Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

LoopingCyber-Kriminalität nimmt immer mehr und immer neue Formen an. Informationssicherheit wird für Unternehmen aller Branchen weltweit zur zentralen Herausforderung und gehört längst auf die Vorstandsagenda. Oliver Wyman hat Schlüsselkriterien identifiziert, die für ein umfassendes und nachhaltiges Information Security Management erfolgsentscheidend sind.

Ein umfassender Schutz von Unternehmensdaten und -werten vor dem Zugriff Unberechtigter macht es erforderlich, mehrere Dimensionen von Bedrohungsszenarien in Erwägung zu ziehen. Diese können externer wie interner Natur sein. Berücksichtigt werden muss zudem auch die zunehmende digitale Transformation. So sehr die Digitalisierung wichtiger Treiber für Wachstum ist, so sehr erhöht sie die Anfälligkeit der Unternehmen für Cyber- Kriminalität.

Mehrdimensional ist auch das Ausmaß der Schäden: Imageverlust durch Datenlecks, finanzielle Einbußen durch Produktionsstillstand oder Diebstahl von Geschäftsgeheimnissen, operative Einschränkungen durch Manipulation von technischen Geräten. Betroffen sind nicht nur die Unternehmen. Bei Verstößen und nachweisbaren Sicherheitsmängeln können Vorstände und Führungskr.fte zur Verantwortung gezogen und in die Pflicht genommen werden. In einer aktuellen Studie der Oliver Wyman-Schwestergesellschaft Marsh nennen Risikomanager großer Unternehmen dementsprechend vor allem den Missbrauch von Kundeninformationen, den Verlust von Intellectual Property, Rufschädigung und – zunehmend – aufsichtsrechtliche Konsequenzen als Punkte, die ihnen die meisten Sorgen bereiten.

Vor diesem Hintergrund gehört das Thema Informationssicherheit auf die Vorstandsagenda. Erforderlich sind Sicherheitsmaßnahmen, die die gesamte Organisation einschließen. In technischer Hinsicht ist beispielsweise zu gewährleisten, dass kein unberechtigter Zugriff auf die Systeme im Unternehmen möglich ist. Im Zuge erweiterter Schulungsmaßnahmen müssen Mitarbeiter für das Thema Informationssicherheit sensibilisiert werden. Mit der Einführung nachhaltiger Führungsstrukturen und -mechanismen ist für die Sicherheit der Organisation zu sorgen. Prozesse wiederum sind so zu gestalten, dass sich Dritte keine Unternehmensdaten beschaffen können.

Hoher Nachholbedarf

Noch mangelt es vielerorts an der Erkenntnis, dass die Anforderungen an eine weitreichende Informationssicherheit mehrdimensional sind und die Risikobewertung einen ganzheitlichen Ansatz erfordert. Hauptgrund dafür ist aus Sicht von Oliver Wyman, dass in Unternehmen zu wenig Transparenz darüber besteht, welche Informationen tatsächlich schützenswert sind. Diese variieren je Unternehmen und Branche. Sind es bei einem Hersteller von Maschinen Baupläne oder Zugriffsdaten für Produktionsanlagen, können es bei Industriedienstleistern oder Marketingagenturen Kundendaten oder vertrauliche Projektinformationen sein.

„Informationssicherheit heiß nicht, von heute auf morgen die perfekte Sicherheit zu erreichen. Technische Verbesserungen lassen sich oftmals relativ rasch erzielen, organisatorische und prozessuale Veränderungen brauchen Zeit.“
Dr. Claus Herbolzheimer, Partner Strategic IT & Operations bei Oliver Wyman

Entsprechend groß ist der Nachholbedarf, was umfassende Sicherheit angeht. Sich allein auf die technische Kompetenz der IT-Abteilung oder ein funktionierendes Corporate Risk Management zu verlassen, reicht nicht aus. Letzteres kann angesichts der Vielschichtigkeit möglicher Bedrohungen und der daraus resultierenden komplexen Fragestellungen lediglich Basis für ein wirkungsvolles Information Security Management sein, das Prozesse und Strukturen ebenso anpasst wie technische Rahmenparameter, Unternehmenskultur und den Umgang mit Mitarbeitern.

