300 Millionen Dollar – diesen Betrag schätzt die Unternehmensgruppe A.P. Møller-Mærsk hat der Angriff im Juni 2017 mit einer Erpressersoftware den Reederei-Konzern gekostet. Weltweit hatten Angreifer die größte Container-Reederei der Welt zeitweise lahmgelegt. Wichtige Daten ließen sich nur wiederherstellen, weil ein einziges Back-up in Ghana damals zufällig durch einen Stromausfall vom Netz getrennt war und daher nicht überschrieben wurde.1, 2

Informationssicherheit im Unternehmen darf kein optionales Feature sein, sondern ist ab sofort Chefsache!

Wenn es um Aufbau und Einführung eines Informationssicherheitsmanagementsystems (ISMS), den Maßnahmen zur Informationssicherheit oder die Vorbereitung auf ein externes Informationssicherheitsaudit geht, macht die Unterstützung durch echte Experten den Unterschied. Der Standard ist dabei schwer ohne Unterstützung umzusetzen, egal ob VdS 10000, ISO 27001, TISAX oder BSI IT-Grundschutz. Die Anforderungen sind oft so abstrakt, dass Unternehmen Schwierigkeiten haben, sie richtig anzuwenden.

Wir stellen für Ihr Unternehmen den Informationssicherheitsbeauftragten; zu unseren Aufgaben zählen beispielsweise:

  • den Sicherheitsprozess zu steuern und zu koordinieren,
  • die Leitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen,
  • die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren,
  • Realisierungspläne für Sicherheitsmaßnahmen anzufertigen sowie ihre Umsetzung zu initiieren und zu überprüfen,
  • der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten,
  • sicherheitsrelevante Projekte zu koordinieren,
  • sicherheitsrelevante Vorfälle zu untersuchen sowie
  • Sensibilisierung und Schulungen zu initiieren und zu koordinieren.

Was sind Schutzziele?

Die Schutzziele kann man sich gut merken: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Es gibt noch weitere IT-Schutzziele wie Authentizität, Verlässlichkeit und Nichtabstreitbarkeit. Dieser sogenannten CIA-Triade kommt im Informationssicherheitsmanagement aber stets ein hoher Stellenwert zu.

Standards, Standards, Standards

Es gibt zahlreiche nationale und internationale Standards. Die Entscheidung für oder gegen einen Standard ist eine strategische Unternehmensentscheidung, die von vielen Faktoren abhängig ist, wie z.B. internationales Geschäft, bestimmte Branchen oder Sektoren, KRITIS, Unternehmensgröße. Relevante Standards sind beispielsweise

  • ISO 27001 auf Basis BSI IT-Grundschutz als nationaler Standard insbesondere für KRITIS.
  • ISO 27001 als internationaler Standard für ISMS.
  • TISAX ist ein Akroym für Trusted Information Security Assessment und ist ein spezieller Standard für die Autobilindustire. Jeder Zulieferer wird ein sog. TISAX-Label nachweisen müssen, will das Unternehmen weiter dem Automobilhersteller zuliefern.
  • VdS 10000 ist als Nachfolger von VdS 3473 speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein gutes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern.
  • VdS 10005 ist ein speziell für Klein- und Kleinstunternehmen und Handwerksbetriebe zugeschnittener reduzierter Standard.
  • Spezielle Branchenstandards wie z.B. PCI DSS, MaRisk, VAIT, BAIT, KAIT für die Finanzindustrie
  • NIST CSF (Cyber Security Framework) bietet eine umfassende Taxonomie von Zielen der Cybersicherheit und eine Methodik zur Bewertung und Verwaltung dieser Ziele“. Sie soll Organisationen des privaten Sektors, die kritische Infrastrukturen bereitstellen, als Leitfaden für deren Schutz dienen, zusammen mit den entsprechenden Datenschutzmaßnahmen..
  • NAS9933: Die Luft- und Raumfahrt- sowie die Verteidigungsindustrie sind bestrebt, Cyber-Bedrohungen stets einen Schritt voraus zu sein und die Widerstandsfähigkeit im komplexen Cyber-Sicherheitssystem. Es braucht dynamische, risikobasierte Lösungen zur Bewältigung von Cyber-Bedrohungen. Die statische Einhaltung von „Checklisten“, wie sonst üblich in der Luft- und Raumfahrt, reicht nicht aus.

