Mit dem Absenden dieses Formulars erklären Sie sich einverstanden, dass die von Ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage, zum Beispiel per E-Mail, genutzt. Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung.
Wenn Digitalisierung mehr und mehr Bestandteil der DNA von Unternehmen wird, dann sollten diese sich stärker mit der Sicherheit ihrer Informationen beschäftigen. Dabei geht es nicht um „Alles oder nichts“, sondern um viele individuell abgestimmte Maßnahmen.
Egal ob es sich um Dokumente, Filme, Präsentationen oder Excel-Tabellen handelt – Informationen sind Vermögenswerte eines Unternehmens und als solche bedroht. Tagtäglich fügen ganz verschiedene Tätergruppen aus unterschiedlichen Motiven Unternehmen Schaden zu. Seien es Computerkriminelle, die mit ihren Trojanern wie Petya oder WannaCry Daten verschlüsseln und nur gegen Lösegeld – vielleicht – wieder zugänglich machen, oder Unternehmens-Webseiten, die mit sogenannten DDoS-Attacken lahmgelegt werden. Seien es Mitarbeiter, die im guten Glauben, ihr Chef habe sie dazu aufgefordert, Millionen Euro auf falsche Konten überweisen, oder Informationen, die plötzlich beim größten Konkurrenten auftauchen: Die Gefahren sind real und können Ruf und Finanzen eines Unternehmens erheblich schädigen.
Systematischer Schutz
Um diesen Risiken vorzubeugen, genügt es nicht, auf jedem Rechner einen Virenscanner zu installieren oder eine zentrale Firewall zu betreiben. Denn Täter und Motive sind so unterschiedlich wie zahlreich: Spionage, Sabotage, Vandalismus oder Erpressung werden Unternehmen von externen ebenso wie internen Tätern zugefügt, wobei Mitarbeiter dies oft noch nicht einmal beabsichtigen, sondern aus Fahrlässigkeit oder Unkenntnis handeln oder schlicht ausgetrickst werden. Um dem vorzubeugen, ist es sinnvoll, das Unternehmen systematisch zu schützen – durch in der IT verankerte Sicherheitsfunktionen und klare Verhaltensregeln für den Umgang mit Informationen. Beides wird mit einem Informationssicherheits-Managementsystem – kurz ISMS – geplant, umgesetzt und aufrechterhalten. Es sorgt dafür, dass in einem unternehmensweiten, standardisierten und kontinuierlichen Prozess Vertraulichkeit, Verfügbarkeit und Integrität von Informationen besser geschützt werden.
Alles eine Frage der Berechtigung: Vertraulichkeit
Vertraulichkeit bedeutet, dass nur Personen mit entsprechender Berechtigung Zugriff auf die Informationen haben. Eine Voraussetzung aufseiten der IT-Systeme wäre dafür beispielsweise die Verschlüsselung von Festplatten oder der Passwortschutz von Computern. Technik allein genügt jedoch nicht, denn die Mitarbeiter selbst gehören ebenso zu den Unsicherheitsfaktoren. Alle noch so ausgefeilten Systeme nützen nichts, wenn sie sich im Zug am Telefon über intimste Details ihres Unternehmens unterhalten oder vertrauliche Unterlagen in der Öffentlichkeit für jeden einsehbar an ihrem Laptop bearbeiten.
Verfügbarkeit von Informationen und Funktionen
Systeme, die Mitarbeitern Daten und Dokumente, aber auch Funktionen für ihre Arbeit zur Verfügung stellen, müssen zeitgerecht parat stehen. Von Branche zu Branche bestehen hier natürlich große Unterschiede: Wer Börsenhandel betreibt, bei dem es auf Sekundenbruchteile ankommt, hat vermutlich sehr hohe Anforderungen an die Verfügbarkeit seiner Informationstechnologie. Ähnliches gilt für einen Onlineshop, denn jede Sekunde, die ein Kunde warten muss, könnte eine zu viel sein. Zum Glück bestehen aber für viele Geschäftsvorfälle im Bereich von Stunden oder gar Tagen weiter abgestuft geringere zeitliche Anforderungen an die Verfügbarkeit von Informationen und Systemen.
Integrität heißt: Schutz vor Manipulationen
Zur Integrität gehört neben dem Funktionieren der IT-Systeme auch der Schutz der Daten vor unautorisierten Manipulationen wie Löschen oder Änderungen. Nutzer müssen sich darauf verlassen können, dass die Daten, mit denen sie arbeiten, korrekt sind und seit ihrer ursprünglichen Eingabe nicht verändert wurden. Dazu gehört beispielsweise auch die „Nicht-Abstreitbarkeit“, die immer gegeben sein sollte und dafür sorgt, dass eine beispielsweise per E-Mail getroffene Vereinbarung im Nachhinein nicht abgestritten werden kann.
