Informationssicherheit: Chefsache – Fachartikel für das IHK-Magazin

Angesichts der Bedrohungslage ist es bemerkenswert, dass Informationssicherheit in mittelständischen Unternehmen immer noch stiefmütterlich behandelt und die Verantwortung gerne abgegeben wird. Aber das Thema gehört in die Chefetage, so Christian Breitbarth, Geschäftsführer der Daiseco GmbH und ISO 27001 Lead Auditor beim TÜV Rheinland.

IT-Sicherheit, Cybersicherheit und Informationssicherheit werden von Entscheidungsträgern häufig synonym verwendet oder verwechselt. Für ein einheitliches Verständnis ist es daher wichtig, sich zunächst über die Bedeutung dieser Begriffe im Klaren zu sein.

• IT-Sicherheit …
  … oder IT-Security benennt den Schutz von informationstechnischen Systemen vor Schäden und Bedrohungen.
• Cybersicherheit …
  … befasst sich mit allen Aspekten der IT-Sicherheit, wobei sich das Handlungsgebiet auf den Cyberspace erstreckt. Angesichts neuartiger Bedrohungen aus dem Internet, wie Phishing, Ransomware und Deepfakes, liegt der Schwerpunkt auf der Früherkennung und Behandlung potenzieller Cyberangriffe.
• Informationssicherheit …
  … bezeichnet den Schutz von Informationen in jeglicher Form, sei es digital auf einem Datenträger oder analog auf Papier. Informationssicherheit geht somit über IT-Sicherheit und Cybersicherheit hinaus, da sie neben dem Schutz technischer Systeme auch nicht-technische Systeme und die „Schwachstelle Mensch“ berücksichtigt.

Fünf Gründe, weshalb Informationssicherheit in die Chefetage gehört

Informationssicherheit wird – getrieben durch die Digitalisierung – weiter an Bedeutung gewinnen, und viele mittelständische Unternehmen sind darauf nicht ausreichend vorbereitet. Mein Appell lautet daher, dem Thema einen höheren Stellenwert einzuräumen und es zur Chefsache zu machen. Dafür gibt es fünf Gründe:

1. Keine Digitalisierung ohne Informationssicherheit
   Spätestens seit der Corona-Pandemie ist die digitale Transformation auch im Mittelstand angekommen. Die Geschwindigkeit der Digitalisierung bedeutet jedoch auch neue Angriffsflächen für Cyberkriminelle und eine starke Abhängigkeit von Technologieunternehmen. Die Geschäftsführung sollte in der Lage sein, diese Risiken einzuschätzen und bei Entscheidungen zu berücksichtigen.
2. Steuerungsverantwortung ist nicht delegierbar
   Bei Geschäftsprozessen wie der Produktion oder dem Rechnungswesen ist es selbstverständlich, dass es Kennzahlen zur Messung gibt und die Verantwortung für die Steuerung bei der Unternehmensleitung liegt. Im Bereich der Informationssicherheit ist das Abwälzen der Verantwortung auf die IT-Abteilung oder den IT-Dienstleister leider keine Seltenheit. Aber auch hier gilt, dass die Geschäftsführung zwar Teilaufgaben delegieren, nicht aber die Verantwortung abgeben kann.
3. Schäden können existenziell werden
   Neben direkten finanziellen Verlusten durch Betriebsunterbrechungen und Lösegelderpressungen können Reputationsschäden schnell existenzbedrohend werden. So geschehen im Jahr 2022 bei Continental: Dem Automobilzulieferer wurden bei einem Cyberangriff 40 Terabyte an Daten gestohlen. Darunter: Softwarecodes für Steuergeräte der OEM-Kunden, Strategie- und Investitionspläne sowie Personaldaten. Im Mittelstand hätte ein solcher Vorfall einen nachhaltigen Schaden für das Unternehmen zur Folge.
4. Vertragliche und regulatorische Anforderungen steigen
   Mit der DSGVO und der im letzten Jahr verabschiedeten NIS-2-Richtlinie setzt sich der Trend zu mehr Regulierung fort, aber auch immer mehr Geschäftsbeziehungen setzen ein nachgewiesenes Maß an Informationssicherheit voraus. Um die Informationssicherheit in der Lieferkette zu gewährleisten, setzt unter anderem die Automobilindustrie auf einen eigenen Standard namens TISAX®, nach dem sich Zulieferer zertifizieren lassen müssen. Übrigens: Verstößt die Geschäftsführung gegen gesetzliche Vorschriften und damit gegen ihre Legalitäts- und Sorgfaltspflichten, kann sie gegebenenfalls selbst wegen Pflichtverletzung haftbar gemacht werden.
5. Voraussetzung für eine Cyberversicherung
   Als erster Versicherer hat die Zurich Versicherung bereits 2022 davor gewarnt, dass Cyberrisiken bald nicht mehr versicherbar sein könnten. Bereits heute enthalten die meisten Cyberversicherungspolicen die Anforderung, Schutzmaßnahmen kontinuierlich nachzuweisen – eine Anforderung, die ohne Steuerung und Kontrolle auf Dauer kaum zu erfüllen ist.

Was ist konkret zu tun?

Entscheidend ist, Informationssicherheit als Managementaufgabe zu verstehen und dieses Verständnis allen Führungskräften und Mitarbeitern zu vermitteln. Operativ sollten die wichtigsten Unternehmenswerte (Assets) wie Prozesse, Geschäftsgeheimnisse, Gebäude, IT-Systeme und Dienstleister identifiziert werden. Denn nur wer seine Kronjuwelen kennt und weiß, wo sie sich befinden, kann sie wirksam schützen. Sind alle kritischen Assets identifiziert, können Schwachstellen und Risiken systematisch ermittelt werden. Anschließend können geeignete Maßnahmen zur Risikominimierung geplant, umgesetzt und auf ihre Wirksamkeit hin überprüft werden. Die Erfahrung zeigt, dass gerade im Mittelstand Schwachstellenscans (Vulnerability Scan), starke Passwörter und Zwei-Faktor-Authentifizierung (2FA), Berechtigungskontrollen und Sensibilität gegenüber Phishing echte Dauerbrenner sind.

Auszug Fachartikel (IHK-Magazin) & Download

Fachartikel herunterladen