IT-Sicherheit mit System

Die Zahl der Cyberattacken kennt nur eine Richtung – nach oben. Laut Trend Micro stieg die Zahl der Angriffe im Jahr 2020 gegenüber 2019 um 20 Prozent auf über 62,6 Milliarden. So erkannte und blockierte das Unternehmen im vergangenen Jahr 119.000 Attacken pro Minute. Und laut der IDC-Studie „Cyber Security 2020+“ wurden 2020 78 Prozent der befragten deutschen Unternehmen erfolgreich attackiert. Die Top-5-Risiken sind Phishing, Malware, fahrlässige Anwender, fehlende Updates/Patches und Ransomware. Das Problem: IT-Sicherheit erhält laut IDC immer noch nicht die notwendige Aufmerksamkeit.

Das bestätigt Adrian Lambeck, Geschäftsführer der Security-Beratung Optimabit aus München: „Viele unserer Kunden sind zwar in puncto IT-Sicherheit technisch relativ gut mit Standardlösungen aufgestellt, es fehlt aber ein durchgängiges Sicherheitskonzept. Die Verantwortlichen wissen oft nicht genau, wo ihre eigentlichen Risiken liegen.“ Dadurch komme es zu einer Lücke zwischen der wahren Risikosituation im Unternehmen und den umgesetzten Sicherheitsmaßnahmen. „Da die Konsistenz fehlt, entstehen im schlimmsten Fall Sicherheitsprobleme“, so Lambeck weiter. Ein Beispiel: Die Geschäftsführung sieht das größte Risiko für die Informationssicherheit beim Online-Shop, die IT-Abteilung hingegen im ERP-System. Die IT-Abteilung legt den Fokus für die Absicherung dann wohl eher auf das ERP-System als auf den Online-Shop, da dafür zudem ein externer Dienstleister zuständig ist.

Solche Lücken oder Inkonsistenzen verhindert der Aufbau eines Information Security Management Systems (ISMS) auf Basis der Norm ISO/IEC 27001. Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Denn Informationen müssen zuverlässig verfügbar sein, da die meisten Geschäftsprozesse mittlerweile digitalisiert sind. Zudem sind sie vor nicht autorisiertem Zugriff (Vertraulichkeit) und ungewollter Veränderung (Integrität) zu schützen.

Ein ISMS gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Krypto­grafie, Incident Management, Personalsicherheit (unter anderem Security-Awareness-Training) oder Zugriffskontrolle (zum Beispiel Einschränkung von
Zugriffsrechten). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern sowie durch regelmäßige interne und externe Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.

Für die Betreiber kritischer Infrastrukturen (KRITIS), sprich Branchen wie Energie- und Wasserversorgung oder Gesundheit, ist der Aufbau eines ISMS seit 2016 mit dem IT-Sicherheitsgesetz Pflicht. Ein Treiber sind Anforderungen von Firmen, die von Lieferanten eine ISO-27001-Zertifizierung verlangen. Doch lohnt sich der Aufbau eines ISMS grundsätzlich, also auch für kleine und mittlere Unternehmen?

„Ich würde diese Frage mit einem klaren Ja beantworten. Entscheidend ist nicht die Größe, sondern das Risiko, das ich als Unternehmen habe. Ein ISMS ist grundsätzlich für jede Organisation sinnvoll, die sensible und schützenswerte Daten verarbeitet, deren Verlust hohe Schäden mit sich bringt – unabhängig von gesetzlichen Vorgaben und Kundenanforderungen“, erklärt Jürgen Bayer, Geschäftsführer bei der IT-Beratung Lösch und Partner. Er rät Firmen, ihr ISMS extern prüfen zu lassen, am besten mit einer Zertifizierung, auch wenn dafür zusätzliche Kosten anfallen.

Firmen sollten daher ein ISMS nicht als reinen Kostenfaktor sehen, sondern als Chance, dadurch die Risiken für die Informationssicherheit systematisch zu minimieren und die Verfahren und Maßnahmen festzulegen, was wann in welcher Situation genau zu tun ist. Dazu Jürgen Bayer: „Informationssicherheit wird im Zuge der weiteren Digitalisierung immer wichtiger und sollte zum Bestandteil der Unternehmensstrategie werden. Eine Zertifizierung nach ISO 27001 kann dann auch zum Wettbewerbsvorteil werden.“ Kleinen und mittleren Firmen, die kein Zertifikat für ihr ISMS benötigen oder wollen, empfiehlt er, sich an der ISO 27001 als Leitfaden zu orientieren.

Die ISO 27001 ist aber relativ umfangreich und legt auch keine Standardmethode für den Aufbau und Betrieb eines ISMS fest. Hier können sich Unternehmen schnell verzetteln, zumal ein Managementsystem komplexer umzusetzen ist als reine IT-Security-Maßnahmen. Ohne externe Beratung wird das schwierig. „Viele Firmen ohne entsprechende Erfahrung tendieren dazu, beim Aufbau eines ISMS mehr Schritte zu machen als notwendig, oder sie haben den späteren Nutzen nicht direkt im Auge. So können schnell erhöhte regelmäßige Kosten für Pflege und Weiterentwicklung des Systems entstehen. Gefragt ist hier ein pragmatischer Ansatz, insbesondere für kleinere Unternehmen“, erklärt Sebastian Linder, Management Consultant bei der Unternehmensberatung Leitwerk Consulting.

Um einen ersten Einstieg zu finden, sollten Firmen seiner Meinung nach zumindest die grundsätzlichen über die Risikoanalyse definierten Anforderungen umsetzen. Das heißt: Das ISMS sollte so angepasst werden, dass es die Kernanforderungen an Informationssicherheit erfüllt und lebbar ist. Zur Basis gehören laut Linder Themen wie die Absicherung mit regelmäßigen Patches, Backup-Strategien, Identity und Access Management, Business Continuity Management mit Notfallplänen und Security-Awareness-Schulungen bei den Mitarbeitern.

„Der angemessene und pragmatische Aufbau eines ISMS umfasst zudem die Dokumentation und Beschreibung der Richtlinien, Prozesse, Verfahren und Maßnahmen, mit denen Firmen die Informationssicherheit erhöhen. Ich empfehle unseren Kunden, das ISMS auf Basis der ISO 27001 möglichst ohne zeitlichen Druck schrittweise aufzubauen und am Ende zertifizieren zu lassen“, so Linder.

Eine Alternative zur ISO 27001 könnte der Standard ISIS12 sein. Er bietet in zwölf Schritten klare Handlungsanweisungen für mehr Informationssicherheit, die sich an ISO 27001 orientieren. ISIS12 lässt sich im Prinzip auch ohne externe Beratung umsetzen. Das Zertifikat ist aber bislang noch wenig anerkannt und eher für interne Zwecke geeignet. Es erleichtert aber den Übergang zur ISO 27001, wenn Firmen einen höheren Schutzbedarf erkennen.