wissen.de Artikel

ISMS: Ganzheitlich gegen Cyberattacken schützen

Die Gefahr durch Cyberangriffe scheint heute allgegenwärtig. Trotzdem gewinnt das Thema nur langsam für Unternehmen an Relevanz. Doch es ist Besserung in Sicht. Dazu hat auch das IT-Sicherheitsgesetz einen entscheidenden Beitrag geleistet. Immer mehr Entscheider befassen sich mit Informationssicherheitsmanagementsystemen (ISMS).

Die zunehmende Vernetzung in allen Lebensbereichen bietet Angreifern eine immer größere Angriffsfläche.

pixabay.com, PeteLinforth (CC0 1.0)

Nicht einmal zwei Tage braucht der Angreifer, um sein skrupelloses Vorhaben umzusetzen. Nur wenige Mausklicks, dann steht ihm die Leitwarte schutzlos offen. Für ihn war es ein Kinderspiel, die Folgen sind jedoch keinesfalls lapidar: Die 40.000 Einwohner der Gemeinde Ettlingen stehen ohne Strom und Wasser da, haben kein Licht, keine Kühlung und keine Versorgung mit Kraftstoff.

Es klingt wie das Skript für einen Thriller, doch ist es ein durchaus realistisches Szenario. Vor rund zwei Jahren hat ein Hacker weniger als zwei Tage gebraucht, um die Kontrolle über die Energieversorgung der Stadtwerke Ettlingen zu übernehmen. Allerdings steckten hinter dem Angriff keine bösen Absichten. Der Cyberangriff geschah im Auftrag eines Versorgungsunternehmens, das den Penetrationstest für eine Dokumentation des TV-Senders Arte hatte durchführen lassen.       

Warum sind so viele Lebensbereiche von Cyberattacken bedroht? Die Ursache liegt in der zunehmend vernetzten Gesellschaft. Sie bietet Hackern eine geradezu ideale Angriffsfläche. Windkrafträder, Solarenergie- und Biogasanlagen sowie Kohle- und Atomkraftwerke – sie alle sind heute miteinander verbunden. Auch werden alltägliche Prozesse von meist unzureichend geschützten Computern gesteuert. Das gilt für Ampelanlagen, Aufzüge, Autos genauso wie für die Heizung im Eigenheim. Hinzu kommt der Durchschnittsbürger, der mit seinem Smartphone heutzutage meistens online ist.  

Kritische Infrastrukturen: ISMS ist Pflicht

Doch sind Unternehmen Hackerangriffen keinesfalls schutzlos ausgeliefert. Tatsächlich hat sich die Situation sogar gebessert. Die Verabschiedung des IT-Sicherheitsgesetzes im vorletzten Jahr hat die Rahmenbedingungen für mehr Informationssicherheit optimiert, da es nun einheitliche Regelungen gibt, um dem Blackout vorzubeugen. Das Gesetz verpflichtet die Betreiber kritischer Infrastrukturen, beispielsweise von Krankenhäusern oder auch Energieversorgern, geeignete Schutzmaßnahmen in ihrem Unternehmen umzusetzen.

Für die Meldung von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen sie etwa Kontaktstellen einrichten. Ferner zählt dazu die Installation eines Informationssicherheitsmanagementsystems (kurz: ISMS) gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung bis zum 31. Januar 2018. Die Verantwortung hierfür liegt bei der Geschäftsleitung der betroffenen Unternehmen.

Zu lange schenkten viele Betreiber wichtiger Infrastrukturen Informationssicherheit wenig Beachtung. Sie legitimierten ihr achtloses Verhalten mit Scheinargumenten. Die ausbleibenden Investitionen wurden mit Verweis auf die Kosten begründet, doch übersteigt das drohende Schadenspotenzial die Investitionssumme deutlich. Das BSI prägte vor nicht allzu langer Zeit in diesem Zusammenhang auch den Terminus „digitale Sorglosigkeit“.

Penetrationstest: Sicherheitslücken aufdecken

Nach einem erst nur sehr zurückhaltenden Interesse unmittelbar nach Inkrafttreten des IT-Sicherheitsgesetzes im Sommer 2015, ist seit Jahresbeginn 2016 eine deutliche Nachfragesteigerung im Markt zu spüren. Eine große Zahl der Akteure erkennt die neuen Anforderungen und Herausforderungen und ist bereit, sich dieser anzunehmen. Sie suchen nun nach praktikablen und wirtschaftlich vertretbaren Wegen der Umsetzung. Die Wirtschaftlichkeit der Projekte muss zwar beachtet werden, dabei darf aber nicht die zügige und fristgerechte Abwicklung aus den Augen gelassen werden.

