Cyberattacken, Datenlecks, Ausbeutung (Exploits) von Schwachstellen in Hard- und Software: Diese Bedrohungen gehören zunehmend zum Geschäftsalltag. Den meisten Unternehmen ist bewusst, dass Handlungsbedarf besteht.
Wo genau muss gehandelt werden? Mit welchen Mitteln kann man die Informationssicherheit erhöhen? Um diese Fragen und die damit verbundenen Herausforderungen kümmert sich das Informationssicherheitsmanagement. Das Ziel ist der Schutz aller relevanten Informationen, wobei nicht alle gleich stark geschützt werden müssen. Deshalb lohnt es sich, zuerst den Schutzbedarf der Informationen und das anzustrebende Schutzniveau zu definieren. Abgesehen vom Eigeninteresse zwingen die hohen Sanktionen der EU-Datenschutzgrundverordnung (DSGVO), die in abgeschwächter Form auch im neuen schweizerischen Datenschutzgesetz vorgesehen sind, die Unternehmen zum Handeln. Diese müssen sich mit dem Thema Informationssicherheit auseinandersetzen und ihre personenbezogenen Informationen schützen.
Standards und Massnahmenempfehlungen
Um einen angemessenen Schutz gewährleisten zu können, sollten folgende Fragen beantwortet werden: Welche Informationen sind zu schützen? Wie werden die zu schützenden Informationen verarbeitet? Wie hoch ist der Schutzbedarf der involvierten Prozesse, Applikationen oder Systeme? Anschliessend gilt es, den Schutz der eigenen Infrastruktur zu analysieren und den Ist-Zustand mit dem Soll-Zustand zu vergleichen. Die Einbeziehung eines Standards hilft, die Informationssicherheit umfassend zu beurteilen. Der internationale Standard ISO 2700x sowie das frei verfügbare IT-Grundschutzkompendium des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) liefern wertvolle Massnahmenempfehlungen. Die Abweichungen vom Standard zeigen Handlungsfelder und Möglichkeiten auf, wie die Informationssicherheit auf den definierten Schutzbedarf angehoben werden kann.
Managementsysteme für Informationssicherheit
Standards liefern allgemeingültige Massnahmenempfehlungen, um ein Basis-Schutzniveau zu erreichen, das für möglichst viele Unternehmen als ausreichend betrachtet werden kann. Doch genügen diese allgemeingültigen Empfehlungen nicht in jedem Fall, deshalb empfiehlt es sich, kritische Schutzobjekte zusätzlich einer Risikoanalyse zu unterziehen und daraus entsprechende Massnahmen abzuleiten. Informationssicherheit ist kein Zustand, sondern ein Prozess: Die Bedrohungslage und die technischen Schutzmöglichkeiten ändern sich ständig, deshalb ist es notwendig, die Informationssicherheit immer wieder zu analysieren. Ansätze, wie ein Informationssicherheits-Managementsystem (ISMS) bzw. ein entsprechender Prozess aussehen kann und wie dieser organisiert und aufgebaut wird, liefern der ISO-Standard 2700x und das BSI.
first frame networkers bieten Security-Checks an
Die Security-Checks der first frame networkers liefern interessierten Unternehmen auf eine effiziente Art und Weise einen Überblick über den Zustand ihrer Informationssicherheit. Wir präsentieren unsere Erkenntnisse und liefern Massnahmenempfehlungen zur Erhöhung der Informationssicherheit. Mehr zum Thema Informationssicherheit ist auch auf der Website secnovum.ch zu finden. Secnovum, eine Initiative verschiedener IT-Unternehmen, darunter die first frame networkers ag, fördert die IT-Sicherheit in Schweizer KMU.
