Erlebt Podcast
Thomas Fauser
Auf dieser Seite gebe ich einen Überblick für die Hörer des "Erlebt-Podcast's". Mit Empfehlungen aus dem Podcast und weiterführenden Informationen.
Der kostenlose Security-Insider
Mit unserem Security-Insider profitierst du von regelmäßigen News, Tipps und Insights zur Sicherheit in Unternehmen.
FAQ's
Informationssicherheit hat das gesamte Unternehmen im Blick. Quer durch alle Abteilungen, wie z.B. Finanzbereich, HR, Facility, Vertrieb,...
Die Unternehmensführung und Informationssicherheitsbeauftragten definieren dabei auch Anforderungen an die IT unter Berücksichtigung der Unternehmensziele.
Kämen die Anforderungen von der IT selbst, wäre die gleiche Person oder die gleiche Abteilung für die Definition der Anforderungen, die Umsetzung der Anforderungen und deren Überprüfung zuständig. Das führt zum einen auf eine auf IT-Systeme eingeschränkte Sicht, zu Interessenkonflikten und dazu, dass niemand im Unternehmen auf Augenhöhe mit der IT über die Informationssicherheit sprechen kann.
Wichtig ist auch, dass die Unternehmensführung als Vorbild dient und die Richtung vorgibt. Alle bekannten Normen und Standards im Bereich der Informationssicherheit sagen, dass die Unternehmensführung letztlich verantwortlich für die Informationssicherheit ist und der Informationssicherheitsbeauftragte wegen Interessenkonflikten unabhängig von der IT sein sollte.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt dazu:
"Zur Wahrung der Unabhängigkeit sollte der ISB direkt der obersten Leitung zugeordnet sein. Eine Integration in die IT-Abteilung kann zu Rollenkonflikten führen, da der ISB seine Verpflichtung zur Kontrolle der Sicherheitsmaßnahmen nicht frei von Beeinflussung wahrnehmen kann. Auch eine Personalunion mit dem Datenschutzbeauftragten ist nicht unkritisch. Sollte dies der Fall sein, müssen die Schnittstellen dieser beiden Aufgaben klar definiert werden, um Rollenkonflikte zu vermeiden."
Quelle: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_2_Sicherheitsmanagement/2_04_Informationssicherheitsbeauftragte.html
Informationssicherheit ist das Managen von Risiken in Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen. Das geschieht durch den Einsatz von organisatorischen, physischen und technische Maßnahmen.
Informationssicherheit ist nicht auf technische Maßnahmen oder Maßnahmen im Rahmen von IT-Prozessen begrenzt. Auch Prozesse aus HR oder im Finanzbereich können zu einem besseren Informationssicherheitsniveau beitragen. Bedrohungen für die Informationssicherheit sind nicht nur Cyberangriffe, sondern auch (absichtliche oder unabsichtliche) Innentäter, defekte Hardware, versehentliches Löschen, Einbrüche, Hochwasser, Feuer und andere Umwelteinflüsse. Und das nicht nur auf digitale Informationen sondern auch auf Informationen in Papierform.
IT-Sicherheit / IT-Security ist eine Teilmenge der Informationssicherheit und beziehet sich genau genommen nur auf den Schutz digital vorhandener Daten und IT-Systeme.
Cybersicherheit / Cybersecurity ist genau genommen ebenfalls eine Teilmenge der Informationssicherheit. Der Schwerpunkt liegt hier auf den Schutz vor digitalen Bedrohungen (insb. Cyberangriffen und Angriffen auf Infrastrukturen).
Da das Wort "Informationssicherheit" ist etwas lang und nicht so vielen bekannt ist. Daher haben viele auch kein Bild vor Augen, wenn sie diesen Begriff hören. Darum werden die Begriffe in der Praxis oft auch synonym genutzt, ungeachtet der unterschiedlichen Bedeutungen.
Datenschutz wiederum bezieht sich nur auf den Schutz personenbezogener Daten. Also alle Daten, die in Verbindung mit einer Person gebracht werden können, z.B. Geburtstage, E-Mail-Adressen,... Egal ob sie digital oder in Papierform vorliegen.
