Archiv

REGION ON-WISSEN

Trotz IT-Sicherheitsgesetz: Digitale Sorglosigkeit immer noch weit verbreitet

04.03.17 - Die Zahl der Cyberangriffe steigt und steigt. Erst langsam findet in der Wirtschaft ein Umdenken beim Thema Informationssicherheit statt. Nicht zuletzt dank des IT-Sicherheitsgesetzes beschäftigen sich immer mehr Unternehmen mit Informationssicherheitsmanagementsystemen (ISMS). IT-Spezialisten wie die Ceyoniq Technology GmbH aus Bielefeld begleiten diese bei der strukturierten Einführung eines ISMS.

Es liest sich wie das Skript für einen Thriller: Nicht einmal zwei Tage brauchte der Hacker, um an sein Ziel zu gelangen. Nur noch wenige Klicks fehlten, dann wäre der Zugriff auf die Leitwarte hergestellt gewesen, mit gravierenden Folgen für die 40.000 Einwohner der Gemeinde Ettlingen. Sie wären von der Energieversorgung abgeschnitten gewesen: Ohne Wasser und Strom oder Versorgung mit Kraftstoff. Doch steckten hinter dem skizzierten Angriff keine bösen Absichten. Der Cyberangriff geschah im Auftrag eines Versorgungsunternehmens, das den Penetrationstest für eine Dokumentation des TV-Senders Arte hatte durchführen lassen.

Das Beispiel zeigt: Unsere zunehmend vernetzte Gesellschaft bietet eine immer größere Angriffsfläche für Cyberangriffe. Heute sind Windkrafträder, Solarenergie- und Biogasanlagen mit Kohle- und Atomkraftwerken vernetzt. Computer steuern Ampelanlagen, Aufzüge, Autos und die Heizung im Eigenheim. Der Durchschnittsbürger ist mit seinem Smartphone "always on".


ISMS ist Pflicht

Fotos: pixabay

Die gute Nachricht ist: Unternehmen sind Cyberangriffen nicht schutzlos ausgeliefert – ganz im Gegenteil. Mit der Verabschiedung des IT-Sicherheitsgesetzes im vorletzten Jahr hat der Gesetzgeber den Betreibern kritischer Infrastrukturen, beispielsweise Energieversorgern und Krankenhäusern, adäquate Schutzmaßnahmen auferlegt. Notwendig ist etwa die Installation von Kontaktstellen für die Meldung von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Einführung eines Informationssicherheitsmanagementsystems (kurz: ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018. Die Verantwortung hierfür liegt bei der Geschäftsleitung der betroffenen Unternehmen.

Die gesetzlichen Maßnahmen waren notwendig, um dem zuweilen laxen Umgang mit dem Thema ISMS einen Riegel vorzuschieben. Lange Zeit wurde die Infrastruktur auf Verschleiß gefahren, die Investitionszurückhaltung mit Verweis auf die Kosten begründet, dabei stehen die in keinem Verhältnis zu den drohenden Schäden. Das BSI sprach vor nicht allzu langer Zeit in diesem Zusammenhang auch von „digitaler Sorglosigkeit“.

Penetrationstesting zeigt Sicherheitslücken auf

Inzwischen aber sieht die Ceyoniq Technology GmbH einen Wandel. Nach einem sehr zurückhaltenden Interesse unmittelbar nach Inkrafttreten des IT-Sicherheitsgesetzes im Sommer 2015 ist seit Jahresbeginn 2016 eine deutliche Nachfragesteigerung im Markt zu spüren. Viele Akteure haben die Anforderungen und Herausforderungen verstanden und suchen nun nach praktikablen und wirtschaftlich vertretbaren Herangehensweisen. Dabei steht neben der Wirtschaftlichkeit auch die zügige und fristgerechte Umsetzung im Vordergrund.

Hier zeigt sich, dass die Anforderungen des Gesetzgebers eine große Chance bieten. Das Management der Informationssicherheit erfordert ein grundlegendes, integriertes Konzept, bei dem am Anfang die Bestandsaufnahme steht. Dabei werden einerseits die technischen Voraussetzungen unter die Lupe genommen: Sind etwa Betriebssysteme, Firewalls und Antivirensoftware auf dem neusten Stand? Sind Internetpräsenzen und Kundenportale so programmiert, dass sie gegen Cyberangriffe geschützt sind? Das Penetrationstesting durch ethische Hacker, bei dem Angriffe von außen simuliert werden, ermöglicht hier eine Bestandsaufnahme.

Ceyoniq ISMSbox dokumentiert und kontrolliert Informationssicherheit

Ein wichtiges Tool zur Implementierung eines ISMS ist die Ceyoniq ISMSbox. Hierbei handelt sich um ein umfangreiches Dokumenten- und Informationsmanage-mentsystem zur Dokumentation und Kontrolle der Informationssicherheit. Dies beinhaltet die von der Norm geforderte IST-Aufnahme, einem integrierten Risikomanagement, den daraus resultierenden Maßnahmen und deren Dokumentation. Die Ceyoniq ISMSbox basiert auf der internationalen Norm für Informationssicherheit, ISO/IEC 27001. Das System ermöglicht eine strukturierte, versionierbare und revisionssichere Ablage der Dokumente – ein wichtiger Baustein eines ISMS. Die neueste Version der Ceyoniq ISMSbox verfügt über ein integriertes Vorfallsmanagement, dass den Zyklus einer ISMS-Organisation nun komplettiert.

Nicht zu vernachlässigen sind darüber hinaus die organisatorischen Maßnahmen. Sie betreffen letztendlich jeden Mitarbeiter, vom Auszubildenden bis zum Geschäftsführer. Essentiell wichtig ist dabei die Kommunikation der Regeln und Maßnahmen: Was etwa nützt die neueste Virenschutzsoftware, wenn diese manuell am Computerarbeitsplatz deaktiviert wurde? Die Sicherung mobiler Endgeräte durch Passwörter ist eigentlich eine Selbstverständlichkeit, nur – schwer zu glauben – häufig nicht für Administratoren und Geschäftsführung.

Wie lässt sich etwas ändern? Ein zentraler Verantwortlicher für Informationssicherheit ist erforderlich, der zugleich die Chance benötigt, dass er Aufgaben mit der gebotenen Ernsthaftigkeit umsetzen kann. Dazu gehören Einsicht in die Abläufe, Weisungsbefugnis und ein direkter Draht zur Leitungsebene, um die erforderlichen Standards zu etablieren. Auch die Bildung einer eigenen internen Informationssi-cherheitsmarke kann dabei helfen, das Bewusstsein (neudeutsch: Awareness) innerhalb des Unternehmens für das Thema zu steigern. +++

 


Über Osthessen News

Kontakt
Impressum

Apps

Osthessen News IOS
Osthessen News Android
Osthessen Blitzer IOS
Osthessen Blitzer Android

Mediadaten

Werbung
IVW Daten


Service

Blitzer / Verkehrsmeldungen Stellenangebote
Gastro
Mittagstisch
Veranstaltungskalender
Wetter Vorhersage

Social Media

Facebook
Twitter
Instagram

Nachrichten aus

Fulda
Hersfeld Rotenburg
Main Kinzig
Vogelsberg
Rhön