Anfang 2022 veröffentlichte DNV eine Umfrage, in der fast tausend Fachkräfte in Unternehmen weltweit über Ihre Ansichten zum Thema Informationssicherheitsmanagement befragt wurden. Eine ähnliche Umfrage wurde bereits 2015 durchgeführt. Auf diese Weise war es möglich, zu analysieren, wie die Ansichten der Unternehmen im Laufe der Zeit geändert haben und ihre Initiativen und ihre Positionierung zu Best Practices und Systementwicklung zu verstehen.
In den vergangenen sechs Jahren hat sich der Reifegrad der Informationssicherheit offentlichtlich zunehmend verbessert. Dennoch schätzt weniger als die Hälfte der Befragten ihr Unternehmen auf einer 5-Punkte-Skala als reif (4) oder führend (5) ein. Die Zahl derjenigen, die sich auf dem Gebiet als führend einstuften, hat sich seit der ersten Umfrage zwar fast verdoppelt, dennoch betrifft dies nur jedes achte der befragten Unternehmen. Der leichte Anstieg ist möglicherweise auf eine verstärkte Ausrichtung auf und ein besseres Verständnis der entsprechenden Risiken zurückzuführen.
Verhaltenswandel
Eine weitere Veränderung ist die Verlagerung hin zu einer mehr verhaltensbasierten Ausrichtung. Die drei am häufigsten von den Befragten genannten Initiativen zur Risikominimierung sind:
- Verfügbarkeit von geeignetem Personal für das Management der Informationssicherheit innerhalb der Organisation (64,9 %)
- Vorhandensein einer von der obersten Leitung genehmigten Informationssicherheitspolitik (57,5 %)
- Schulungen in Sachen Informationssicherheit für Mitarbeiter (56 %)
Dies zeigt eine klare Präferenz, in Menschen zu investieren und ihre Fähigkeiten zu verbessern. In der vorherigen Umfrage war dies noch nicht so offensichtlich. In dieser Umfrage standen Sachanlagen und Ausrüstung an erster Stelle. Die Fokussierung auf den menschlichen Faktor ist erfolgversprechend, da der Erfolg eines Cyberangriffs in den meisten Fällen auf einer unbeabsichtigten Fehlentscheidung einer Person beruht. Zu berücksichtigen ist, dass in dem Zeitraum zwischen den Umfragen die COVID-Pandemie die Art und Weise, wie Menschen und Organisationen arbeiten und interagieren, erheblich verändert hat. Man kann davon ausgehen, dass sich Unternehmen heute viel stärker als früher der Informations-, Daten- und Cyberrisiken und der damit verbundenen Vorfälle bewusst sind.
Bemerkenswert ist die Tatsache, dass Unternehmen mit einem zertifizierten Managementsystem für Informationssicherheit sensibler und reaktionsschneller auf Veränderungen in ihrem Umfeld reagieren. Fast 80 % der Befragten geben an, dass die Ausrichtung auf das neue digitale Umfeld bereits abgeschlossen oder teilweise abgeschlossen ist. Auf die Frage, welche der vier Optionen – Integration von Sicherheitssystemen, Mitarbeiterschulung, regelmäßige Tests oder automatisierte Cybersicherheitsmaßnahmen – für den Umgang mit neuen Risiken, die sich aus dem digitalen Wandel ergeben, am relevantesten ist, stand die Mitarbeiterschulung erneut an erster Stelle. 33,1 % der zertifizierten Unternehmen und 25,9 % der nicht zertifizierten Unternehmen hielten dies für am relevantesten.
Von den Unternehmen, die über ein zertifiziertes Informationssicherheitsmanagementsystem verfügen, haben drei Viertel ihre IT-Infrastruktur ganz oder teilweise in die Cloud verlagert. Dies birgt zwar zusätzliche Risiken, aber jedes dritte Unternehmen hat auch die Norm ISO 27017 oder ein anderes Regelwerk für Informationssicherheitsmaßnahmen bei Cloud-Diensten eingeführt.
