Die Interkonnektivität - also die Verbindung größerer Netzwerke - hat exponentiell zugenommen. Es gibt nur wenige Unternehmen und Organisationen, die nicht auf Konnektivität und digitale Technologien angewiesen sind. Privatpersonen und Unternehmen tätigen Tag für Tag Transaktionen im Wert von Milliarden von Dollar und eine Online-Präsenz ist heutzutage unverzichtbar.
Und das macht jeden zu einem bevorzugten Ziel für kriminelle Aktivitäten von Opportunisten und organisierten Verbrechersyndikaten. In Datenbanken gespeicherte personenbezogene Daten ermöglichen den Zugriff auf Kreditkartendaten, finanzielle Vermögenswerte und geistiges Eigentum. Diese Daten können ohne physisches Risiko für den Kriminellen entwendet werden und Ransomware-Angriffe können hohe Summen von den Opfern einbringen, wenn diese verzweifelt versuchen, die Kontrolle über ihre Systeme zurückzuerlangen.
Außerdem werden Unternehmen und Organisationen nicht mehr nur nach der Qualität ihrer Produkte und Dienstleistungen beurteilt, wie es früher der Fall war. Sie werden danach bewertet, wie sie mit einer Vielzahl von Themen wie Sicherheit, Gleichberechtigung und Diversität, Umwelt und Nachhaltigkeit sowie Informationssicherheit umgehen. Börsennotierte Unternehmen werden einem ESG-Rating unterzogen, das alle oben genannten Bereiche und mehr umfasst.
Deshalb müssen Unternehmen sich zu all diesen Aspekten bekennen und diese berücksichtigen, wenn sie heutzutage attraktiv und erfolgreich sein wollen. Früher war Informationssicherheit lediglich ein Thema für Unternehmen der Informations- und Kommunikationstechnik (IKT). Angesichts der Tatsache, dass jeder einem Risiko ausgesetzt ist und zunehmend ein Nachweis guter Unternehmensführung verlangt wird, rückt dieses Thema verstärkt in den Fokus von Unternehmen und Vorständen.
Niemand ist vor Angriffen gefeit
Privatpersonen werden um ein paar Euro betrogen, wenn sie auf betrügerische Angebote in E-Mails und sozialen Medien eingehen. Regierungen, Bildungseinrichtungen, Gesundheitsbehörden und Stromnetzbetreiber werden erpresst, hohe Summen zu zahlen, um zu verhindern, dass wichtige Systeme ausfallen. Gewerbliche Organisationen werden um wertvolle Vermögenswerte gebracht, und IKT- und Kommunikationsdienstleister stehen ganz oben auf der Liste der Ziele, da über diese Anbieter der Zugang zu Organisationen möglich ist, die ihre Dienste nutzen.
Die Angriffsmethoden haben sich verändert: von einzelnen Hackern, die aus reinem Spaß an der Sache Netzwerke infiltrieren, über böswillige Störungen und kriminelle Aktivitäten, die große Geldsummen generieren, indem sie kleine Beträge von einer großen Zahl von Nutzern abzweigen, bis hin zur Erpressung einer großen Summe von einem einzelnen Unternehmen.
Weil so viel auf dem Spiel steht, sollten alle Unternehmen eine Risikobewertung vornehmen und prüfen, für welche Arten von Bedrohungen und Angriffen sie anfällig sind. Bei dieser Bewertung sollten die Unternehmen außerdem untersuchen, inwieweit sie Angriffen ausgesetzt sind, die über ihre Kunden oder Lieferanten erfolgen, und wie sich ein Angriff auf ihre eigenen Systeme auf ihre Wertschöpfungskette auswirken könnte.
Es gibt sie zwar immer noch, aber die Viren und Hacks von gestern sind heutzutage wohl am leichtesten zu handhaben. Unternehmen befinden sich derzeit in einem Wettlauf mit der Cyberkriminalität, liegen aber zwangsläufig immer einen Schritt zurück. Während sie sich mit der Abwehr der letzten Bedrohung beschäftigen, wird bereits die nächste Generation von Bedrohungen entwickelt.
Stärkung der Widerstandsfähigkeit des Unternehmens und des Vertrauens der Stakeholder
Aus jeder verhinderten Bedrohung können Erkenntnisse gewonnen werden, die zur Entwicklung und Vorausplanung von Abwehrmaßnahmen gegen Angriffe genutzt werden können. Informationssicherheitsmanagement umfasst jedoch mehr als nur die Minderung von kurzfristigen Risiken. Es geht auch darum, langfristige Widerstandsfähigkeit aufzubauen. Die Einführung eines robusten Rahmenwerks zur Identifizierung, zum Management und zur Minderung von Risiken fördert die fortlaufende Verbesserung, ermöglicht eine strukturierte Unternehmensführung und stärkt die Geschäftskontinuität.
Ein Informationssicherheitsmanagementsystem (ISMS), das internationalen Normen wie der ISO/IEC 27001 entspricht, hilft jedem Unternehmen, die tatsächlichen Risiken zu verstehen, Mittel zur Verhinderung von Sicherheitsverletzungen einzusetzen und Prozesse für den Umgang mit etwaigen Vorfällen zu entwickeln. Darüber hinaus bietet es ein strukturiertes Rahmenwerk für die Entwicklung und Umsetzung von Prozessen und Sicherheitsmaßnahmen und gewährleistet beispielsweise das Engagement des Managements sowie die Schulung der Mitarbeiter.
Während ein ISMS einer Organisation von einem kleineren Team entwickelt wird, sollten anschließend alle Mitarbeiter in die Umsetzung einbezogen werden. Die meisten Angriffe werden durch eine unvorsichtige Handlung eines einzigen Mitarbeiters ausgelöst, wie z. B. das Klicken auf einen Link in einer Phishing-E-Mail, die Verwendung eines infizierten USB-Sticks, die Benutzung von schwachen Passwörtern oder die Weitergabe des Passworts an Unbekannte. Solche Handlungen erfolgen selten vorsätzlich, können aber schädlich sein. Durch die richtige Schulung kann dies vermieden werden. Aber Unternehmen müssen sicherstellen, dass die Schulungen unternehmensweit angelegt sind und immer alle Mitarbeiter einbezogen werden.
Ein Unternehmen kann ein Informationssicherheitsmanagementsystem auf der Grundlage ihrer eigenen oder der ISO/IEC 27001-Norm implementieren und zur Überprüfung der Einhaltung dieser Norm eigene oder Lieferantenaudits durchführen bzw. durchführen lassen. Es gibt jedoch keine Möglichkeit, Kunden und anderen Stakeholdern gegenüber unabhängig nachzuweisen, dass das System vorhanden ist und effektiv funktioniert.
Die Zertifizierung nach ISO/IEC 27001 gilt als unabhängiger Nachweis dafür, dass Ihr Managementsystem für Informationssicherheit die Anforderungen der Norm erfüllt. Es stärkt das interne Vertrauen und ermöglicht es, Kunden, Lieferanten und anderen Stakeholdern glaubwürdig mitzuteilen, dass Ihr Managementsystem für Informationssicherheit von einer unabhängigen Zertifizierungsstelle bewertet und für geeignet befunden wurde. Die Zertifizierung erfordert außerdem jährliche Audits des Managementsystems sowie den Nachweis, dass es weiterhin zweckmäßig ist und die Widerstandsfähigkeit des Unternehmens und das Vertrauen der Stakeholder stärkt.