Ein privater USB-Stick im Firmenlaptop, ein freistehender Drucker im Gang oder die Installation der App eines Drittanbieters auf dem Firmenhandy – Schwachstellen im Unternehmen gibt es viele. In kommunalen Betrieben ist der Schutzbedarf von Geschäftsprozessen oft besonders hoch, da diese über eine große Menge an wertvollen und sensible Daten verfügen. Die Einhaltung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit ist dabei oberstes Gebot. Die Informationssicherheit kann durch Planung und Realisierung von Schutz- und Präventionsmaßnahmen hergestellt werden. Durch gezieltes Schwachstellenmanagement kann die Angriffsfläche von Unternehmen um 99,9 % reduziert werden.

„Durch die Nutzung neuer Geräte und Applikationen entstehen auch neue Schwachstellen und Angriffspunkte. Die Bedrohungslage ist hoch: Zwischen 2016 und 2017 sind knapp 70% der Unternehmen und Institutionen Opfer von Cyber-Kriminalität geworden.“

Milen Volkmar, Geschäftsführerin Q-SOFT GmbH

Die Ausgangslage der Informationssicherheit in Deutschland

Im Zuge der Digitalisierung ist vor allem die IT-Sicherheit in den letzten Jahren immer wichtiger geworden. Das Internet der Dinge vernetzt Menschen, Geräte und Arbeitsmittel. Neue, technische Entwicklungen erweitern das Spektrum der Möglichkeiten für den digitalen Arbeitsplatz. Die moderne Arbeit 4.0 ist flexibel, schnell und stets angebunden an wichtige Geschäftsprozesse und Daten. Die Verteilung der Daten wird unübersichtlicher – denn diese befinden sich mittlerweile nicht mehr nur in Rechenzentren von Firmen und auf den unternehmenseigenen Geräten, sondern zusätzlich auf mobilen Datenträgern, privaten Endgeräten und in Clouds. Diese Entwicklung bedingt eine sichere und zentrale Verwaltung. Mitarbeiter müssen diesbezüglich einheitlich unterrichtet und geschult werden.

Durch die Nutzung neuer Geräte und Applikationen entstehen auch neue Schwachstellen und Angriffspunkte. Die Bedrohungslage ist hoch: Zwischen 2016 und 2017 sind knapp 70 % der Unternehmen und Institutionen in Deutschland Opfer von Cyber-Kriminalität geworden. Zahlreiche Vorfälle blieben unentdeckt – sodass die Dunkelziffer noch höher liegt. In 50 %  der Fälle verlief der Angriff erfolgreich und führte unter anderem zu Produktions- und Betriebsausfällen, dem Abschöpfen und Manipulieren von Daten, Patentdiebstahl oder Cyber-Erpressung. In den letzten beiden Jahren ist der deutschen Industrie damit ein Gesamtschaden in Höhe von 43,4 Milliarden Euro entstanden. Die Folgen der Cyber-Angriffe waren allerdings nicht nur hohe Wiederherstellungskosten, sondern auch Ruf- und Imageschäden sowie Vertrauensverlust.

Besonders gefährdet sind vor diesem Hintergrund die Kritischen Infrastrukturen. Seit 2015 gilt für KRITIS-Organisationen das IT-Sicherheitsgesetz. Dieses verpflichtet dazu, die IT – gemessen an dem aktuellen Stand der Technik – vor Fremdeinwirkungen zu schützen. Zu den Kritischen Infrastrukturen gehören alle Organisationen, deren Ausfall zur Beeinträchtigung des Gemeinwohls führen könnte. Dazu zählen beispielsweise Unternehmen der Sektoren Energie, Wasser sowie Staat und Verwaltung.

Zahlreiche kommunale Unternehmen sind sich der Gefahr durch Cyber-Angriffe mittlerweile bewusst. Dabei kommen unterschiedliche Sicherheitslösungen, wie Firewalls, Datensicherung oder Verschlüsselungsmethoden, zum Einsatz. Allerdings betrachten viele Betriebe zunächst meist nur akute Problemstellen. In Sachen Prävention und Gefahrenvermeidung sind daher noch große Potenziale offen. Zudem fehlt oft das Fundament für eine funktionierende Sicherheitslösung. Einzelmaßnahmen werden umgesetzt, ohne dass ein ganzheitliches Sicherheitskonzept vorhanden ist und die Schwachstellen ausreichend bekannt sind.

„Die Einführung eines Information-Security-Management-Systems bringt eine höhere Sicherheit und Transparenz der Geschäftsprozesse mit sich. IT-Risiken können effektiv überwacht, kontrolliert und gesteuert werden. Langfristig können kommunale Unternehmen damit Zeit und Kosten sparen.“

Milen Volkmar, Geschäftsführerin Q-SOFT GmbH

Strategieplanung eines Sicherheitskonzeptes

Vor allem kommunale Unternehmen können von der Herstellung eines verlässlichen und messbaren Schutzniveaus profitieren. Dabei kann der erste Schritt der Aufbau eines zentralisierten Managementsystems sein. Ein ISMS (Information Security Management System) ermöglicht es, individuelle Schwachstellen aufzudecken und Präventionsmaßnahmen zu treffen. Bislang sind einzig KRITIS-Organisationen dazu verpflichtet, ein nach ISO 27001 zertifiziertes ISMS aufbauen oder sich am IT-Grundschutzkatalog des BSI orientieren. Insgesamt können Unternehmen aller Größen jedoch davon profitieren, denn ein solches Managementsystem kann individuell angepasst und umgesetzt werden.

