Montag, 13. Februar 2023

Wer kümmert sich um die Informationssicherheit in Ihrem Unternehmen?

Wer kümmert sich um die Informationssicherheit in Ihrem Unternehmen?

In den letzten Wochen wurden wir gleich von mehreren Unternehmen eingeladen, die Ist-Situation im IT-System zu analysieren und die Behebung eventueller technischer und organisatorischer Schwachstellen zu beraten. Obwohl die beratenen Unternehmen oft schon viele Jahre vom selben IT-Dienstleister betreut werden, war dies meist die erste Besprechung, in der es nicht vorrangig um Technik bzw. IT-Sicherheit ging. 

Unternehmenssicherheit


Willkommen in der Welt der Informationssicherheit!

 

Die Bedrohung durch Cyber-Attacken ist so hoch wie nie. Das zeigt der Lagebericht zur IT-Sicherheit des BSI vom November 2022.

Die Hauptbedrohung für Unternehmen stellt momentan vor allem die Schadsoftware Ransomware dar. Der Lagebericht zeigt auch: Es werden immer häufiger ganze Lieferketten angegriffen. Möglich machen dies zumeist Schwachstellen in Software-Produkten.

2021 wurden 20.174 neue Schwachstellen entdeckt. Ein Zuwachs von 10% ggü. dem Vorjahr.

Für kleine und mittlere Unternehmen (KMU) wird IT-Sicherheit – oder nennen wir sie künftig besser Informationssicherheit - eine immer größere Herausforderung. Denn KMU haben selten eine eigene IT-Abteilung. Zudem herrscht im IT-Bereich ein starker Fachkräftemangel, um sich passend für die Bedrohung aufzustellen. Deshalb sind Prävention sowie ein Bewusstsein für das Thema Informationssicherheit so wichtig.

Mittelständische Unternehmen haben Cybersicherheit immer mehr auf dem Schirm, informieren sich und schauen nach gangbaren Lösungen. Laut BSI-Lagebericht sind sie dabei auf Unterstützung angewiesen.

Cybersicherheit wird endlich Chefsache

Derzeit findet ein Umdenken statt. Cybersicherheit wird endlich Chefsache. UnternehmerInnen unterhalten sich im Rahmen von Verbands- und sonstigen Treffen denen, die bereits Opfer von Cyber-Attacken geworden sind. Heraus kommen dabei oft Listen mit (teilweise sehr strikten Maßnahmen), die nach erfolgreichen Cyber-Angriffen von den Opfer-Unternehmen getroffen wurden. Kein Wunder: Wer einmal aufgrund eines Cyber-Angriffs um sein Unternehmen bangen musste

Und plötzlich wollen die Chefs nun wissen,

-        Ob schriftliche Konzepte für

o   Berechtigungen;

o   Backup;

o   Firewallkonfiguration („any-to-any“);

-        Ob ein Notfallplan existiert.

Da sind auch Ideen dabei, künftig nur noch einen Rechner am Internet zu betreiben und alle anderen nicht mehr. Die Idee dahinter ist klar: Hackern soll so wenig wie möglich Angriffsfläche gezeigt werden.

Vielleicht wären UnternehmerInnen auch beruhigt, wenn schriftlich dokumentiert wäre, dass in ihren Unternehmen das Netzwerk in VLANs [GLOSSAR] separiert ist. Im Prinzip bedeutet das, dass ein Angreifer, nachdem er eine Schwachstelle gefunden und ausgenutzt hat, eben nur diese Schwachstelle in diesem Bereich ausnutzen kann. Z.B. wenn eine Schwachstelle in einem Drucker dem Angreifer die Tür öffnet, kann er eben nur im Drucker-Bereich Schaden anrichten, z.B. 1.000 Seiten ausdrucken. Der Rest des IT-Netzwerks bleibt ihm durch das VLAN verwehrt.

Vergleichbar mit einem Einbrecher, der nach dem Aufbruch einer Balkontür eben nicht in einem Haus steht, in dem alle Lichter für ihn brennen und alle Türen inkl. der Tresortür offenstehen. Sondern der eben auch nur in einem Raum steht, den er dann verwüsten kann. Aber wenn er weiter möchte, muss er weitere Türen aufbrechen. Die Erfahrung zeigt: Spätestens bei der dritten Tür geben Einbrecher und Hacker auf und suchen sich ein anderes Opfer.

Die Chefetage nimmt sich Ihrer Verantwortung an und will wissen, was Sache ist. Vorbei sind die Zeiten, in denen Chefs sich damit begnügten, dass die IT (intern oder extern) schon funktionieren würde und man der IT einfach blind vertraut hat. Die neue Devise heißt „Zero Trust“!

UnternehmerInnen zeigen Interesse an Informationssicherheitsmanagement (ISO 27001)

UnternehmerInnen zeigen damit endlich wirkliches Interesse an Informationssicherheits-Managementsystemen (ISMS) wie der ISO 27001. Denn diese ging schon immer weit über die IT-Sicherheit hinaus und fordert neben technischen auch organisatiorische Maßnahmen.

Es ist nicht einfach für UnternehmerInnen, sichere von unsicheren IT-Dienstleistern zu unterscheiden. Denn bisher zählte vor allem Eines: Funktionalität. Und zum Funktionieren bekommt das IT-System fast jeder IT-ler. Sicherheit bzw. Un-Sicherheit zeigt sich leider von alleine erst dann, wenn es schief gegangen ist. Und dann ist es zu spät.

Was bietet yourIT im Bereich Informationssicherheit

Das ISMS von yourIT ist seit 2016 nach ISO 27001 zertifiziert. Neben einem Lead-Auditor-ISO-27001 warten wir seit 2022 mit 8 Datenschutz- und Informationssicherheitsbeauftragten auf. Wir bringen daher ganz viel praktische Erfahrung mit, wenn wir uns mit der Leitungsebene Ihres Unternehmens und der internen/externen IT unterhalten.

Technisch ist meist schon viel vorhanden. Das organisatorische Pendant hinkt leider stark hinterher. Nehmen wir nochmal das VLAN-Beispiel von oben: Die technische Komponente – eine Firewall, die das Thema VLAN abbilden könnte – ist in vielen Unternehmen bereits vorhanden. Nur leider wurden bisher oft keine VLANS eingerichtet.

Und das findet man leider nur dann raus, wenn man die Ist-Situation analysiert, mit der Soll-Situation vergleicht und die sich ergebenden Schwachstellen miteinander bespricht.

Beratungspaket Phase A+ B mit Fördermittel

Vorteil für mittelständische Unternehmen: Unser Beratungspaket wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.750 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen Kennenlern-Termin.