Hackerangriff

4 Schritte zur ganzheitlichen IT- und Informationssicherheit

Kaum eine Woche vergeht ohne Schlagzeilen über erfolgreiche Cyber-Angriffe auf Unternehmen. Nicht nur Großkonzerne, sondern auch immer mehr kleinere und mittelständische Unternehmen werden Ziele von Cyber-Attacken. Unabhängig davon, ob als Angriffsvektor der Faktor Mensch genutzt wird, oder ob Angriffe direkt auf IT-Systeme durchgeführt werden, ist der wirtschaftliche Schaden in den meisten Fällen enorm.  Um solche Angriffe zu verhindern, ist klar, dass eine Vielzahl an IT-Sicherheitsmaßnahmen im Unternehmen umgesetzt werden müssen. Das Themengebiet der IT- und Informationssicherheit ist jedoch komplex und oft nicht überschaubar. Aus diesem Grund stellen sich Organisationen oft die Frage, wie man ein solch komplexes Thema in der Praxis initial angehen kann. Erfahren Sie in unserem Blog-Artikel mehr über die ersten und vor allem essenziellen Schritte zur Verbesserung Ihrer Informations- und IT-Sicherheit.

Schritt 1: Bestandsaufnahme (GAP-Analyse) der IT- und Informationssicherheit

Noch lange bevor technische Sicherheitsüberprüfungen wie Schwachstellen-Scans oder Penetrationstests von IT-Systemen durchgeführt werden, sollen Sie initiale Schritte einleiten. Diese dienen dazu, ein ganzheitliches Bild über die aktuelle Sicherheit Ihrer IT-Systeme, aber auch der kritischen Geschäftsprozesse zu erhalten. Orientierungshilfen für relevante Prüfkriterien bietet unter anderem der Gefährdungskatalog des Bundesamts für Sicherheit in der Informationstechnik. Beachten Sie jedoch, dass bereits bei der Bestandsaufnahme ein umfassender Weitblick auf das gesamte Unternehmen und deren Bereiche nötig ist. Organisatorische Aspekte spielen in der Informationssicherheit eine genauso wesentliche Rolle wie die Überprüfung der technischen Systeme.

Fundiertes IT-Fachwissen ist Voraussetzung für die Bestandsaufnahme der aktuellen Informations- und IT-Sicherheit. IT-Administratoren besitzen dieses Fachwissen, dennoch sollten Bestandsaufnahmen und GAP-Analysen im Idealfall durch neutrale Parteien durchgeführt werden. So erhöhen Sie die Chance, auch organisatorische Schwachstellen zu identifizieren, die eigene Mitarbeiter unter Umständen nicht erkennen. Das Unternehmen wird dabei von außen betrachtet. Diesen Blickwinkel würde auch ein krimineller Angreifer einnehmen.

Schritt 2: Analyse der aktuellen Situation und Bewertung aus fachlicher Sicht

Wurden in einer initialen GAP-Analyse Defizite festgestellt, so gilt es diese zu bewerten. Wie kritisch sind einzelne Schwachstellen für Ihr Unternehmen? Diese und weitere Fragen zur Bewertung diskutieren Sie mit Ihrem Informationssicherheitsbeauftragten, der ausreichend technische und organisatorische Kenntnisse zur  IT- und Informationssicherheit besitzen muss.

Auch wenn zum aktuellen Zeitpunkt ein ISB noch nicht für jedes Unternehmen gesetzlich vorgeschrieben ist, so empfiehlt es sich diese Position explizit zu vergeben. Eigene Mitarbeiter aus der IT-Abteilung oder sogar der IT-Leiter haben in der Regel nicht die zeitlichen Ressourcen, zudem führt diese Doppelrolle oft zu Interessenskonflikten.

Schritt 3: Ableitung notwendiger Maßnahmen

Nach der Bewertung der Defizite und der Einschätzung ihrer Risiken gilt es, notwendige Maßnahmen abzuleiten. Diese Maßnahmen reichen von Mitarbeiterschulungen bis hin zu technischen Sicherheitsüberprüfungen wie Penetrationstests für kritische IT-Systeme.

Schritt 4: Umsetzung und laufende Kontrolle der Maßnahmen

Erst nach Ableitung aller erforderlichen Maßnahmen zur Verbesserung Ihrer Informations- und IT-Sicherheit geht es um die Umsetzung und vor allem um regelmäßige Überprüfung und Verbesserung. Man darf IT-Security nicht als Projekt betrachten, sondern muss es als kontinuierlich verbesserbaren Prozess ansehen. Plan – Do – Check – Act sind die wesentlichen Prozessschritte, die es dringend zu beachten gilt.

Ein kontinuierlicher Prozess, der sich stets verbessert und auch messen lässt, kann nur dann entstehen, wenn Sie das Thema der Informations- und IT-Sicherheit kontinuierlich und mit den notwendigen zeitlichen und fachlichen Ressourcen umsetzen.

Wird diese Aufgabe ernst genommen, entsteht am Ende ein zertifizierbares Informationssicherheits-Management-System. Das bringt Unternehmen nicht nur die laufende Absicherung technischer Systeme, sondern auch strukturierte Prozesse und die Erfüllung relevanter Compliance-Vorgaben.

Wenn Sie Unterstützung bei GAP-Analysen, dem Aufbau eines ISMS, oder Unterstützung durch einen externen ISB benötigen, kontaktieren Sie uns gerne.

 

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.