmen dabei helfen sollen, Vertrauen in ihre Arbeit zum Schutz geschäftskritischer Güter aufzubauen.
Die Hauptvorteile der neuen Version für zertifizierte Unternehmen sind, dass sie:
- Neue Szenarien und Risiken berücksichtigt;
- Hilft, andere Sicherheitsperspektiven zu verstehen;
- Aspekte der Cybersicherheit und des Datenschutzes einbezieht;
- neue Maßnahmen enthält, um sicherzustellen, dass neue Szenarien und Risiken nicht übersehen werden.
Kapitel 5: Fortlaufende Verbesserung
Eines der wichtigsten Merkmale eines Informationssicherheitsmanagementsystems - unabhängig davon, ob es zertifiziert ist oder nicht - ist das Verständnis der häufigsten Risiken und der unterschiedlichen Fallstricke in den verschiedenen Branchen. Dies setzt voraus, dass die Unternehmen mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt halten und ihre Systeme anpassen und weiterentwickeln, um neue Herausforderungen zu meistern. In der Praxis werden Probleme durch regelmäßige interne und externe Audits aufgedeckt. Die Zertifizierung durch einen unabhängigen Dritten bietet jedoch eine unabhängige Bewertung der Leistung des Managementsystems und schafft intern und extern Vertrauen in die Fähigkeit des Unternehmens, kritische Informationswerte zu schützen.
Darüber hinaus ist die Aufrechterhaltung eines Managementsystems und seiner Zertifizierung ein fortlaufender Prozess. Über das obligatorische jährliche Zertifizierungsaudit hinaus erhalten DNV-Kunden Zugang zu digitalen Werkzeugen, die eine Selbsteinschätzung des individuellen Wissens und der Reife des Managementsystems, ein Benchmarking der Leistung und die Vorbereitung auf interne und externe Audits ermöglichen. Mit dem täglichen Zugang zu unterstützendem Wissen und Einblicken sind Unternehmen besser in der Lage, ihr Risikobild kontinuierlich anzupassen, das Managementsystem zu verbessern und die Leistung zu messen.
Kapitel 6: Zusammenfassung und wichtige Erkenntnisse
Im heutigen digitalen Geschäftsumfeld sind alle Unternehmen in zunehmendem Maße Risiken bezogen auf die Informationssicherheit ausgesetzt. Angesichts der Erkenntnis, dass Sicherheitsbedrohungen den Betrieb leicht zum Erliegen bringen können, ist es kein Wunder, dass Cybersicherheit heute auf der Tagesordnung jedes Unternehmens steht. Unternehmen müssen aktuelle Bedrohungen bewältigen und künftige Risiken verhindern, um das Vertrauen ihrer Stakeholder zu gewinnen und das Risiko von finanziellen Verlusten und Störungen zu minimieren.
Die Hintermänner von Cyberangriffen entwickeln ihre Methoden und Ziele ständig weiter. Unternehmen müssen daher erkennen, dass es sich um ein dynamisches Problem handelt, und die Informationssicherheitsmanagementsysteme müssen sich parallel dazu weiterentwickeln. Beim Informationssicherheitsmanagement geht es einerseits darum, kurzfristige Risiken zu mindern, andererseits ist es aber auch notwendig, um langfristige Widerstandsfähigkeit aufzubauen.
Die Einführung eines robusten, strukturierten Rahmens zur Identifizierung, Steuerung und Minderung von Risiken auf der Grundlage der ISO/IEC 27001 wird die fortlaufende Verbesserung fördern und die Geschäftskontinuität stärken. Um zertifiziert zu werden, muss das Managementsystem in Übereinstimmung mit den Anforderungen der Norm implementiert werden.
Als akkreditierte Zertifizierungsstelle kann DNV Ihr Partner auf diesem Weg sein. Unsere Fachleute unterstützen Sie während des gesamten Prozesses, von der Schulung zum Standard über die Selbstbewertung, das Benchmarking und die Vorbereitung auf das Audit bis hin zur Gap-Analyse und dem eigentlichen Zertifizierungsaudit.