Cyberkriminalität abwehren

Gerade für Unternehmen ist Datenkriminalität in der heutigen Zeit ein Problem. Werden Kunden-, Lieferanten- oder Produktdatenbanken angegriffen, gehen die Schäden schnell in die Millionen. Informationssicherheits-Managementsysteme (ISMS) gewinnen daher an Bedeutung. Die fünf wichtigsten Erfolgsfaktoren für ein ISMS erläutert Tatjana Brozat, Auditorin für Informationssicherheit und Referentin der TÜV-Nord-Akademie.

27. Oktober 2016

Durch die Digitalisierung wird es immer einfacher, Daten untereinander auszutauschen. Doch der Datenfluss birgt Risiken. Mit steigendem Austausch der Daten nimmt auch die Cyberkriminalität zu: Allein 2015 meldete das Bundeskriminalamt knapp 45.800 Fälle von Cyberkriminalität. Gerade Unternehmen werden vermehrt Opfer von Angriffen auf ihre sensiblen Produkt- oder Kundendaten.

Der Schutz der eigenen Unternehmensdaten gewinnt daher stetig an Bedeutung. Und das gilt nicht nur für Großunternehmen: Auch kleine und mittelständische Unternehmen müssen sich vermehrt mit dem Thema Datensicherheit auseinandersetzen. „Immer häufiger verlangen Auftraggeber von ihren Zulieferern, dass diese dieselben Datensicherheitsstandards bieten wie sie selbst. Wer hier nichts vorweisen kann, verliert schnell wichtige Kunden“, so Brozat.

Für den langfristigen Datenschutz ist es laut der Expertin unerlässlich, ein ISMS einzuführen. „Ein rein technischer Schutz durch neue Server oder Firewall-Systeme reicht längst nicht mehr aus. Der Nutzen organisatorischer Maßnahmen, die für zusätzlichen Schutz sorgen, wird oft unterschätzt. Häufig liegen hier Schwachstellen, die von Kriminellen ausgenutzt werden.“ Folgende Faktoren sind laut Tatjana Brozat nötig, um ein ISMS erfolgreich zu integrieren:

Einbindung der Unternehmensleitung: Die Unternehmensleitung muss die Maßnahme unterstützen und Leitlinien für die Informationssicherheit aufsetzen, die unter anderem die zu schützenden Informationen definieren.

Bereitstellung von Ressourcen: Es müssen ausreichend finanzielle und personelle Mittel zur Verfügung stehen. Wichtig ist, dass je nach Unternehmensgröße ein Mitarbeiter abgestellt wird, der entsprechende Schulungen absolviert und als Beauftragter für Informationssicherheit das Management der Datensicherheit übernimmt. Schulungen bietet zum Beispiel die TÜV-Nord-Akademie an.

Abteilungsübergreifendes Verständnis: Informationssicherheit nimmt auf alle Kerngeschäftsprozesse eines Unternehmens Einfluss. Daher ist es wichtig, dass allen Mitarbeitern über die interne Kommunikation die Relevanz verdeutlicht wird. Der Erfolg eines ISMS ist von der Einhaltung der Vorgaben maßgeblich abhängig.

Auswahl passender Maßnahmen: Die Maßnahmen, die durch das ISMS eingeführt werden, sollten der Größe des Unternehmens angemessen sein und im Verhältnis zur Wirtschaftlichkeit stehen. Daher gilt es, zu Beginn organisatorische Maßnahmen festzulegen. Erst danach folgt die technische Umsetzung, wie die Einführung einer Mehr-Faktor-Authentifizierung unter Einsatz von Smartcards in Kombination mit Passwörtern.

Messmethoden festlegen: Zur Überprüfung des Erfolgs eines ISMS ist es wichtig, Key Performance Indicators zu bestimmen. Durch sie kann jährlich festgestellt werden, ob sich die Informationssicherheit im Unternehmen verbessert hat. Ein möglicher Indikator ist die Anzahl an Informationssicherheitsvorfällen, deren Zu- oder Abnahme  in einem jährlichen Management Report festgehalten wird.

Über weitere Maßnahmen, kritische Faktoren und Praxisbeispiele klärt die Informationsmanagement-Fachtagung am 29. März 2017 und die anschließende Fachtagung zum Datenschutz in Hamburg auf. Weitere Informationen und Anmeldung unter www.tuev-nord.de/tk-it.