Stellen Sie sich vor, Sie haben einen Automechaniker des Vertrauens, der wortgewandt und kompetent wirkt. Würden Sie sich allein auf sein Wort verlassen, oder würden Sie Ihr Auto für eine unabhängige Inspektion zum TÜV bringen, um sich messbar abzusichern? Oder ein anderes Beispiel: Sie fühlen sich gesund und haben einen Hausarzt, dem Sie vertrauen. Er ist erfahren und gibt Ihnen zumindest das Gefühl, in guten Händen zu sein. Würden Sie sich ausschließlich auf sein Urteil verlassen? Oder würden Sie für spezifische Gesundheitsfragen auch Fachärzte aufsuchen oder regelmäßige Vorsorgeuntersuchungen durchführen lassen, um eine umfassende Einschätzung Ihres Gesundheitszustandes zu bekommen?
Genauso verhält es sich mit der Informationssicherheit in Unternehmen. In einer Zeit, in der digitale Bedrohungen (BSI) stetig zunehmen, ist der Schutz sensibler Daten und Systeme entscheidend.
Viele Unternehmen verlassen sich auf ihre IT-Abteilungen, doch sind diese wirklich immer die besten Ansprechpartner für Informationssicherheit? In diesem Blogbeitrag werfe ich einen Blick auf die Herausforderungen, denen sich IT-Abteilungen stellen müssen, und erörtere, warum eine regelmäßige externe Überprüfung des Status quo der Informationssicherheit unerlässlich ist – um aus der vermeintlich „gefühlten“ Sicherheit eine messbare zu machen.
Die Grenzen der IT-Abteilungen
Interne und externe IT-Abteilungen spielen eine entscheidende Rolle im täglichen Betrieb eines Unternehmens. Sie sorgen für den reibungslosen Betrieb der technischen Infrastruktur, beheben Störungen und sind oft die ersten Ansprechpartner bei IT-bezogenen Fragen. Doch wenn es um die Informationssicherheit geht, stoßen selbst die kompetentesten Teams an ihre Grenzen.
Hier ist es wichtig zu verstehen, dass IT-Sicherheit und Datenschutz zwar eng miteinander verbunden sind, aber nicht identisch. Während der Datenschutz (z.B. durch die DSGVO) darauf abzielt, personenbezogene Daten zu schützen, konzentriert sich die IT-Sicherheit auf den Schutz aller Informationen des Unternehmens, die einen entsprechenden Schutzbedarf aufweisen.
In Diskussionen über die IT-Sicherheit höre ich häufig zuversichtliche Aussagen wie „Ich glaube, wir sind ganz gut aufgestellt“ oder „Ich habe da ein sehr gutes Gefühl bei unserer Sicherheitslage.“ Viele berufen sich dabei auf gängige Schutzmaßnahmen: „Wir haben eine Firewall, weisen auf Phishing hin und nutzen Antivirus-Programme. Außerdem haben wir ein Backup.“ Oft wird dabei die Unvollkommenheit der Sicherheit akzeptiert: „100%ige Sicherheit gibt es sowieso nicht.“ Nicht selten hört man auch die Einschätzung von externen Dienstleistern: „Der externe Administrator meint, das passt alles und ist alles ganz easy.“ Einige neigen sogar zur Unterschätzung des Risikos: „Es wird schon nichts passieren, solche Angriffe treffen doch nur die großen Unternehmen.“
Doch diese Annahmen werden durch die Realität oft widerlegt. Studien, wie jene von TÜV-Verband, zeigen, dass es eine hohe Dunkelziffer ungemeldeter Sicherheitsvorfälle gibt – schätzungsweise 82% der Fälle werden nicht berichtet. Dies deutet darauf hin, dass selbst Basismaßnahmen wie Firewalls, Antivirus-Programme und Backups, besonders wenn diese nie getestet wurden ;), nicht ausreichen. Häufig fehlen erprobte Notfallpläne, MFA-Sicherung für Admin-Passwörter und eine adäquate Segmentierung veralteter Systeme vom Netzwerk.
Betriebsblindheit und fehlende Qualifikationen
Ein wesentliches Problem ist die Betriebsblindheit: Wer tagtäglich mit den gleichen Systemen arbeitet, dem fällt es schwer, Schwachstellen zu erkennen. Hinzu kommt, dass IT-Abteilungen oft nicht die notwendige Ausbildung und Zertifizierung, wie beispielsweise die eines ICO Security Officer nach ISO-27001 oder Certified Information Security Manager (CISM), vorweisen können. Während sie technologisch bezüglich Firewalls, Windows etc. zertifiziert sein mögen, bleibt oft keine Zeit für weiterführende Qualifikationen im Bereich Informationssicherheit und Cyber Security.