Mit einem ISMS wird ein individuelles Sicherheitssystem geschaffen, das an die IT-Gesetze und Vorgaben angepasst ist. Verantwortlich dafür ist der interne oder externe IT-Sicherheitsbeauftragte, der die Sicherheitsmaßnahmen plant und die Durchführung überwacht. Erfolgt die Umsetzung über einen externen Dienstleister, sollte dieser kontinuierlich Auskunft geben über die aktuelle Entwicklung der Informationssicherheit im Unternehmen.

In beiden Fällen wird zunächst eine Konzeption erstellt, welche die Definition, Planung, Umsetzung und Messbarkeit von Sicherheitszielen beinhaltet. Im nächsten Schritt wird eine Schutzbedarfsfeststellung sowie eine Risikoanalyse durchgeführt. Hierbei wird ermittelt, welche Geschäftsprozesse besonders schützenswert sind und welches Schutzniveau angemessen ist. Eine Gefährdungsanalyse kann helfen, eine umfassende Sicht auf Bedrohungen und Schwachstellen zu geben und das Schadenspotential zu ermitteln. Danach werden die Maßnahmen zur Risikobehandlung herausgearbeitet und umgesetzt. Dieser Prozess macht die IT-Sicherheit erst wirklich messbar, da er individuell auf das betreffende Unternehmen abgestimmt ist und laufend gepflegt wird.

Die Einführung eines Information Security Management Systems bringt eine höhere Sicherheit und Transparenz der Geschäftsprozesse mit sich. IT-Risiken können effektiv überwacht, kontrolliert und gesteuert werden. Langfristig können kommunale Unternehmen damit Kosten und Zeit sparen.

Umsetzung von Sicherheitsmaßnahmen

Bei der Umsetzung von Sicherheitsmaßnahmen sind sowohl personelle als auch technische Ressourcen entscheidend. Die Etablierung eines ISMS gibt einen Überblick über den aktuellen Schutzbedarf und führt zur Ermittlung der ersten Schritte. Bei der Verwirklichung der Sicherheitslösungen ist der Faktor Mensch entscheidend – rund 80 % der Sicherheitsvorfälle sind auf Mitarbeiterverhalten zurückzuführen. Eine kontinuierliche Sensibilisierung und Schulung der Mitarbeiter hilft kommunalen Unternehmen, die getroffenen Sicherheitsmaßnahmen intern durchzusetzen.

Die Umsetzung der technischen Maßnahmen ist individuell vom Schutzbedarf abhängig. Zu den geplanten Aktionen können unter anderem Netzwerksicherheitsanwendungen gehören. Dabei werden Zugriffsrechte von Geräten und Netzwerken kontrolliert und eingegrenzt. Kommunale Unternehmen können so einen Überblick darüber erhalten, wer sich zu welcher Zeit im Netz befindet – seien es Besucher, fremde Geräte oder Angreifer. Außerdem können Compliance-Richtlinien für die Nutzung von Endgeräten etabliert werden.

Auch mobile Datenträger, wie Flash-Speicher und USB-Sticks, sind in diesem Zusammenhang von großer Bedeutung. Denn diese sind sehr anfällig für die Infektion mit Schadprogrammen. Aus diesem Grund muss klar definiert werden, wie mit mobilen Datenträgern umgegangen wird, welche Ressourcen vorhanden sind, wer den Zugriff erhält und wer verantwortlich ist. Viele kommunale Unternehmen nutzen ferner mobile Endgeräte, wie Tablets und Smartphones. So werden im Entsorgungsprozess bereits Tablets eingesetzt, um Prozesse zu optimieren. Dafür existieren mittlerweile moderne Sicherheitslösungen, die für mehrere Betriebssysteme, Clouds und Endgeräte verwendet werden können und damit die notwendige Flexibilität und Sicherheit der Geräte herstellen.

Messbarkeit von Sicherheitsmaßnahmen

Regelmäßige Monitoring- und Reporting-Prozesse von Sicherheitsmaßnahmen sind in Bezug auf die Informationssicherheit äußerst wichtig. Dazu muss ein regelmäßiger Audit der getroffenen Maßnahmen stattfinden. Da sich die Anforderungen der Informationssicherheit kontinuierlich verändern, muss das Managementsystem fortlaufend kontrolliert, protokolliert gepflegt und angepasst werden. Ein ISMS liefert das Grundgerüst für die IT-Sicherheit. Der Umfang des Projektes hängt von den individuellen Gegebenheiten in jedem einzelnen Geschäftsbetrieb ab.

Durch das Monitoring werden Risiken transparent. Geschäftsprozesse lassen sich somit besser steuern und optimieren. Wird zusätzlich eine Notfallplanung hinzugefügt, ist das Unternehmen für den Ernstfall vorbereitet. Die IT-Sicherheit wird damit messbar.

Zusammenfassung der Handlungsempfehlungen

Die Q-SOFT GmbH berät mit langjähriger Expertise kommunale Unternehmen in der Planung, Umsetzung und Überwachung eines ISMS und bietet ein globales Netzwerk aus IT – Sicherheitsexperten. Unsere IT-Lösungen sind individuell in einem Baukastensystem zusammensetzbar. Zu dem Security-as-a-Service-Angebot gehören unter anderem Security Checks, das Aufspüren bestehender Schwachstellen, die Verwaltung mobiler Endgeräte sowie die Erstellung eines Notfallhandbuches. Damit unterstützen wir vor allem jene Betriebe, die eine funktionierende IT-Sicherheitslösung aufbauen wollen, aber die notwendigen Ressourcen und Qualifikationen intern nicht bereitstellen können.

 

Quellen: bsi.bund.de und bitkom.org

Artikel erwerben auf: vku-shop.de