Better safe than sorry!

Nicht nur der Markt, sondern auch der Gesetzgeber hat strikte Anforderungen an die Informationssicherheit. Die EU-Richtlinie NIS2 muss bis zum 17. Oktober 2024 in nationales Recht umgewandelt werden. Diese soll erweiterte Sicherheitsanforderungen sowie strengere Sanktionen beinhalten.

Bei Missachtung können empfindliche Strafen von bis zu 4% des Jahresumsatzes drohen, ähnlich wie bei
der DSGVO. Die Einhaltung dieser Anforderungen betrifft nicht nur KRITIS-Unternehmen (Unternehmen
der kritischen Infrastruktur), sondern wird sicherlich auch indirekt über Vereinbarungen Dienstleister und Partner betreffen.

Viele Unternehmen haben die Auswirkungen von erfolgreichen Hackerangriffen bereits zu spüren bekommen. Ein genauerer Blick auf technische Gründe enthüllt oft Fehler bei den Grundlagen der Sicherheit. Angreifer suchen nach den einfachsten Lücken, daher ist die Umsetzung grundlegender Maßnahmen wie Patchmanagement, Benutzer- und Berechtigungsverwaltung sowie Back-ups von entscheidender Bedeutung. Eine Echtzeiterkennung nicht nur auf Netzwerkebene, sondern auch auf Applikationsebene wird immer wichtiger. Ganz im Sinne des Zero-Trust-Prinzips, das besagt, dass der vorherigen Sicherheitsstufe nicht vertraut werden soll und es keine sichere Umgebung gibt. Vorbei also die Zeit der demilitarisierten Zone im Intranet, wo jeder Nutzerinput als vertrauenswürdig galt. 

Thema Sicherheit fester Bestandteil jeder Unternehmensstrategie

Es ist an der Zeit, Sicherheit nicht nur als nachträgliche Maßnahme zu betrachten, sondern als integralen Bestandteil jeder Unternehmensstrategie. Denn nur so kann das Vertrauen in die digitale Welt aufrechterhalten und die Grundlage für eine erfolgreiche Zukunft geschaffen werden. 

Während Audits eine wichtige Rolle bei der Sicherheitsüberprüfung spielen, werden einige kritische Themen oft übersehen. Eine davon ist die Schönmalerei für Audits im Gegensatz zur tatsächlichen Verbesserung der Informationssicherheit. Statt die Audits als Chance zur Optimierung zu nutzen, neigen einige dazu, die Ergebnisse zu schönen. Dies führt letztendlich zur Gefährdung der Sicherheit des Unternehmens. 

Für kritische Infrastruktur gelten die Anforderungen der neuen NIS2-Richtlinie 

Unrealistische Anforderungen gefährden die Zustimmung

Ein weiteres Problem ist die Diskrepanz zwischen der Sicherheit im Elfenbeinturm und ihrer Anwendbarkeit auf operativer Ebene. Ein Chief Information Security Officer (CISO), der überbordende Sicherheitsrichtlinien festlegt, verliert schnell die Zustimmung, wenn diese nicht umsetzbar sind. Sicherheit wird jedoch immer noch durch jeden einzelnen Mitarbeiter gelebt. Eine fehlende Absprache zwischen dem CISO und der operativen Ebene führt zu organisatorischen Reibungsverlusten.

Ein weiterer, oft übersehener Punkt ist die organisatorische Position des CISO, die oft nicht auf C-Level-Ebene angesiedelt ist. Dadurch kann es dem CISO an Durchsetzungsvermögen für notwendige Änderungen fehlen.

Ohne wird's teuer 

Natürlich darf der Kostenaufwand nicht außer Acht gelassen werden. Sicherheit kostet Geld, aber keine Sicherheit kostet noch mehr. Es ist daher entscheidend, den richtigen Kosten-Nutzen-Aspekt zu finden und sicherzustellen, dass Sicherheitsmaßnahmen effektiv und effizient umgesetzt werden. Durch Risikoanalysen und den kontinuierlichen Betrieb eines Informations-Sicherheits-Management-Systems (ISMS) können Unternehmen die vorhandenen Ressourcen am effizientesten nutzen und die Maßnahmen identifizieren, die den größten Gewinn an Sicherheit bringen.

Erfahrene freie Sicherheitsexperten sind selten am Markt. Hier kann aber eine oft übersehene Ressource ins Spiel gebracht werden: die eigenen Mitarbeiter. Sie kennen die Systeme und Prozesse am besten und könnten wertvolle Einschätzungen abgeben und Verbesserungen bewirken. Dafür müsste die Geschäftsleitung den benötigten Raum und möglicherweise Fortbildungen im Bereich Sicherheit bereitstellen. 

Das Thema Sicherheit ist bei vielen Mitarbeitern beliebt, da es einen Spieltrieb anspricht und Abwechslung bietet. Zudem wird es von der Geschäftsführung als wichtig erachtet. Mitarbeiter können sich belohnt und motiviert fühlen, wenn sie sich aktiv an Sicherheitsinitiativen beteiligen. Natürlich ist die Voraussetzung dafür, dass Sicherheit nicht einfach als zusätzliche Last auf alle anderen Themen aufgetragen wird. 

Sicherheit in SAP-Systemen gewinnt an Bedeutung 

Ein Bereich, der in der Sicherheitslandschaft zunehmend an Bedeutung gewinnt, ist die Sicherheit von SAP-Systemen. Früher konzentrierte sich dies hauptsächlich auf das Berechtigungswesen. Heute, mit zunehmend komplexen Systemlandschaften und Schnittstellen, ist die Sicherheit von SAP viel weitreichender. Regelmäßige Pentests und Schwachstellen-Assessments sind unerlässlich. Die komplexe Konfiguration von Netzwerkebenen bis hin zu Applikationen erfordert automatisierte Auswertungen und anschließende Bewertungen. Das Thema Sicherheit rückt zunehmend in den Vordergrund von Unternehmen und ist im Natuvion Portfolio fest verankert: angefangen bei der strategischen Sicherheitsberatung auf CISO-Ebene bis hin zum technischen SAP-Schwachstellen-Audit. Kommen Sie gerne auf uns zu.