Informationssicherheit geht weit über IT-Sicherheit hinaus, sie muss eine zentrale Rolle in der Strategie jedes Unternehmens spielen. Ein Information-Security-Management-System (ISMS) hilft dabei, erklärt das IT-Systemhaus Bechtle in einem Whitepaper, das Interessierte gratis herunterladen können.
„Informationssicherheit ist eine Aufgabe der gesamten Organisation und unweigerlich Chefsache“, schreibt Bechtle in der Einleitung des Whitepapers. Hilfe verspricht ein Information-Security-Management-System (ISMS), da es alle Maßnahmen, Regeln und Tools umfasst, die die Sicherheit von Informationen betreffen. „Ziel des ISMS ist die orchestrierte Gewährleistung der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität für alle geschäftskritischen Ebenen einer Institution“, so die Autoren und Autorinnen. Laut Bechtle besteht ein ISMS beispielsweise aus Themengebieten wie Informationssicherheit in der Lieferantenkette, Personalschulungen und Business-Continuity-Management sowie Notfallplanung zur Steigerung der Business-Resilienz im Krisenfall. Verantwortung dafür tragen die Geschäftsführung und das Management.
Es besteht Handlungsbedarf
Im nächsten Abschnitt beschreiben die Verantwortlichen bei Bechtle, warum Firmen beim Thema Informationssicherheit nun handeln sollten. „Die wachsende Bedrohungslage ist einer von vielen Gründen, der Informationssicherheit höchste Priorität einzuräumen“, heißt es dazu im Text. Und: „Ein weiterer Grund für mehr Informationssicherheit sind die zahlreichen gesetzlichen Vorgaben“, wobei hier an erster Stelle das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) steht, das seit Mai 2021 gilt. Vor allem Betreiber kritischer Infrastrukturen (etwa Energieversorger oder Krankenhäuser) sind betroffen und „müssen jetzt hohe Vorgaben erfüllen und beispielsweise zwingend Systeme zur Angriffserkennung betreiben“, so Bechtle. Aber auch Konzerne mit besonders großer volkswirtschaftlicher Bedeutung müssen nun diverse IT-Sicherheitsmaßnahmen umsetzen, aber auch die Wertschöpfungskette ist betroffen: „Immer mehr Lieferanten und Abnehmer von Produkten und Dienstleistungen achten darauf, dass die Geschäftsbeziehung kein Risiko birgt.“ Deshalb, so Bechtle, legen sich immer mehr Firmen eine sogenannte Cyberversicherung zu, die im Fall von Cyberattacken einspringt und das Überleben des Betriebs sichert.
Erst eine Risikoanalyse durchführen
Doch nicht nur äußere Einflüsse sollten die Führungsebenen zu mehr Bewusstsein in puncto Informationssicherheit bewegen, da sie „im ureigenen Interesse eines jeden Unternehmens“ liegt. Da heutzutage Daten die Grundlage für jeden Geschäftserfolg bilden, gibt es durch die globale Kommunikation und Cloud-Dienste einige Angriffsflächen, die Kriminelle nutzen können. „Informationssicherheit zählt daher mittlerweile zur Daseinsvorsorge“, erklärt Bechtle. Vor der Einführung eines Information-Security-Management-Systems sollte eine grundlegende Risikoanalyse stehen, die die individuellen Risiken einer Organisation beleuchtet. Auf dieser Basis lässt sich ermitteln, wie das ISMS später aussehen soll. Bechtle merkt zu den Risiken an: „Das können nicht nur Cyberangriffe, sondern beispielsweise auch Naturgewalten wie Hochwasser oder Stürme sein. Daten können zudem auch durch Diebstahl, Fehlbedienungen oder Bugs verloren gehen.“
Hilfe von außen holen
Anschließend erfolgt eine Analyse der bereits vorhandenen Sicherheitstechnik: Ist sie noch aktuell oder schon veraltet? Gibt es Schlupflöcher? Tests, Mitarbeiterbefragungen und Expertenwissen geben Aufschluss über die Effektivität des Systems, zudem können ehemalige Hacker, die jetzt auf der guten Seite stehen, wertvolle Praxistipps geben. Wie Bechtle beim Thema Informationssicherheit hilft, welche Rolle ISO 27001 beim Aufbau eines ISMS spielt und noch viel mehr erfahren Sie, wenn Sie das Whitepaper herunterladen. Klicken Sie dazu bitte den Button „Dieses Whitepaper jetzt lesen“ gleich hier unten an.