Wie sieht die Bedrohungslage aus?
Diese Frage muss sich jedes Unternehmen und jeder Unternehmer stets selbst stellen. Jedoch kann man flächendeckend zwei Trends ausmachen: Die Bedrohungslage verdichtet sich für Unternehmen zusehends. Sowohl physische, als auch virtuelle Risiken nehmen stetig zu. Gleichzeitig gewinnt der Schutz unternehmenskritischer Informationen immer weiter zu und müssen heute ein integraler Bestandteil jeder Unternehmensstrategie sein.
Die virtuellen Risiken richten sich häufig auf Produkt-, Konstruktions- oder anderweitig bedeutende Unternehmensinformationen. Die Täter können Hacker, Mitbewerber oder inzwischen sogar Staaten sein. Der gestiegenen Verwundbarkeit und Sensibilität der Unternehmensinformationen steht eine Professionalisierung der Täter gegenüber.
Die Risiken kommen jedoch nicht nur von außen. Auch innerhalb eines Unternehmens schlummern Risiken. Diese basieren zum großen Teil auf einer unzureichenden Informationssicherheitsstruktur und unwissenden oder unzureichend geschulten Mitarbeitern. Aus Zwischenfällen in diesen Strukturen werden auch oft nicht die notwendigen und richtigen Schlüsse gezogen.
Dabei wird die Gefahr, gerade in Betrieben des Mittelstands, oft unterschätzt. Im Visier der Angreifer sind nicht immer DAX-Konzerne und Weltunternehmen. Gerade Markt- und Technologieführer im Mittelstand stehen solchen Bedrohungen oft nahezu wehrlos gegenüber. Dabei bedeutet in diesen Unternehmen ein Wissens- oder Technologieverlust oftmals eine Bedrohung für die Existenz des Unternehmens.
Warum Unternehmen jetzt reagieren sollten?
Grundvoraussetzung ist, dass ein Unternehmen ein Risiko zuerst als solches zur Kenntnis nimmt und entsprechend definiert. Erst dann kann über Maßnahmen zum Abwenden der Bedrohung nachgedacht werden. Aktiengesellschaften und kapitalmarktorientierte Unternehmen sind sogar gesetzlich dazu verpflichtet, Risikosituationen, Bedrohungen und Fehlentwicklungen systematisch zu betrachten und mit einem Risikomanagementsystem darauf zu reagieren.
Die Herausforderung für solche Unternehmen liegt nicht selten in der Umsetzung und Einbindung solcher Prozesse und Modelle in ihren Arbeitsalltag. Ebenfalls ist es oftmals schwer, deren Wirtschaftlichkeit und Effektivität valide zu messen und gegenüberzustellen. Oftmals machen ressortübergreifende Verbindungen und Nutzungen der Datenströme innerhalb eines Unternehmens ein belastbares Risikomanagement schwer umsetzbar.
Das Wissen um die Verarbeitung, das Informationssystem, die Abläufe und Schutzmaßnahmen, sowohl unternehmensintern- als auch extern, sind allerdings zwingend notwendig. Ohne diese Informationen und das Verständnis der Geschäftsprozesse ist ein Unternehmen nur schwer in der Lage, einerseits die Schutzbedürftigkeit seiner Unternehmensdaten überhaupt festzustellen, andererseits den Bedrohungen dieser Daten risikoorientiert und vorbeugend zu begegnen.
Was ist ein ISMS?
Ein Informationssicherheitsmanagementsystem (ISMS) ist ein Managementsystem, welches Sicherheits- und Kontinuitätsniveaus von Informationen sicherstellt – unternehmensweit. Die Maßnahmen zum Schutz der Unternehmensinformationen werden dabei auf Grundlage der zuvor ermittelten Bedrohungslagen ermittelt. Das ISMS verfolgt dabei einen systematischen Ansatz. Mitarbeiter, Geschäftsprozesse, IT-Unternehmensinformationen und Unternehmensrichtlinien sind dabei stets eingebunden um einen risikoorientierten Schutz gewährleisten zu können.
Um die Ziele des ISMS realisieren zu können, müssen geeignete Ressourcen, Methoden, Prozesse und Verantwortlichkeiten in Kombination mit einer angemessenen Aufbauorganisation etabliert sein. Ein gutes ISMS zeichnet sich, neben dem Schutz der Unternehmensinformationen, dadurch aus, dass sie den Geschäftsbetrieb nicht unnötig bremst oder behindert und sich nur an den tatsächlichen Notwendigkeiten des Unternehmens richtet. Viel hilft eben nicht immer viel.
Aber auch hier geht nichts oder nur wenig ohne den Faktor Mensch. Ein entscheidender Faktor sind die Mitarbeiter des Unternehmens. Dabei muss den Mitarbeitern das notwendige Informationsbewusstsein vermittelt werden. Sind diese Voraussetzungen erfüllt, dann trägt ein ISMS bedeutend zum Schutz Ihrer Unternehmensinformation bei. Außerdem senkt es das Risiko bei einem Informationssicherheitsvorfall entscheidend. Funktioniert ein ISMS zuverlässig, dann schützt es also nicht nur Informationen, es findet auch ein wirtschaftlich optimales und angemessenes Schutzpotenzial zur wirtschaftlich vertretbaren Konditionen und Anforderungen.
