ISMS Folge

Um den Vorgaben der europäischen Datenschutz-Grundverordnung gerecht zu werden, müssen Unternehmen bei der Gewährleistung der Datensicherheit durch technische und organisatorische Maßnahmen noch deutlich aufrüsten – so das Ergebnis einer neuen Studie.

Sicherheit muss nachziehen, wenn Smart Devices die Welt der industriellen Fertigung erobern. Die Zahl der vernetzten Endgeräte nimmt weiter zu: laut IDG-Studie „Internet of Things 2019“ auf circa 14,2 Milliarden weltweit.

Unternehmen müssen die Vorgaben zur IT-Security gemäß dem 2019 überarbeiteten „Stand der Technik“ und diverse Compliance-Vorgaben erfüllen. Aber was genau wird von Unternehmen erwartet? Wie lassen sich die Vorgaben priorisieren und wie stellt man die Awareness für deren Notwendigkeit sicher?

Fast täglich gibt es neue Meldungen über Datenlecks, Cyber-Angriffe auf Politiker, Unternehmen und Institutionen. Aber wie sind Cyber-Gangster eigentlich organisiert, welche Ressourcen stehen ihnen aktuell zur Verfügung, und wie hat sich die Zahl der Vorfälle entwickelt?

Weltweit halten sich CIOs und CISOs bei der Umsetzung relevanter Maßnahmen zurück, obwohl diese für die Widerstandsfähigkeit gegenüber Störungen und Cyber-Gefahren entscheidend wären. 90 Prozent der befragten CIOs and CISOs in Deutschland führten ein wichtiges Sicherheitsupdate oder einen Patch nicht durch, aus Sorge vor möglichen negativen Auswirkungen auf den Geschäftsbetrieb.

Die Wirtschaft wird immer vernetzter und dadurch auch anfälliger für Hackerattacken. Bei mehr als der Hälfte der für eine Studie befragten Unternehmen wurde im vergangenen Jahr zumindest eine Cyberattacke registriert. Bevor jedoch Verbesserungsmaßnahmen im Unternehmen eingeleitet werden, muss zuvor oft erst ein signifikanter Schaden durch eine Cyberattacke entstehen.

Unternehmen ergreifen zahlreiche Maßnahmen, um ihre Geschäftsprozesse zu sichern und Risiken abzuwehren. Für die Umsetzung werden Managementsysteme wie ein ISMS oder Kontrollsysteme wie ein IKS eingerichtet. Doch wo liegen eigentlich die Unterschiede zwischen den beiden Systemen? Vielleicht gibt es diese ja gar nicht, und sie lassen sich vielmehr miteinander kombinieren?

2017 war laut der Online Trust Alliance das schlechteste Jahr aller Zeiten für Datenschutzverletzungen und Cyberangriffe weltweit. Die Zahl der gemeldeten Cybervorfälle, von groß angelegten Ransomware-Angriffen wie WannaCry und NotPetya bis hin zu Datenschutzverletzungen bei Equifax und Uber, hat sich gegenüber 2016 verdoppelt. Und obwohl das Bild im Jahr 2018 noch nicht ganz so düster war, gab es immer noch viele hochkarätige und schädliche Vorfälle – wie die Verletzungen bei British Airways, Under Armour und Ticketmaster.

Spam ist und bleibt die Hauptquelle von Malware. In 40 Jahren Spam-Historie haben die Angreifer nie nachgelassen. Ganz im Gegenteil, sie werden zunehmend trickreicher und leider auch wirksamer, wie die Cybersicherheitsspezialisten F-Secure und MWR InfoSecurity zeigen.

Seit 2015 ist das IT-Sicherheitsgesetz in Kraft, um kritische Infrastrukturen (KRITIS) zu schützen. Doch nach wie vor gibt es Unsicherheiten. Mehr Klarheit im KRITIS-Umfeld können Managementsysteme bieten. Doch dafür braucht es die Geschäftsführung und die Mitarbeiter eines Unternehmens.