Ganzheitliches Sicherheitsmodell setzt sich durch
Bei „Zero Trust“ handelt es sich um ein neues Sicherheitsmodell, bei dem die Vertrauenswürdigkeit jedes Geräts, jedes Benutzers und jeder Anwendung kontinuierlich überprüft wird, nach dem Grundsatz „Niemals vertrauen, immer überprüfen“. Dieser neue Sicherheitsansatz setzt sich immer mehr durch. Unternehmen mit einem zertifizierten Managementsystem für Informationssicherheit setzen offenbar verstärkt auf das „Zero Trust“-Modell. Jeder dritte Befragte gibt an, dieses Modell bereits eingeführt zu haben oder darauf hinzuarbeiten.
Bei den Trends, die sich am stärksten auf die Cybersicherheit auswirken, steht die zunehmende Nutzung mobiler Geräte an erster Stelle, gefolgt von innovativen Technologien. Mobilgeräte sind ein fester Bestandteil unseres modernen Lebens, sei es in Form von Smartphones oder Tablets.
Auch der Aufschwung des Internets der Dinge (IdD) wird genannt, ein oft übersehenes Risiko. Geräte wie Drucker, die ständig mit dem Firmennetzwerk und dem Internet verbunden sind, mögen vielleicht unbedeutend erscheinen. Da ihre Firmware jedoch ggf. automatisch aktualisiert wird, könnten auch diese Geräte ein möglicher Einstiegspunkt sein.
Absicherung gegen lieferantenseitige Risiken
Es ist zwar wichtig, vor direkten Angriffen auf der Hut zu sein, aber oft kommt die Bedrohung aus vermeintlich sicheren Quellen, z. B. von Lieferanten von Waren und Dienstleistungen. Die drei gängigsten Maßnahmen zum Schutz gegen Informations- und Cybersicherheitsrisiken bei Transaktionen mit Lieferanten sind:
- Dokumentengestützte Qualifikation
- Verifizierung und Prüfung von gekauften Waren und Materialien
- Zertifizierung durch unabhängige Zertifizierungsstellen
Zertifizierte Unternehmen verlassen sich eher auf die Zertifizierung durch unabhängige Zertifizierungsstellen, um sich vor Risiken in Bezug auf Lieferanteninformationen, -daten und die Cybersicherheit des Lieferanten zu schützen. Dies ist höchstwahrscheinlich auf das zunehmende Bewusstsein für die Anforderungen und Maßnahmen zurückzuführen, die durch Normen wie ISO/IEC 27001 vorgeschrieben werden. Darüber hinaus tritt eine Organisation möglicherweise selbst als Lieferant anderer Unternehmen auf und muss daher den Nachweis eines soliden Informationssicherheitsmanagements erbringen.
Die Befragten nannten als die drei wichtigsten Vorteile der Umsetzung eines zertifizierten Managementsystems für Informationssicherheit:
- Kundenzufriedenheit bzw. die Erfüllung der Kundenbedürfnisse
- Verbesserung der Informationssicherheitsleistung
- Die Erfüllung gesetzlicher Anforderungen
Dicht gefolgt von der „Optimierung der Risikoerkennung und des Risikomanagements“ und der „Schaffung eines Wettbewerbsvorteils“. Dies zeigt die Bedeutung des Zusammenhangs zwischen Risikomanagement und Geschäftserfolg.
Das sich schnell wandelnde digitale Umfeld, von der beschleunigten Einführung von Cloud- und Automatisierungsdiensten über Cybersecurity- und Datenschutzrisiken bis hin zu Malware- und Ransomware-Bedrohungen, hat dazu geführt, dass sich Unternehmen der Notwendigkeit bewusst sind, ihre Informationen und Daten zu schützen. Unternehmen, die nach Best-Practice-Normen wie ISO/IEC 27001 zertifiziert sind, haben offensichtlich einen Vorteil, wenn es darum geht, die Risiken zu erkennen und Maßnahmen zur Risikominderung zu ergreifen.
Referenz: Espresso-Umfrage (November 2021), “Warum ist ein systematischer Ansatz für das Datenschutzmanagement sinnvoll?”