Ein paar neue Joggingschuhe und einmal trainieren reichen auch nicht zur Olympia-Qualifikation. Stellen Sie sich vor, Sie möchten am nächsten New York Marathon teilnehmen. Wenn Sie nicht schon regelmässig Marathons laufen, ist Ihnen sofort klar, dass hierfür einiges an Vorbereitung notwendig ist.
Das richtige Equipment in Form von Laufschuhen, Kleidern für verschiedenen Temperaturen, Trinkflaschen und Energiespender sind schnell beschafft. Was es jetzt noch braucht ist Training. Und wie genau soll trainiert werden?
Einfach mal ein bisschen joggen gehen? Das führt wohl nicht zum Ziel, ein Trainingsplan muss her. Was ist mein Ziel, und bis wann will ich dieses erreicht haben? Wieviel Zeit kann ich in Trainings investieren? Habe ich das Know-How, um selber einen Trainingsplan aufzustellen? Brauche ich einen Coach, der mich unterstützt und mir sagt, an was ich arbeiten soll? Wie erkenne ich, ob ich auf dem richtigen Weg bin?
Bei dieser herausfordernden, aber eigentlich noch ganz gut überblickbaren Aufgabe ist uns sofort klar, dass wir unsere Gewohnheiten ändern müssen. Es braucht eine Art von Prozess, dem wir stetig folgen, aber je nach Fortschritt und Erkenntnissen auch immer wieder anpassen müssen.
Und was hat das alles mit Cybersecurity zu tun?
Sehr viel. Was uns bei dem obenstehenden Beispiel sehr vernünftig erscheint, glauben wir bei der Cybersecurity vernachlässigen zu können. Wir installieren die Antivirus-Software, welche in irgendeinem Test gut abgeschnitten hat, lassen uns von einem Netzwerkspezialisten eine Firewall installieren und konfigurieren. Wir informieren das ganze Unternehmen, wie es mit unbekannten E-Mails umgehen soll. Was soll jetzt noch schiefgehen? Oder anders gesagt: wir gehen einfach mal ein bisschen joggen, das wird dann ja schon für den Marathon reichen.
Mit solchen Einzelaktionen können wir das "Angriffs-Grundrauschen" etwas ausblenden. Viele automatisierte, ungezielte Massenangriffe scheitern so an unseren Sicherheitsvorkehrungen. Doch leider haben sich die Angriffe stark geändert und tun dies weiter. Sie werden immer gezielter und raffinierter. Einem Angriff gehen lange, gezielte Analysen voraus. Schwachstellen werden gesucht und oft auch gefunden. Erst wenn klar ist, wie ein Angriff am erfolgversprechendsten ist, findet er auch statt. In einer ersten Phase werden verschiedene Malware-Komponenten installiert, die noch keinen Schaden anrichten. Erst wenn die Verbreitung soweit abgeschlossen ist, dass eine Säuberung nicht mehr einfach und schnell möglich ist, wird der eigentliche Schadcode nachgeladen und startet sein zerstörerisches Werk.
Was geht mich das an?
Es herrschen immer noch sehr viele Mythen was das Thema Informationssicherheit anbelangt. "Wir sind zu klein, um für Angreifer interessant zu sein" ist eine sehr oft gehörte, aber absolut falsche Aussage, wie die Statistiken beweisen. KMUs werden genauso oft angegriffen wie Grossunternehmen. Da sie oft auch Lieferanten solcher Grossunternehmen sind, sind sie sogar speziell interessant. Und Lösegeld für die Entschlüsselung gekaperter Daten lässt sich bei KMUs meist einfacher erpressen.
Umfragen zur Informationssicherheit belegen, dass diejenigen die schon einmal angegriffen wurden, viel weniger zuversichtlich sind, auch zukünftig schadlos zu bleiben. Tendenziell sind Firmen also zu optimistisch, was die eigene Verwundbarkeit angeht. Das Bewusstsein kommt oft erst mit dem Schaden und damit leider zu spät.
Schritt für Schritt vorwärts
Wie bei der Vorbereitung zur Marathonteilnahme bedarf es auch bei der Cybersecurity einer stetigen Beschäftigung mit dem Thema. Ziele müssen definiert werden, ein Umsetzungsplan muss aufgestellt und immer wieder angepasst werden. Einmalige Aktionen nützen wenig oder bestenfalls sehr kurzfristig.
Im Unternehmen müssen also Prozesse etabliert werden, welche eine dauernde Risikobeurteilung vornehmen und darauf basierend Massnahmen umsetzen. Genauso wie in der Wertschöpfung der Markt beobachtet und darauf basierend die Produkte und Dienstleistungen definiert und angeboten werden, müssen sich Unternehmen stetig mit der Gefährdungslage auseinandersetzen.
Auch das Scheitern muss berücksichtigt werden. Was tue ich, wenn ein Angriff trotz aller Bemühungen erfolgreich war? Schnelles und durchdachtes Handeln ist entscheidend für das Überleben des Unternehmens! Und da in einer Krisensituation Hektik und Nervosität herrscht, werden ohne Vorbereitung selten die richtigen Entscheidungen getroffen. Nur mit vorbereiteten und simulierten Notfallplänen kann das Beste aus der Situation gemacht werden.
Eingespielte Prozesse helfen also, die Informationssicherheit stetig zu analysieren und zu verbessern. Eine Adaption auf neue Arten von Angriffen und neue Technologien wird zur Routine. Und genau dies ist notwendig, um sich auch morgen den Gefahren aktiv entgegenstellen zu können.
Ein ISMS nach ISO 27001
Als Nicht-Marathonläufer werden Sie sich vermutlich nicht selber einen Trainingsplan aus dem Ärmel schütteln. Sie sprechen mit Personen, welche schon erfolgreich einen Marathon absolviert haben. Sie lesen Bücher. Sie orientieren sich an Best Practices.
Auch ein Informationssicherheit-Managementsystem (kurz "ISMS") sollten Sie nicht selber erfinden. Unser vielfach bewährtes TQMi Managementsystem, welches die Anforderungen nach ISO 9001 wie auch ISO 27001 abdeckt, ist bei vielen Schweizer KMUs erfolgreich in Betrieb. Wir begleiten Sie auf dem Weg des Aufbaus bis zur Einführung und dem Unterhalt des Systems, stehen Ihnen also als Trainier zur Verfügung.
Durch eine Zertifizierung nach der Norm ISO 27001, welche Anforderungen an ein ISMS definiert, lassen Sie ihr ISMS regelmässig auf Effektivität überprüfen und zeigen damit auch all Ihren Stakeholdern, dass Sie das Thema Informationssicherheit, und damit den nachhaltigen Fortbestand Ihres Unternehmens ernst nehmen.
Starten Sie ihr Training heute!
René Hübscher
Anfrage
Jetzt anmelden