Letztlich bieten die Anforderungen des Gesetzgebers sogar eine große Chance. Das Management der Informationssicherheit erfordert ein grundlegendes, integriertes Konzept, bei dem am Anfang die Bestandsaufnahme steht. Dabei werden zunächst die technischen Voraussetzungen auf Herz und Nieren geprüft: Sind wirklich sämtliche Betriebssysteme, Firewalls und die Antivirensoftware auf dem neusten Stand? Wertvolle Erkenntnisse über den Istzustand liefert dabei der sogenannte Penetrationstest durch ethische Hacker, die Angriffe von außen lediglich simulieren und ein Protokoll an ihre Auftraggeber übermitteln.

ISMSbox: flächendeckende Informationssicherheit

Die Ceyoniq ISMSbox erleichtert es Anwendern, die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen und stellt damit ein zentrales Werkzeug zur Etablierung eines normgerechten ISMS dar. Das System eignet sich als eine umfangreiche Dokumenten- und Informationsmanagementlösung zur Dokumentation und Kontrolle der Informationssicherheit. Dies beinhaltet die von der Norm geforderte IST-Aufnahme, einem integrierten Risikomanagement, den daraus resultierenden Maßnahmen und deren Dokumentation. Die Ceyoniq ISMSbox basiert auf der internationalen Norm für Informationssicherheit, ISO/IEC 27001. Das System ermöglicht eine strukturierte, versionierbare und revisionssichere Ablage der Dokumente – ein wichtiger Baustein eines ISMS. Die neueste Version der Ceyoniq ISMSbox verfügt über ein integriertes Vorfallsmanagement, das den Zyklus einer ISMS-Organisation nun komplettiert.

Mensch und Maschine schulen

Doch auch auf personeller Ebene müssen Unternehmen zum Schutz ihrer Informationssysteme geeignete Maßnahmen treffen. Sie müssen sich letztendlich auf jeden Mitarbeiter erstrecken, vom Auszubildenden bis zum Geschäftsführer. Die brisante Frage lautet: Was nützt ein ausgeklügeltes Sicherheitssystem, wenn die Mitarbeiter selbst ein Sicherheitsrisiko darstellen? Die Kommunikation der wichtigsten Regeln und Maßnahmen ist dabei von höchster Priorität. Die Sicherung mobiler Endgeräte durch Passwörter ist eigentlich eine Selbstverständlichkeit, nur – schwer zu glauben – häufig nicht für Administratoren und Geschäftsführung. 

Wie lässt sich die potenziell verheerende Sorglosigkeit der Mitarbeiter zu einem höheren Bewusstsein für Informationssicherheit formen? Zunächst muss mit einem zentralen Verantwortlichen eine neue Stelle geschaffen werden. Es ist nötig, dass dieser Mitarbeiter die Einsicht in relevante Prozesse sowie Weisungsbefugnis erhält. Er muss unmittelbaren Kontakt zur Leitungsebene aufnehmen können, um die erforderlichen Standards zu etablieren. Doch es bedarf auch der Überzeugung und des Bewusstseins der Mitarbeiter. Die Awareness für die Risiken muss bei allen Angestellten des Unternehmens und der Leitungsebene ausgeprägt sein. Die Etablierung einer eigenen Informationssicherheitsmarke kann laut Experten wie der Ceyoniq Technology dabei helfen, diese Grundlagen zu generieren.

Weitere Infos: www.ceyoniq.com

Über die Ceyoniq Technology GmbH:

Seit mehr als 25 Jahren ist die Ceyoniq Technology GmbH Hersteller branchenübergreifender, intelligenter Softwarelösungen in den Bereichen DMS, ECM & EIM auf Basis der Informationsplattform nscale. Mithilfe dieser modularen, skalierbaren und hochflexiblen Informationsplattform können komplexe Geschäfts- und Kommunikationsprozesse optimiert, Daten zu werthaltigen Informationen aufgewertet und Dokumente revisionssicher und beweiskräftig archiviert werden. Hinzukommt ein umfassendes Consulting-Portfolio für die  IT-Strategie- und Prozessberatung der Versorgungs- und Versicherungswirtschaft. Die Ceyoniq Technology GmbH ist ein Tochterunternehmen der KYOCERA Document Solutions Inc. und beschäftigt am Hauptsitz in Bielefeld sowie an weiteren bundesweiten Standorten mehr als 150 Mitarbeiter.

 

Mehr Artikel zu diesem Thema

Weitere Lexikon Artikel

Weitere Artikel aus der Wissensbibliothek

Weitere Artikel aus dem Wahrig Synonymwörterbuch

Weitere Artikel aus dem Wahrig Fremdwörterlexikon

Weitere Artikel aus dem Wahrig Herkunftswörterbuch

Weitere Artikel aus dem Vornamenlexikon