Erfolgsentscheidende Faktoren

Für nachhaltige Informationssicherheit sind verschiedene Erfolgskriterien entscheidend. Dazu gehört in erster Linie die ganzheitliche Risikobewertung über alle Funktionen und Ebenen hinweg, die potenzielle Ziele ebenso berücksichtigt wie Bedrohungen und Maßnahmen. Von Bedeutung ist zudem, sich Klarheit über die wichtigsten Informationswerte und Daten des Unternehmens zu verschaffen. Damit sind die Informationen, Produkte, Bereiche, Prozesse oder Systeme gemeint, die für das Unternehmen von strategischer Relevanz und daher unbedingt zu schützen sind. Zugleich führt kein Weg daran vorbei, im Blick zu haben, wie sich deren Stellenwert durch die digitale Transformation oder die Entwicklung des Geschäftsmodells verändern wird.

Bild 1: Ein unternehmensweiter Rahmen für das Information Security Management.

Bild 1: Ein unternehmensweiter Rahmen für das Information Security Management.


Darüber hinaus gilt es, sich infrage kommende Schädigungsszenarien zu vergegenwärtigen, die Risikobereitschaft festzulegen und zentrale Maßnahmen für den Informationsschutz zu verankern. Diese reichen von der Definition einer klaren Strategie zum Schutz aller relevanten Unternehmensinformationen über den Aufbau entsprechender Governance-Strukturen bis hin zu regelmäßigen Audits sowie Prozesskontrollpunkten, die es ermöglichen, das Ausmaß der Bedrohungen jederzeit abschätzen zu können (Bild 1).

Kontinuierlicher Prozess

Informationssicherheit heißt nicht, von heute auf morgen die perfekte Sicherheit zu erreichen. Während sich eine technische Verbesserung oftmals relativ rasch erzielen lässt, können organisatorische und prozessuale Veränderungen bis zu einem Jahr dauern. Am zeitintensivsten ist es in der Regel, die Mitarbeiter zu sensibilisieren.

Bild 2: Vorgehen im Bereich der Informationssicherheit.

Bild 2: Vorgehen im Bereich der Informationssicherheit.


Steht das Fundament, wird moderne Informationssicherheit zu einem fortlaufenden Prozess, der je nach Ausprägung und Unternehmensgröße unterschiedlich aufwendig ist. Diesen gezielt zu steuern erfordert eine übergeordnete Sicherheitsinstanz. Das kann ein Chief Information Security Officer sein, ein erweiterter Datenschutzbeauftragter oder ein Vorstandsmitglied, dessen Aufgabenbereich entsprechend aufgestockt wird.

Für alle Unternehmen ist es jetzt an der Zeit zu handeln. Cyber-Kriminalität wird weiter zunehmen und noch vielfältiger werden. In der Folge werden auch die Schäden für die Unternehmen ein noch größeres Ausmaß annehmen. Dem gilt es Vorschub zu leisten – mit einem ganzheitlichen Information Security Management.

Dr. Claus Herbolzheimer

www.oliverwyman.de

Fachartikel aus it security Mai 2015, Seite 14-15

GRID LIST
Tb W190 H80 Crop Int 736a65166cde31ad5dffda5c8dd250fc

Cybersicherheit bei M & A-Transaktionen – Die unterschätzte Gefahr

Die aktuellen wirtschaftlichen und politischen Turbulenzen in einigen Staaten Europas und…
Tb W190 H80 Crop Int 59c0f6503daa36156da927e434e5a40f

Die 3 gefährlichsten Angriffsvektoren

Dieses Jahr hat Verizon bereits zum elften Mal seinen Data Breach Investigations Report…
Emergency

Fünf Must-haves für ein effektives Krisenmanagement

Everbridge, Spezialist für Critical Event Management, erläutert, wie Unternehmen bei…
Tb W190 H80 Crop Int 473f1a871a5501d106c3efe11521f17a

Schwachstellenmanagement ohne Priorisierung ist ein Ding der Unmöglichkeit

Schwachstellenmanagement beziehungsweise Vulnerability Management ist ein unverzichtbarer…
Tb W190 H80 Crop Int 28ce87d7cd96844fa4f1f9d045c20067

Network Box schützt „Kronjuwelen“

Die IT-Branche in Deutschland wächst. Mittlerweile arbeiten rund eine Million Menschen in…
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Smarte News aus der IT-Welt