Die gesetzlich definierte Aufgabe von Datenschutzbeauftragten ist es, den Schutz personenbezogener Daten zu überprüfen und Ansprechpartner, Fürsprecher und Berater von "Betroffenen" zu sein. Der Datenschutzbeauftragte ist eine Art verlängerter Arm der Datenschutzbehörden, da sie selbst keinen Einblick in alle Unternehmen haben können. Auch beschränken sie sich nur auf den Schutz von Daten mit Personenbezug.
Der Informationssicherheitsbeauftragte hingegen arbeitet direkt im Interesse der Unternehmens und hilft dabei, Unternehmensziele zu erreichen. Dabei kümmert er sich um den Schutz aller Daten, also z.B. auch vertraulicher (Kunden)daten, die keinen Personenbezug haben. Weiter Beispiele sind z.B. Betriebsgeheimnisse und technische Unterlagen.
Warum Informationssicherheit nicht nur Thema der IT ist und der Informationssicherheitsbeauftragte außerhalb der IT angesiedelt sein sollte, wird ausführlich in der ersten FAQ-Frage "Warum ist Informationssicherheit eine Aufgabe der Unternehmensführung und nicht in erster Linie der IT?" erläutert.
Der Informationssicherheitsbeauftragte sollte ein Verständnis von wirtschaftlichen Zusammenhängen, von Unternehmenszielen, Prozessen und der IT mitbringen. Er sollte verstehen, dass Sicherheit kein Selbstzweck ist. Zudem sollte er unabhängig von der IT und dennoch in der Lage sein, mit der IT auf Augenhöhe und in deren "Sprache" zu reden und sie zu verstehen.
Da der Informationssicherheitsbeauftragte auch mit allen anderen Bereichen des Unternehmens zusammenarbeitet, darf er nicht nur IT-Sprache sprechen. Er muss auch in der Lage sein, verständlich mit dem Rest des Unternehmens inkl. des Managements zu reden.
Der Informationssicherheitsbeauftragte kann sowohl ein interner als auch ein externer Mitarbeiter sein. Er oder sie sollte frei von Interessenkonflikten agieren können. Und muss sich regelmäßig z.B. durch Schulungen und den Austausch mit Branchenkollegen, auf dem Laufenden halten. Für die meisten Unternehmen unter 200 Mitarbeitern lohnt es sich nicht, einen Informationssicherheitsbeauftragten in Vollzeit anzustellen, da viele der Aufgaben nach einer gewissen Anfangszeit nicht mehr so zeitintensiv sind.
Daher und um von den Erkenntnissen anderer Unternehmen besser profitieren zu können, lohnt es sich, einen Externen Informationssicherheitsbeauftragten zu engagieren.
Vom BSI gibt es eine Broschüre mit dem Namen "Cyber-Sicherheit für KMU. Die TOP 14 Fragen."
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cyber-Sicherheit_KMU.pdf?__blob=publicationFile&v=9
Das ist ein guter Einstieg, wenn auch etwas IT-lastig.
Die ersten beiden Punkt dort lauten "Verantwortlichkeiten klären" und "Wie gut kennen Sie Ihre IT-Systeme". Hinter dem "Wie gut kennen Sie Ihre IT-Systeme" verbirgt sich eigentlich der Punkt: Wie gut kennen Sie als Unternehmen ihre Assets, ihre Werte und ihre Systeme. Nur wer das sauber erfasst und im Blick hat, kann diese Assets, Werte und Systeme auch gut schützen.
Wir empfehlen, erfahrenen Sicherheitsexperten zumindest in einem kleinen Umfang zur Unterstützung ins Unternehmen holen. Hierfür stehen wir sowohl als Berater als auch als externe Informationssicherheitsbeauftragte zur Verfügung.
Wichtig ist, die Basics nicht nur zu kennen, sondern auch praktisch umzusetzen.
Dazu gehören z.B.
- Einen Überblick verschaffen: Wo liegen überall Daten von mir? Welche IT-Systeme habe und nutze ich? Von welchen Diensten und Unternehmen bin ich abhängig? Und dann überlegen: Was gibt es dort jeweils für Bedrohungen und Risiken? Ein Notebook oder ein Smartphone z.B. kann gestohlen werden. Wie kann ich mich so darauf vorbereiten, dass meine vertraulichen Daten bei einem Diebstahl nicht in falsche Hände geraten und wie dafür, dass ich auch nach dem Diebstahl noch Zugriff auf meine Daten habe und an meinen Projekten weiterarbeiten kann?