Die Rolle der Geschäftsführung
Es ist entscheidend zu verstehen, dass die ultimative Verantwortung für die Informationssicherheit bei der Geschäftsführung liegt und nicht allein bei der IT-Abteilung.
Eine umfassende Sicherheitsstrategie erfordert das Engagement und die Unterstützung der obersten Führungsebene.
Darüber hinaus kann die Verantwortung für die IT-Sicherheit nur dann vollständig erfüllt werden, wenn nachweisbar ist, dass die Geschäftsführung ihrer Sorgfaltspflicht nachgekommen ist.
Dies lässt sich beispielsweise durch einen externen Audit, wie einem Cyber Security Check, dokumentieren. Ein solcher Nachweis ist essenziell, um zu bestätigen, dass die erforderlichen Maßnahmen der Geschäftsführung zur Gewährleistung der Informationssicherheit tatsächlich implementiert und wirksam sind.
Die Notwendigkeit einer unabhängigen Überprüfung
Um ein hohes Maß an Informationssicherheit zu gewährleisten, halte ich es für entscheidend, regelmäßig eine externe Überprüfung des Status quo durchzuführen. Solche Überprüfungen sollten idealerweise von qualifizierten Auditoren des ITQ-Instituts oder ähnlichen Institutionen, basierend auf dem BSI IT-Grundschutz und ISO 27001, durchgeführt werden. Es ist wichtig, dass diese Cyber Security Checks nicht nur eine nachweisbare Anzahl von durchgeführten Prüfungen aufweisen, sondern auch hohen Qualitätsanforderungen entsprechen und auf umfangreichen Erfahrungswerten basieren.
Neben der Identifizierung von Schwachstellen sollten solche Checks auch praxisorientierte Gegenmaßnahmen empfehlen und eine fundierte Kalkulationsgrundlage für deren Umsetzung bieten. Statt sich auf einfache Werkzeuge wie Excel-Listen oder sogenannte „QuickChecks per Quiz“ zu verlassen, sollten fortschrittliche Portale verwendet werden, die eine detaillierte Analyse und Nachverfolgung ermöglichen.
Zudem ist es essenziell, dass diese Sicherheitschecks fortlaufend an die aktuelle Bedrohungslage angepasst werden, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert wird. Dies stellt sicher, dass Unternehmen nicht nur auf aktuelle Risiken reagieren, sondern auch proaktiv Maßnahmen ergreifen können, um sich gegen zukünftige Bedrohungen zu wappnen. Eine unabhängige Perspektive ist dabei unerlässlich, um blinde Flecken zu erkennen und Schwachstellen aufzudecken, die den internen Teams bisher verborgen geblieben sind.
Zukünftige Anforderungen und kontinuierliche Verbesserung
Mit Blick auf zukünftige Regelungen wie die NIS-2-Richtlinie, die die Cybersicherheitsanforderungen erweitert und die Sanktionen verstärkt, um das Sicherheitsniveau in den EU Mitgliedstaaten zu harmonisieren und zu verbessern, wird es für Unternehmen sogar verpflichtend, das Thema Cyber Security und Risikomanagement auf die Agenda zu nehmen. Die NIS-2-Richtlinie enthält strengere Anforderungen für den Mittelstand (< 50 Mitarbeiter und < 10 Mio. Umsatz in bestimmten Sektoren).
Ein Whitepaper dazu habe ich hier bereitgestellt: NIS-2 Whitepaper PASSION4IT
Fazit
Während interne und externe IT-Abteilungen eine zentrale Rolle im täglichen IT-Betrieb spielen, sind sie nicht immer die besten Hüter der Informationssicherheit. Betriebsblindheit, Ressourcenmangel und die Komplexität des Themas machen eine externe Überprüfung unerlässlich. Cybersecurity ist ein laufender Prozess, der kontinuierliche Aufmerksamkeit und Anpassung erfordert. Daher gehört dieses Thema fest auf die tägliche Agenda der Unternehmensführung. Durch die Kombination interner und externer Ressourcen kann ein umfassender Schutz sensibler Daten und Systeme sichergestellt und kontinuierlich verbessert werden. So wird aus der vermeintlich „gefühlten“ Sicherheit eine messbare, und Ihr Unternehmen bleibt auch in der sich schnell verändernden digitalen Welt sicher und geschützt.
Flo Laumer 