Kleine Schritte führen auch zum Ziel
Um die Sicherheit dieser drei Schutzziele zu verbessern, ist nicht gleich die Installation einer internen Geheimpolizei nötig. Oft genügen relativ einfache Maßnahmen, beispielsweise die Einführung des Need-to-Know-Prinzips, bei dem dafür gesorgt wird, dass kein Mitarbeiter mehr weiß, als er für die Erledigung seiner Aufgaben wissen muss. Das ist nicht als Ausdruck eines pauschalen Misstrauens zu verstehen. Vielmehr schützt es die Mitarbeiter davor, durch eine kleine Unachtsamkeit, wie eine versehentlich falsch adressierte E-Mail, Schaden zu verursachen. Es hilft oft schon, wenn nur das Bewusstsein für die Risiken und den richtigen Umgang mit ihnen geweckt wird. Auch kleine Maßnahmen führen langfristig zum Ziel, vor allem dann, wenn sie nicht unkoordinierte Einzelmaßnahmen bleiben, sondern im Rahmen eines ISMS etabliert werden.
Keine Angst vor dem Aufwand
Ein ISMS betrifft viele Aspekte und viele Bereiche eines Unternehmens – von der IT über die Personalabteilung bis zum Risikomanagement. Damit bei seiner Einführung nichts übersehen wird, ist es empfehlenswert, sich eines standardisierten Vorgehens zu bedienen, konkret der Norm ISO/IEC 27001. Sie spezifiziert die Anforderungen und berücksichtigt dabei die individuellen Bedürfnisse eines Unternehmens. Denn der Aufwand für ein ISMS kann ganz unterschiedlich sein: Für Finanzinstitute, die hohe regulatorische Anforderungen beachten müssen, ist er viel größer als für Unternehmen, die sich aus eigenem Antrieb schützen wollen.
Die ISO-Norm hilft dabei, alle Standardaspekte zu beachten, und bietet dem Unternehmen außerdem die Möglichkeit, seine Sicherheitskompetenz auch öffentlich den Kunden gegenüber darzustellen. Das ist besonders dann sinnvoll, wenn das Unternehmen zwar selbst nicht regulatorischen Anforderungen unterliegt, aber Dienstleistungen für ein anderes erbringt, das entsprechende gesetzliche Auflagen erfüllen muss. Ein Finanzinstitut beispielsweise muss zum Teil von seinen Dienstleistern dieselbe Sicherheitsstufe fordern, die es selbst erbringen muss.
Was Unternehmen tun sollten
Die Arbeitswelt und der Alltag sind weitgehend digitalisiert. Aus unserer Sicht ist es daher für alle Unternehmen angebracht, ein ISMS einzuführen. Mit welchem Aufwand die Einführung betrieben und welcher Zeitplan dabei verfolgt wird, ist Sache des Unternehmens, einen Königsweg gibt es nicht. Natürlich kann sich ein kleiner Mittelständler nicht ein großes ISMS-Team leisten, wie wir es in Konzernen vorfinden.
Unter Umständen könnte es die Teilaufgabe eines entsprechend befähigten Mitarbeiters werden, beispielsweise des Datenschutzbeauftragten. Bei der Informationssicherheit geht es nicht um das Prinzip „Alles oder nichts“,sondern um viele, auf das Unternehmen abgestimmte Maßnahmen. Einen hundertprozentigen Schutz wird es mit vertretbarem Aufwand ohnehin nicht geben. Nur eines ist absolut sicher: Gar nichts zu tun, wäre die schlechteste aller Lösungen.
Dem Kunden auf der Spur
Der Weg vom Kaufvorhaben zum Kauf ist komplex geworden. Wer die „Customer Journey“ seines Kunden kennt, der weiß, wo sich seine Zielgruppe aufhält, was sie konkret sucht und wie sie zu erreichen ist – auch im B2B-Geschäft.
Die Verschmelzung von Maschinen und IT verändert die Investitionsprofile vieler Kunden. Gleichzeitig ermöglicht sie weitergehende Services und zusätzliche Angebote. Nutzungsabhängige Konzepte, wie das im Leasing schon lange übliche „pay per use“, werden zunehmen“, prognostiziert Kai Ostermann, Vorstandsvorsitzender der Deutschen Leasing AG.