Informationssicherheit und Datenschutz

Was unterscheidet Datenschutz von Informationssicherheit und was ist das genau? Häufig werden die beiden Begriffe synonym verwendet, oft durcheinander gebracht und verwechselt. Den Datenschutz aber von der IT-Sicherheit zu unterscheiden, ist in der Praxis schwierig.

Datenschutz an sich ist aber eine strenge gesetzliche Anforderung. Jeder Unternehmer, jedes Unternehmen muss diese Anforderungen umsetzen und korrekt anwenden. Dabei geht es um den Schutz von „personenbezogenen Daten“, also alle Daten und Informationen, die einen eindeutigen Rückschluss auf eine konkret bestimmbare Person erlauben. Das ist bei Kunden-, Mandanten- oder Patientendaten so, wobei letztere strenger geschützt werden müssen.

Informationssicherheit hingegen liegt im eigenen Interesse des Unternehmens. So werden Lieferanten häufig von Key Accounts aufgefordert, ein Zertifikat nach ISO 27001, VdS 10000 oder IT-Grundschutz nachzuweisen. Oder Versicherer fordern dies bei Abschluss einer Cyber-Risk-Versicherung. Sie soll gewährleisten, dass unternehmensinterne Informationen jederzeit vertraulich, integer und verfügbar sind.

Manchmal kommt es zu einem Interessenkonflikt zwischen Datenschutz und Cyber-Sicherheit, z.B. bei der Protokollierung von Zugangsdaten. Hier können Experten wie firstbyte digital consulting e.K. aber gute Lösungen etablieren.

Übersicht Cyber-Angriffe

2015 Angriff auf deutschen Bundestag
2016 Router der Deutschen Telekom
2016 Lukaskrankenhaus Neuss
2018 Informationsverbund Berlin-Bonn
2018 Krauss-Maffei GmbH München
2019 Kammergericht Berlin (vgl. mit Oberlandesgericht)
2019 Klinikum Fürth
2019 DRK Südwest (insgesamt 13 Krankenhäuser und Pflegeheime)
2020 Uniklinik Düsseldorf
2021 Coronavirus (kein Scherz!)
2022 Sixt Autovermietung
2022 Nordex SE
2022 DDoS: Bundesministerium der Verteidigung, mehrere Poizeibehörden und den Deutschen Bundestag

Schäden durch Cyber-Angriffe

Der Heise-Verlag (c’t) wurde von Emotet befallen. Zwar wurde der Angriff rechtzeitig bemerkt, dennoch war der Schaden immens: 14 Tage keine nutzbare IT-Infrastruktur, 50.000 Euro für externe Hilfen, 500.000 Euro Investitionen in die Ertüchtigung der IT-Sicherheit
(technisch und organisatorisch). Das Kammergericht Berlin war lange Zeit nur noch auf analogem Wege zu erreichen: die gesamte IT-Infrastruktur musste ersetzt werden. Unter Umständen können zudem noch Meldepflichten nach Art. 33 und Art. 34 DSGVO ausgelöst werden – und zwar binnen 72 Stunden ab bekannt werden.

Versicherer bieten einen vermeintlichen „einfachen“ Ausweg: Cyber-Risk-Versicherungen. Der Abschuss einer solchen Versicherung erscheint grundsätzlich angezeigt, doch ein Blick in die Versicherungsbedingung tut Not: oftmals werden dem Versicherungsnehmer Pflichten auferlegt, die ein Informationssicherheits- und/oder Datenschutz-Managementsystem in Grundzügen voraussetzen. Neben den zu treffenden technischen und organisatorischen Maßnahmen sollte vom Versicherungsnehmer vorher überlegt werden, wie Dokumentationen und Nachweis erbracht werden können.

Stillstand ist Bedrohung

Daher engagiert sich firstbyte digital consulting in namhaften Verbänden und Projekten wie im Cyber Security Cluster Bonn, der Allianz für Cyber-Sicherheit, nrw·units oder auch dem IT-Forum Oberberg.

Datenschutz Informationssicherheit Business Continuity Digitalisierung

Informationssicherheit

  • Implementierung TISAX, VdS 10000, IT-Grundschutz, ISO 27001

  • Risikoanalysen und -bewertungen

  • Schulungen Ihrer Mitarbeiter

  • Interne Audits & Self-Assessments

  • Integration mit Datenschutz