- Zwei-Faktor-Authentifizierung nutzen, insbesondere bei Web-Logins wie LinkedIn, Facebook, Banken, Amazon, Buchhaltung, Slack, E-Mails-Account,...
- Unterschiedliche Passwörter für alle Online-Zugänge.
- Sicherheitsupdates zeitnah einspielen (und keine alten Systeme nutzen, die keine Sicherheitsupdates mehr erhalten). Das gilt auch für Webseiten, Smartphone-Apps und Browser.
- Festplatten, Smartphones, Notebooks und andere digitale Datenträger lokal verschlüsseln, falls sie verloren gehen
- Backups durchführen. Idealerweise auf verschiedenen Medien und an verschiedenen Orten speichern. Cloud-Systeme beim Backup nicht vergessen. Die Datenträger oder Backupdaten sollten möglichst verschlüsselt werden. Der Schlüssel muss auch nach einem Diebstahl von Smartphones oder Notebooks bekannt sein, um die Daten wieder entschlüsseln zu können.
- Bei der Zusammenarbeit mit Dienstleistern: Nur begrenzt Berechtigungen einräumen und nach der Zusammenarbeit Zugriffsrechte wieder entziehen. - Dienstleister wie z.B. den Hosting-Anbieter sorgfältig auswählen
- Keine vertraulichen Informationen in KI-Tools wie ChatGPT eingeben, es sei denn, der Anbieter garantiert dafür, dass die Daten nicht für das Training der KI genutzt werden.
- Gästen nur Zugang zu einem separaten Gäste-WLAN geben. Auch bei IoT-Geräten (z.B. Smart Home), die keine Vernetzung mit anderen internen Systemen benötigen und auch bei Tablets von Kindern etc. sollte geprüft werden, ob das Gast-WLAN ausreicht.
- Ein guter E-Mail-Spamfilter und die Absicherung der eigenen Domain, damit in deren Namen nicht mehr so einfach gefälschte E-Mails versendet werden können.
- Nicht mit Administratorberechtigungen arbeiten, sondern diese Accounts nur nutzen, wenn Konfigurationen oder Installationen anstehen.
- Umsetzen!
Wenn du Support benötigst: Du kannst mich gerne anfragen. Zusätzlich betreibe ein Online-Forum für die Anliegen von Selbstständigen im Christlichen Coaching Netzwerk unter https://www.christliches-coaching-netzwerk.de/cybersicherheit-selbstaendige
Grundsätzlich erst einmal die gleichen Themen, wie in der vorherigen Frage in Bezug auf Selbstständige und Kleinunternehmen.
Zusätzlich kommt hier noch stärker der Aspekt der Verantwortlichkeiten und der Zugriffsrechte zum Tragen.
Werden z.B. IT-Systeme von verschiedenen Gemeinden oder Gruppen genutzt, ist sicherzustellen, dass keine unberechtigten Zugriffe oder Installationen möglich sind.
Zugriffsrechte sollten entzogen werden, wenn Mitglieder die Gemeinde oder den Verein verlassen. Das ist meist nur dann möglich, wenn Dokumente auch in Verwaltung der Gemeinde oder des Vereins gespeichert sind. Es sollte darauf geachtet werden, dass in der Gemeinde oder im Verein keine Daten und Unterlagen z.B. von privaten Google Drive Konten für andere Mitglieder freigegeben werden. Sollte die Person dahinter ausfallen oder die Gemeinde oder den Verein verlassen, sind die Daten und der weitere Zugriff darauf nicht mehr im Einflussbereich der Gemeinde oder des Vereins.
- Wir arbeiten herstellerunabhängig und beraten nur im Interesse des Kunden. Ohne das Ziel, neue teure IT-Security-Lösungen zu verkaufen. Unser Fokus liegt stärker auf der Absicherung der vorhandenen Systeme. Das ist ein günstiger und schnellerer Ansatz, um ein höheres Sicherheitsniveau zu erreichen.
- Wir sprechen sowohl die Sprache des Businesses als auch der IT. Wir lernen das Business unserer Kunden genau kennen und tauchen auch tiefer technisch ein.
- Unser Ziel ist es nicht nur, das Informationssicherheitsniveau zu erhöhen. Insbesondere bei kleinen und mittelständischen B2B-Dienstleistern unterstützen wir auch dabei, dass unsere Kunden als vertrauenswürdige Partner großer sicherheitssensiblerer Unternehmen wahrgenommen werden. Über mögliche Zertifikatsnachweise hinaus.
