Vorwort

Die Informationssicherheit ist regelmäßig gefährdet. Allein die Anzahl der bekannten Cyber-Attacken auf Organisationen aller Art sprechen für sich. Täglich gibt es neue Meldungen über Hacker-Angriffe auf die Datenbestände und ganze Systemumgebungen verschiedenster Unternehmen, Behörden und nicht zuletzt auch auf Privatpersonen. Häufig werden alle Daten kopiert und dann die Datenträger verschlüsselt. Als nächstes erfolgt die Lösegeldforderung, einzuzahlen in Kryptowährung und somit kaum nachverfolgbar. Sollte man die Zahlung verweigern so droht der Erpresser mit der Veröffentlichung der kopierten Daten. Dies ist nur eins der Szenarien die denkbar sind und die Cyber-Kriminellen werden immer kreativer. Und wir als Informationsschützer hängen immer einen Schritt hinterher. Es ist an vielen praktischen Beispielen aus der jüngsten Vergangenheit deutlich geworden das man viel mehr hätte tun können um die bekannten Gefahren entsprechend zu minimieren. Nach einem Angriff ist der Weg zurück zur Normalität ein langer und beschwerlicher Weg. Eine Menge an Fragen tauchen auf und wollen beantwortet und überwacht werden.

Einige Beispiele dafür sind:
– Gibt es Maßnahmen zur Realisierung der klassischen Schutzziele der Informationssicherheit?
– Finden solche Maßnahmen auch für papiergebundene Dokumente Anwendung?
– Sind ihre Mitarbeiter für die Regeln der Informationssicherheit sensibilisiert?
– Haben sie ein ISMS (Informations Sicherheits Management System)?
– Zählt ihr Unternehmen zur kritischen Infrastruktur?
– Wie sieht ihre Backup-Strategie aus.
– Sind ihre Systeme belastbar?

Verantwortung

Informationen sind das Öl der Gegenwart und zählen somit zum wertvollsten Kapital der Organisation. Alles was in der Organisation auf IT-Systemen gespeichert, in Papierform aufbewahrt oder als Fachwissen ihrer Mitarbeiter vorhanden ist muss geschützt werden. Im schlimmsten Fall kann das “Abhandenkommen” oder das “in falsche Hände geraten” von Informationen das Überleben der Organisation gefährden.
Auch in der Informationssicherheit liegt die Verantwortung bei der Geschäftsführung. Es bedarf zunächst eines klaren Bekenntnisses der Geschäftsführung zur Informationssicherheit. Aus dieser sogenannten Informationssicherheitsleitlinie der Geschäftsführung sollten die Absichten sowie die Ausrichtung der Organisation transparent hervorgehen. Als nächstes müssen Prozesse etabliert werden und mit Hilfe verschiedenster Verfahren mit Leben gefüllt werden. Sicher ist: das sind Aufgaben für dedizierte Personen mit entsprechender Ausbildung. Diese ISO (Information Security Officer) und CISO (Chief Information Security Officer) haben diese Aufgaben im Unternehmen umzusetzen, zu leiten und zu überwachen. Dafür beschäftigen die Organisationen je nach Größe Informationssicherheits-Teams, welche mit der Realisierung der einzelnen Aktivitäten beauftragt werden.

Informationssicherheit ist Chefsache !!!

Die internationale Normenreihe der (DIN EN) ISO/IEC 27000er adressiert in einer ganzen Reihe von Einzelnormen Anforderungen an die Informationssicherheit. Dabei gibt es normative (soll) und informative (unterstützend) Standards. In der ISO/IEC 27001(normativ) geht es darum in zurzeit 114 Maßnahmen die Informationssicherheit in der Organisation grundsätzlich umzusetzen. Die ISO/IEC 27002 (informativ) gibt Anleitungen zur Umsetzung dieser Maßnahmen und stellt allgemein akzeptierte Maßnahmenziele bereit. Daraus entsteht dann das ISMS (Information Security Management System) welches bei Bedarf die Grundlage eines Audits darstellt. Nicht selten kann eine Zertifizierung der Informationssicherheit Vorteile bei der Auftragsvergabe bringen. Immer mehr Geschäftspartner legen Wert auf eine sichere Datenverarbeitung auch bei Lieferanten und Partnern. In Anbetracht der stetig wachsenden Gefahren und Bedrohungen durch Cyber-Kriminelle ist die Pflege eines zertifizierten ISMS eine von mehreren möglichen Schutzmaßnahmen.

Empfehlungen

befracon.de hat sich darauf spezialisiert Beratungs- und Schulungsdienstleistungen für das Thema Informationssicherheit anzubieten. Nutzen sie unser über zwanzigjähriges Know-how und regeln sie die Informationssicherheit in ihrem Unternehmen. 

Um die Informationssicherheit in ihrer Organisation stets auf dem aktuellen Stand zu halten, spielt es auch eine wichtige Rolle alle Beschäftigten regelmäßig zu schulen und für das Thema Informationssicherheit zu sensibilisieren. Entsprechende Awarnessschulungen sowie themenspezifische Workshops und Schulungen bereiten wir gern vor und führen sie vor Ort durch. 

Sollten sie sich für diese Dienstleistungen von befracon.de interessieren so senden sie uns ihre diesbezügliche Anfrage über unser Kontaktformular.