IT Sicherheit ist Chefsache

Wir haben uns zur Aufgabe gemacht, mittelständische Unternehmen für die ganzheitliche Umsetzung Ihrer Informationssicherheit zu begeistern, sie gegen Angriffe zu schützen und Ausfälle zu minimieren. Wir verfügen über fundiertes, umfassendes und aktuelles Knowhow aus der Praxis und beugen mit unserem neutralen Blick Betriebsblindheit vor. Mit uns als externem Dienstleister ist eine schnelle und bedarfsgerechte Umsetzung garantiert.

 

 

WAS VIELE NICHT WISSEN - Beispiele aus der Praxis

1. Ihr Lieferant wird angegriffen und gehackt. Die Angreifer senden eine gefälschte PDF-Rechnung mit veränderter Bankverbindung.

 

2. Ihrem IT-Dienstleister wurden alle Zugangsdaten für die Fernwartung gestohlen!

 

Die Details zu diesen Fällen und den dadurch entstandenen Schaden lesen Sie weiter unten!

 

IT-Sicherheit ist nur ein Teilaspekt der Informationssicherheit.

 

In der Informationssicherheit geht es nicht nur um IT-Technik, sondern um alle relevanten Prozesse und Abläufe. 

Nur 25% beziehen sich auf IT-Sicherheit. Und somit 75% auf Prozesse, Abläufe und der dabei beteiligten Menschen.

 


Genau deshalb muss das Thema übergeordnet von der Geschäftsleitung gelenkt und kontrolliert werden!

In Gesprächen mit Anwendern und Entscheidern zum Thema Informationssicherheit werden wir häufig mit solchen "Kernthesen" konfrontiert: 

 

"Unsere Daten interessieren doch niemanden."

 

"Die NSA kann trotzdem mitlesen."

 

"Wir haben nichts zu verbergen. "

 

"Für Hacker sind wir nicht interessant genug, da gibt es bessere Ziele"

 

"Sicherheit macht alles kompliziert und unpraktisch. "

 

"100% Sicherheit gibt es eh nicht"

 

"Das macht unsere IT-Abteilung schon alles."

 

„Ich glaube wir sind nicht so schlecht aufgestellt.“

Meine Frage an Sie: „Möchten Sie die Sammlung ergänzen oder wollen Sie Ihr Unternehmen wirklich schützen?“

Viele Anwender und Entscheider sind aufgrund der ständig wachsenden Anforderungen in der Digitalisierung mit den vielen neuen Möglichkeiten und Trends nicht mehr in der Lage, die dynamische Entwicklung und Komplexität ganzheitlich zu überblicken. 

Es ist nicht mehr möglich neben dem Tagesgeschäft alle Herausforderungen zu händeln und vor allem auch nicht die neuesten Entwicklungen gerade auf krimineller Seite mitzubekommen oder gar zu verhindern.

Ziel der Informationssicherheitsstrategie ist nicht, sämtliche technischen Neuerungen auf dem IT-Security-Markt zu validieren und einzuführen oder sich gegen die Möglichkeiten eines staatlichen Dienstes zu rüsten. 

Vielmehr muss die Schwelle für den Missbrauch von Daten und Systemen von innen wie außen durch wirksame Maßnahmen möglichst hoch gesetzt und vorhandene Lücken geschlossen werden!

 

Auch Sicherheitsgurte und Airbags schützen im Auto nicht vor tödlichen Unfällen, aber würden Sie trotzdem darauf verzichten wollen?

 

Einige wichtige Bereiche der Informationssicherheit, deren Schutz in Unternehmen häufig nicht ausreichend sind und eine Umsetzung die IT-Abteilung oder Dienstleister „alleine“ nicht leisten kann, sind unter anderem: 


Lieferantenbeziehungen



Geschäftsfortführung



Personalsicherheit



Umgebungssicherheit



Durch die Vernetzung erhalten Lieferanten in gewisser Weise Zugriff auf ihre Daten. Das ist so als würden Sie jemand den Schlüssel zu ihrem Haus geben. Und deshalb ist das notwendigerweise sehr überwachungsbedürftig.



Nur zwei Beispiele für Sicherheitsvorfälle mit Lieferanten aus der Praxis:

1. Ihr Lieferant für hochpreisige Einkaufsteile wird angegriffen und gehackt. Die Angreifer lesen über Monate den Mail-Verkehr mit und senden eine mit Photoshop bearbeitete, also gefälschte PDF-Rechnung (als Basis diente eine alte Rechnung aus den gesendeten Objekten), mit korrekten Daten von einem realen Auftrag, aber mit veränderter Bankverbindung. Der Betrug ist auf dem gefälschten PDF-Dokument ist mit bloßem Auge nicht zu erkennen. Der Versand der E-Mail erfolgte über den gekaperten E-Mail-Account.

Schaden: Ein hoher 5-stelliger Betrag. 

2. Ihr IT-Dienstleister wird gehackt. Alle Zugangsdaten für die Fernwartung seiner Kunden wurden gestohlen! Die Diebe haben Zugriff auf Daten und Netzwerke seiner Kunden!

Schaden: Nicht bezifferbar

Meine nächste Frage: „Können Ihre aktuellen Prozesse und Maßnahmen diese Angriffe abwehren?“

Einige Auszüge wichtiger Regelungen und Maßnahmen in weiteren Bereichen der Informationssicherheit:

In der Personalsicherheit sind Nutzung und Verhalten in sozialen Netzwerken, Verschlüsselung vertraulicher Daten, auch für IT-Admins zu regeln. Und zu verstehen, warum eine gruppenbasierte Verschlüsselung notwendig ist. 

Kontrollen vor und nach der Anstellung, aber auch während der Anstellung: z.B. benötigt ein Mitarbeiter, der über 20 Jahre beschäftigt ist und vom Praktikanten zum Abteilungsleiter aufgestiegen ist, wirklich alle Zugänge der letzten 20 Jahre und welches Gefahrenpotential wurde zwischenzeitlich generiert?  


  

Ein Schlüssel zum Erfolg - der ISB 

 

Die Bestellung eines „neutralen“ Informationssicherheitsbeauftragten (ISB) mit Aufgaben zu internen Audits - oder kann sich z.B. auch eine IT-Abteilung wirklich selbst überwachen und regelmäßig kritisch hinterfragen? Der regelmäßige Bericht des ISB an die Geschäfts-leitung bewahrt Ihnen unter anderem auch die eigene Handlungsfähigkeit.

 

 

Die Informationssicherheit ist für Ihren Geschäftsbetrieb – jetzt und vor allem zukünftig – genauso wichtig wie Managementsysteme, die Sie schon erfolgreich umgesetzt haben und kontinuierlich verbessern.

🗸 Qualität

 

🗸 Arbeitssicherheit

 

🗸 Umwelt

 

🗸 Energie

 

?  Informationssicherheit

 

Ich wünsche mir, dass ich Sie überzeugen konnte und spätestens jetzt wahrnehmen, dass Informationssicherheit nicht nur auf IT fokussiert ist. Obwohl die IT wichtig ist, kann sie allein nicht alle Informationen schützen. Physische Sicherheit, Menschen, Rechtssicherheit, Personalmanagement, organisatorische Belange.

Nur alles zusammen wird bei der Wandlung in der Cyber-Kriminalität mit der stetig wachsenden Gruppe von organisierten „bösen Menschen“, deren verfügbaren Werkzeuge und dem Tempo der Digitalisierung, die Informationen, Ihren Geschäftsbetrieb und positiven Erfolg sichern.

 

Schützen Sie Ihre Lebensadern! 

 

Starten Sie mit der dauerhaften Optimierung Ihrer Informationssicherheit.

Mit unserer Unterstützung zu Ihrem Informationssicherheitsmanagementsystem (ISMS) mit der erfolgreichen und praxisorientierten Methode ISIS12® oder ISO/IEC27001.


Wir bieten Ihnen hiermit einen unverbindlichen Termin an, damit wir im gemeinsamen Gespräch Ihren Schutzbedarf analysieren und nötige Schritte einleiten, um die nachhaltige Sicherheit für Ihr Unternehmen zu gewährleisten.

 

 

Herzliche und sichere Grüße, 

Ihr Siegfried Honold