CyberCompare

IT-Sicherheit allein reicht nicht

Es braucht mehr als nur die Absicherung der IT im Unternehmen

In den vergangenen Jahren sind die Auswirkungen von Cyber-Attacken auf Unternehmen und Staaten immer weitreichender geworden. Es ist daher wenig verwunderlich, dass die Anforderungen an die IT-Sicherheit und die damit verbundenen Investitionen entsprechend steigen. Einen umfassenden Schutz kann IT-Sicherheit aber nicht leisten. Vielmehr empfiehlt es sich, eine umfassende Informationssicherheit anzustreben. Informationssicherheit schließt neben dem Schutz der IT-Systeme (IT-Sicherheit) den Schutz aller Informationen eines Unternehmens ein. Unabhängig davon, wo diese Informationen verarbeitet werden. Darunter fallen z.B. ausgedruckte Dokumente, aber auch das Wissen von Mitarbeitenden.

Die Grundwerte der Informationssicherheit sind: Verfügbarkeit – Die Informationen der Organisation sollen im vorgesehenen Zeitraum verfügbar sein. Vertraulichkeit – Keine unberechtigten Personen sollen Zugang zu den Informationen erlangen. Integrität – Die Informationen sollen nicht manipulierbar sein. Mithilfe eines Informationssicherheitsmanagementsystems (ISMS) sollen diese Grundwerte eingehalten werden. Aber gerade kleine und mittelständische Unternehmen scheuen den Aufbau eines ISMS aufgrund des organisatorischen und finanziellen Aufwands.

In der Tat kann der Aufbau und Erhalt eines ISMS organisatorisch herausfordernd sein. Gerade wenn z.B. ein ISMS nach dem Standard des BSI Grundschutzes aufgebaut werden soll, wirken die über 1000 vorgeschlagenen Maßnahmen abschreckend. Häufig reicht es schon klein anzufangen: Durch die Einführung der Basis-Absicherung möchte das BSI gerade für KMU den Zugang zum ISMS erleichtern. Zudem gibt es auch andere Möglichkeiten: Die Vorgaben zum ISMS nach ISO 27001 sind vergleichsweise konzeptioneller aufgebaut und geben der Organisation mehr Spielraum, um ein zugeschnittenes ISMS entwickeln zu können.

Der finanzielle Aspekt ist ein gern genutztes Argument gegen die Etablierung eines ISMS. Oft wird argumentiert, man konzentriere sich lieber auf Themen, die den Umsatz unmittelbar steigern und darüber hinaus habe man schon viel in Firewalls und andere Tools zur Absicherung der IT-Systeme investiert. Solchen Argumenten ist entgegen zu setzen, dass etwa 15 Prozent aller Incidents allein durch Phishing verursacht werden (Verizon Data Breach Investigations Report 2020). Die Mitarbeiterinnen und Mitarbeiter spielen beim Schutz der Informationen also eine bedeutende Rolle. Zusätzlich sollte jeder Unternehmer die hohen Kosten im Falle einer Verletzung der Informationssicherheit im Blick haben: IT-Systeme und deren Daten könnten zerstört werden. Eine Wiederherstellung ist kostspielig. Die Veröffentlichung von internen Informationen kann Wettbewerbsnachteile verursachen. Sollte es sich dabei um personenbezogene Daten handeln, drohen zudem empfindliche Strafen der Datenschutzbehörden.

Zusammenfassend lässt sich also sagen, dass neben der IT-Sicherheit auch die Sicherheit der übrigen Informationen im Blick behalten werden muss, denn eine hochabgesicherte IT ist zwecklos, wenn vertrauliche Informationen durch Mitarbeitende nach außen getragen werden (z.B. ein Telefonat in der Öffentlichkeit). Die Etablierung eines ISMS kann dabei helfen. Für den leichteren Einstieg empfiehlt es sich klein anzufangen. Langfristig lohnt sich der Schutz der Informationen höchstwahrscheinlich auch finanziell.

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.