- Wir nutzen SecurityScores, anhand derer der Unternehmensleitung einfach und nachvollziehbar Fortschritte im Informationssicherheitsniveau messen kann. Nur was messbar ist, kann auch richtig gesteuert werden.
- Unsere Überzeugung ist, dass Compliance (also die Konformität mit Informationssicherheitsstandards und Frameworks wie ISO 27001, TISAX* oder ähnliches) das Ergebnis eines guten Informationssicherheitsprogramms ist. Nicht umgekehrt. Wer sein ganzes Informationssicherheitsprogramm nur an der Erreichung von Zertifikaten misst, hat vielleicht ein Zertifikat zum Nachweis eines Informationssicherheitsmanagementsystems, aber möglicherweise wenig im Hinblick auf die Sicherheit gewonnen. Auch fällt dann viel Änderungsarbeit an, wenn es Änderungen an den Standards gibt oder neue andere Zertifikate gefordert werden.
- Wir arbeiten auf Basis christlicher Werte und zur Ehre Gottes.
- Wir sind in unserer Branche gut und international vernetzt und können bei Themen, die wir nicht abdecken, vertrauenswürdige Partner weiterempfehlen.
- Wir bilden uns regelmäßig weiter und verfügen über zahlreiche anerkannte Zertifikate zum Nachweis unseres Fachwissens. Zum Beispiel den CISSP, CvCISO (Certified virtual Chief Information Security Officer), CCSP (Certified Cloud Security Professional), PECB ISO 27001 Lead Auditor, CCSKv4, Dekra zertifizierte Fachkraft für Datenschutz, eLearnSecurity certified Web Application Pentester, usw...
*TISAX ist eine eingetragene und geschützte Marke der ENX.
Der Name entstand mit Blick auf einen unser USPs: Dass wir kleinen und mittelständischen Unternehmen ermöglichen, als vertrauenswürdiger Partner in Bezug auf Informationssicherheitsaspekte wahrgenommen zu werden.
Denn: Warum investieren Unternehmen in Informationssicherheit? Meist weil ihre Kunden das fordern. Oft fordern Kunden Zertifikte als Nachweis eines gewissens Informationssicherheitsniveaus. Doch für immer mehr größere Unternehmen ist ein Zertifikatsnachweis nur ein Teil der Überprüfungen. Sie fragen nach weiteren Nachweisen, versenden Fragebögen, machen regelmässige Sicherheitsscans von außen, um zu sehen ob Sicherheit auch praktisch gelebt wird. Und im Verkaufsprozess sollte das Thema je nach Branche und Kunde auch früh adressiert werden. Insbesondere als Software- oder Cloudanbieter ist es inzwischen auch teils so, dass man schon bestimmte Sicherheitsfeatures bieten muss, um überhaupt in die nähere Auswahl zu kommen. Hier helfen wir Unternehmen sich entsprechend aufzustellen und zu positionieren. Damit der Kunde schnell Vertrauen fasst und keine Überraschungen kurz vor Ende des Salesprozesses auftreten
Üblicherweise arbeiten wir mit Unternehmen und NGO's bis ca. 1.000 Mitarbeitern. Unser Fokus liegt dabei auf B2B-Dienstleistern.
Wir arbeiten nur mit Kunden, die auch ein Interesse daran haben, ihr Informationssicherheitsniveau zu erhöhen. Unternehmen, die nur ein Zertifikat oder Label zum Nachweis der Informationssicherheit benötigen, aber keinerlei Interesse daran haben, sich auch vor Cyberangriffen zu schützen, lehnen wir als Kunden ab. Das nicht zuletzt nötig, um unseren eigenen Ruf zu schützen. Auch Unternehmen mit Geschäftsmodellen oder Unternehmenszielen, die wir selbst nicht unterstützen möchten, lehnen wir als in der Regel als Kunden ab. Ob wir zusammenpassen finden wir in einem gemeinsamen Kennenlerngespräch heraus.
Unser Angebot richtet sich nur an Unternehmen, Vereine und öffentliche Einrichtungen. Nicht an Privatpersonen.
- Transparenz über die eigenen Sicherheitsrisiken und das aktuelle Sicherheitsniveau
- