Hacks auf Kundendaten

Informationssicherheits- Managementsysteme sollen helfen

05.10.2016

Phishingmails, gehackte Accounts, Diebstahl von Mieterdaten – bereits eine mit einem Schadcode gespickte E-Mail reicht aus, um erheblichen Schaden anzurichten. Unternehmen und Verwaltungen sollten das Problem Datenkriminalität ernstnehmen. Informationssicherheits-Managementsysteme (ISMS) gewinnen deshalb immer mehr an Bedeutung. Die fünf wichtigsten Erfolgsfaktoren für ein ISMS erläutert Tatjana Brozat, Referentin der TÜV NORD Akademie.

FOTO: PIXELIO/T.RECKMANN

Durch die Digitalisierung wird es immer einfacher, Daten untereinander auszutauschen, sei es zwischen Privatpersonen oder Unternehmen. Doch der erhöhte Datenfluss birgt enorme Risiken. Mit steigendem Austausch der Daten nimmt auch die Cyberkriminalität zu: Allein 2015 meldete das Bundeskriminalamt knapp 45.800 Fälle von Cyberkriminalität – die Dunkelziffer wird weitaus höher sein.

Gerade Unternehmen werden vermehrt Opfer von Angriffen auf ihre sensiblen Produkt- oder Kundendaten. Der Schutz der eigenen Firmendaten gewinnt daher stetig an Bedeutung. Und dies gilt nicht nur für Großunternehmen: Auch kleine und mittelständische Unternehmen müssen sich vermehrt mit dem wichtigen Thema Datensicherheit auseinandersetzen. Für den langfristigen Datenschutz ist es laut der Expertin unerlässlich, ein umfassendes ISMS einzuführen. „Ein rein technischer Schutz durch neue Server oder Firewall-Systeme reicht längst nicht mehr aus. Der Nutzen von organisatorischen Maßnahmen, die für zusätzlichen Schutz sorgen, wird leider oft unterschätzt. Häufig liegen gerade hier Schwachstellen, die von Kriminellen gnadenlos ausgenutzt werden.“

Folgende Faktoren sind laut Expertin nötig, um ein ISMS erfolgreich zu integrieren:
• Einbindung der Unternehmensleitung: Für die Einführung eines ISMS ist es unabdingbar, dass die Unternehmensleitung eingebunden ist. Diese muss die Maßnahme unterstützen und Leitlinien für die Informationssicherheit aufsetzen, die unter anderem die zu schützenden Informationen definieren.
• Bereitstellung von Ressourcen: Es müssen ausreichend finanzielle und personelle Mittel zur Verfügung stehen. Wichtig ist, dass je nach Unternehmensgröße ein Mitarbeiter abgestellt wird, der entsprechende Schulungen absolviert und als Beauftragter für Informationssicherheit (Chief Information Security Officer, CISO) das Management der Datensicherheit übernimmt. Bei größeren Unternehmen kann dieser durch Information
Security Officer (ISO) unterstützt werden. Entsprechende Schulungen bietet zum Beispiel die TÜV NORD Akademie an.
• Abteilungsübergreifendes Verständnis: Informationssicherheit nimmt auf alle Kerngeschäftsprozesse eines Unternehmens Einfluss. Daher ist es wichtig, dass allen Mitarbeitern über die interne Kommunikation die Relevanz und mögliche Konsequenzen verdeutlicht werden. Der Erfolg eines ISMS ist von der Einhaltung der Vorgaben maßgeblich abhängig.
• Auswahl passender Maßnahmen: Die gewählten Maßnahmen, die durch das ISMS eingeführt werden, sollten der Größe des Unternehmens angemessen sein und im Verhältnis zur Wirtschaftlichkeit stehen. Daher gilt es, zu Beginn organisatorische Maßnahmen, wie zum Beispiel ein Rollenund Berechtigungskonzept, festzulegen. Erst danach folgt die technische Umsetzung, wie beispielsweise die Einführung einer Mehr-Faktor-Authentifizierung unter Einsatz von Smartcards in Kombination mit
Passwörtern.
• Messmethoden festlegen: Zur Überprüfung des Erfolgs eines ISMS ist es wichtig, messbare „Key Performance Indicators“ zu bestimmen. Durch sie kann jährlich festgestellt werden, ob sich die Informationssicherheit im Unternehmen verbessert hat. Ein möglicher Indikator ist die Anzahl an Informationssicherheitsvorfällen, deren Zu- oder Abnahme in einem jährlichen Management Report festgehalten wird.

Fachtagung am 29. März 2017
Verwalter und Vermieter können sich am 29. März 2017 informieren lassen über weitere Maßnahmen, kritische Faktoren und aktuelle Praxisbeispiele.

Suchbegriffe: DatenklauDigitalisierungISMSPhishingSicherheitTÜV NORD AkademieVernetzung

Weitere Artikel