Die Ära des bloßen Reagierens auf Hackingangriffe ist vorbei. Informationssicherheit bildet den Grundpfeiler, auf dem das Vertrauen von Partnern und Kunden beruht. Jakob Munzert, Chief Information Security Officer bei Natuvion, gibt umfassende Einblicke in das Thema Informationssicherheit.
Nicht nur der Markt, sondern auch der Gesetzgeber hat strikte Anforderungen an die Informationssicherheit. Die EU-Richtlinie NIS2 muss bis zum 17. Oktober 2024 in nationales Recht umgewandelt werden. Diese soll erweiterte Sicherheitsanforderungen sowie strengere Sanktionen beinhalten.
Bei Missachtung können empfindliche Strafen von bis zu 4% des Jahresumsatzes drohen, ähnlich wie bei der DSGVO. Die Einhaltung dieser Anforderungen betrifft nicht nur KRITIS-Unternehmen (Unternehmen der kritischen Infrastruktur), sondern wird sicherlich auch indirekt über Vereinbarungen Dienstleister und Partner betreffen.
Viele Unternehmen haben die Auswirkungen von erfolgreichen Hackerangriffen bereits zu spüren bekommen. Ein genauerer Blick auf technische Gründe enthüllt oft Fehler bei den Grundlagen der Sicherheit. Angreifer suchen nach den einfachsten Lücken, daher ist die Umsetzung grundlegender Maßnahmen wie Patchmanagement, Benutzer- und Berechtigungsverwaltung sowie Back-ups von entscheidender Bedeutung. Eine Echtzeiterkennung nicht nur auf Netzwerkebene, sondern auch auf Applikationsebene wird immer wichtiger. Ganz im Sinne des Zero-Trust-Prinzips, das besagt, dass der vorherigen Sicherheitsstufe nicht vertraut werden soll und es keine sichere Umgebung gibt. Vorbei also die Zeit der demilitarisierten Zone im Intranet, wo jeder Nutzerinput als vertrauenswürdig galt.
Es ist an der Zeit, Sicherheit nicht nur als nachträgliche Maßnahme zu betrachten, sondern als integralen Bestandteil jeder Unternehmensstrategie. Denn nur so kann das Vertrauen in die digitale Welt aufrechterhalten und die Grundlage für eine erfolgreiche Zukunft geschaffen werden.
Während Audits eine wichtige Rolle bei der Sicherheitsüberprüfung spielen, werden einige kritische Themen oft übersehen. Eine davon ist die Schönmalerei für Audits im Gegensatz zur tatsächlichen Verbesserung der Informationssicherheit. Statt die Audits als Chance zur Optimierung zu nutzen, neigen einige dazu, die Ergebnisse zu schönen. Dies führt letztendlich zur Gefährdung der Sicherheit des Unternehmens.
Ein weiteres Problem ist die Diskrepanz zwischen der Sicherheit im Elfenbeinturm und ihrer Anwendbarkeit auf operativer Ebene. Ein Chief Information Security Officer (CISO), der überbordende Sicherheitsrichtlinien festlegt, verliert schnell die Zustimmung, wenn diese nicht umsetzbar sind. Sicherheit wird jedoch immer noch durch jeden einzelnen Mitarbeiter gelebt. Eine fehlende Absprache zwischen dem CISO und der operativen Ebene führt zu organisatorischen Reibungsverlusten.
Ein weiterer, oft übersehener Punkt ist die organisatorische Position des CISO, die oft nicht auf C-Level-Ebene angesiedelt ist. Dadurch kann es dem CISO an Durchsetzungsvermögen für notwendige Änderungen fehlen.
Natürlich darf der Kostenaufwand nicht außer Acht gelassen werden. Sicherheit kostet Geld, aber keine Sicherheit kostet noch mehr. Es ist daher entscheidend, den richtigen Kosten-Nutzen-Aspekt zu finden und sicherzustellen, dass Sicherheitsmaßnahmen effektiv und effizient umgesetzt werden. Durch Risikoanalysen und den kontinuierlichen Betrieb eines Informations-Sicherheits-Management-Systems (ISMS) können Unternehmen die vorhandenen Ressourcen am effizientesten nutzen und die Maßnahmen identifizieren, die den größten Gewinn an Sicherheit bringen.
Erfahrene freie Sicherheitsexperten sind selten am Markt. Hier kann aber eine oft übersehene Ressource ins Spiel gebracht werden: die eigenen Mitarbeiter. Sie kennen die Systeme und Prozesse am besten und könnten wertvolle Einschätzungen abgeben und Verbesserungen bewirken. Dafür müsste die Geschäftsleitung den benötigten Raum und möglicherweise Fortbildungen im Bereich Sicherheit bereitstellen.
Das Thema Sicherheit ist bei vielen Mitarbeitern beliebt, da es einen Spieltrieb anspricht und Abwechslung bietet. Zudem wird es von der Geschäftsführung als wichtig erachtet. Mitarbeiter können sich belohnt und motiviert fühlen, wenn sie sich aktiv an Sicherheitsinitiativen beteiligen. Natürlich ist die Voraussetzung dafür, dass Sicherheit nicht einfach als zusätzliche Last auf alle anderen Themen aufgetragen wird.
Ein Bereich, der in der Sicherheitslandschaft zunehmend an Bedeutung gewinnt, ist die Sicherheit von SAP-Systemen. Früher konzentrierte sich dies hauptsächlich auf das Berechtigungswesen. Heute, mit zunehmend komplexen Systemlandschaften und Schnittstellen, ist die Sicherheit von SAP viel weitreichender. Regelmäßige Pentests und Schwachstellen-Assessments sind unerlässlich. Die komplexe Konfiguration von Netzwerkebenen bis hin zu Applikationen erfordert automatisierte Auswertungen und anschließende Bewertungen. Das Thema Sicherheit rückt zunehmend in den Vordergrund von Unternehmen und ist im Natuvion Portfolio fest verankert: angefangen bei der strategischen Sicherheitsberatung auf CISO-Ebene bis hin zum technischen SAP-Schwachstellen-Audit. Kommen Sie gerne auf uns zu.
Der Schutz von Patienten- und Gesundheitsdaten ist essenziell. Daher spielt gerade in Krankenhäusern die Informationssicherheit eine sehr wichtige Rolle. Sie wollen mehr dazu erfahren?
28.11.2024
Natuvion stellt kontinuierlichen Geschäftsbetrieb bei...
Weiterlesen27.11.2024
Walldorf, 27. November 2024 – Die im Wandel befindliche...
Weiterlesen19.11.2024
Ein Projekt zu initiieren und durchzuführen, erfordert viel...
Weiterlesen12.11.2024
nVision Ausgabe 6 ist da! Die letzte Ausgabe für das Jahr...
Weiterlesen22.10.2024
Egal ob es sich um die Einführung neuer Technologien, die...
Weiterlesen16.10.2024
Im Rahmen der Systemumstellung von SAP ECC auf die...
Weiterlesen1.10.2024
Auch nach mehreren Übernahmen und zahlreichen neu...
Weiterlesen