Die Angriffe, die für Schlagzeilen sorgen, betreffen fast immer große Unternehmen, Regierungsbehörden oder große Dienstleistungsunternehmen; aber keine noch so kleine Organisation ist vor effektiv organisierten kriminellen Machenschaften sicher.
Schon vor der Pandemie gewannen Digitalisierung und Interkonnektivität für moderne Unternehmen zunehmend an Bedeutung. Die Möglichkeit, von fast überall auf der Welt auf Netzwerke zuzugreifen, hat die Produktivität aufrechterhalten oder sogar erhöht und die Kosten gesenkt.
Die zunehmende Digitalisierung und Vernetzung sind zwar unvermeidlich, bergen aber auch Risiken, die in vielen Unternehmen nur unzureichend bekannt sind. Computerviren, Würmer und Trojaner kursieren schon fast so lange im Internet, wie es dieses gibt. Oft werden sie nur als lästige Störfaktoren betrachtet, um die sich die IT-Abteilung zu kümmern hat. Man wird sich erst jetzt über die negativen Auswirkungen auf den Geschäftsbetrieb und die finanziellen Verluste bewusst, die damit verbunden sein können.
Die wahrscheinlich größte Bedrohung geht derzeit von Ransomware aus. Organisationen und Betreiber infizierter Netzwerke werden erpresst, hohe Geldbeträge zu zahlen, um die Kontrolle über ihre Systeme wiederzuerlangen. Einem Bericht des US-amerikanischen Cybersicherheitsspezialisten SonicWall zufolge gab es 2021 rund 623 Millionen Ransomware-Angriffe. Angesichts dieses hohen Risikos sollten Unternehmen Maßnahmen ergreifen, um ihr Geschäftsumfeld zu verstehen und sich zu schützen.
Das ist leicht gesagt, aber wo soll man anfangen?
Grundsätzlich besteht Einigkeit darüber, dass sich das Management der Informations-, Daten- und Cybersicherheit nicht wesentlich von dem Management anderer Geschäftsrisiken unterscheidet. Dies umfasst die Einführung von Verfahren und die Schulung von Mitarbeitern, um zu verstehen, wie Risiken entstehen und wie man sie am besten verhindert oder zumindest in den Griff bekommt, um Beeinträchtigungen zu minimieren. Ein erster Schritt auf dem Weg dahingehend ist zu prüfen, wie ein zertifiziertes Informationssicherheitsmanagementsystems (ISMS) Unternehmen dabei helfen kann, ihre Risiken zu erfassen, zu managen und die Leistung zu verbessern.
ISO/IEC 27001 ist die anerkannteste internationale Norm für Informationssicherheitsmanagementsystems (ISMS). Die Norm umfasst detaillierte Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung, Überwachung und Verbesserung eines ISMS. Es handelt sich dabei um die zertifizierbare Norm in der ISO/IEC 27000-Reihe. Die anderen Normen bieten Empfehlungen, wie z. B. Anhang A ISO/IEC 27002, der Anforderungen für Sicherheitsmaßnahmen enthält, um Bedrohungen hinsichtlich der Cloud und Automatisierung, Malware und Ransomware, Cybersicherheit und Datenschutz entgegenzuwirken.
Dadurch eignet sich diese Norm hervorragend für das strukturierte Management sich ständig ändernder Risiken. Wie bei allen ISO-Managementsystemnormen handelt es sich auch hier nicht um eine einmalige Maßnahme. Die Norm wird ständig überarbeitet, um sicherzustellen, dass der Schutz, den sie bietet, so dynamisch ist wie die Versuche der Kriminellen, neue Mittel zu finden, um ihre Ziele zu erreichen. Die Version 2022 wurde so konzipiert, dass sie die aktuellen technologischen Szenarien besser berücksichtigt und mit den anderen wichtigen ISO-Managementsystemnormen, z. B. zu den Themen Qualität, Umweltschutz und Sicherheit und Gesundheit beid er Arbeit, harmonisiert ist.
Vorteile der Zertifizierung durch unabhängige Zertifizierungsstellen
Wie bereits erwähnt, spezifiziert ISO/IEC 27001 die Anforderungen für die Einführung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS. Aber selbst, wenn Sie sich genau an die Vorgaben halten und diese erfolgreich umsetzen, wie können Sie sicher sein, dass auch wirklich alles ordnungsgemäß funktioniert und Ihre Kunden und andere Stakeholder darüber informiert werden?
Im heutigen Wirtschaftsumfeld ist ein unabhängiger Leistungsnachweis eine wichtige Voraussetzung für die Vertrauensbildung gegenüber internen und externen Stakeholdern. Diese sollten wissen, dass Sie die Dinge nicht nur ernst nehmen, sondern dass Sie sich engagieren und die notwendigen Schritte unternommen haben, um relevante Risiken zu managen, die Leistung zu verbessern und Ihr Unternehmen zu schützen. In einigen Fällen ist es für das weitere Fortbestehen wichtig, einen Nachweis erbringen zu können.
Die Informationssicherheit gewinnt zunehmend an Bedeutung, und zwar nicht nur im Hinblick auf das eigene Vertrauen. Da immer mehr Organisationen von ihren Partnern verlangen, dass sie Maßnahmen zum Management von Informations-, Daten- und Cybersicherheitsrisiken ergreifen, ist die Zertifizierung durch unabhängige Zertifizierungsstellen ein wesentlicher Schritt.
Die Norm ISO/IEC 27001 ist vielleicht nicht jedem geläufig, aber es besteht keinerlei Zweifel daran, dass sich die Ausrichtung nach dieser Norm und die anschließende Zertifizierung leistungssteigernd auswirken wird. Zahlreiche Studien belegen, dass zertifizierbare Normen für Managementsysteme deutlich erfolgreicher sind als andere.
Die Hauptaufgabe von Zertifizierungsstellen besteht darin, zu beurteilen, ob ein Managementsystem die Anforderungen von ISO/IEC 27001 erfüllt. Zertifizierungsstellen haben zahlreiche implementierte Systeme geprüft und bei ihren regelmäßigen Audits alle möglichen Probleme identifiziert und entsprechende Lösungsansätze gefunden. Eine tiefgehende Analyse durch einen unabhängigen Auditor hilft dabei, zielgerichtet Stärken und auch Schwächen in einem System zu identifizieren und diese gezielt zu steuern. Ein bewusster und systematischer Umgang mit Feststellungen aus dem Audit ist ein wesentlicher Erfolgsfaktor für den fortlaufenden Verbesserungsprozess von Managementsystemen.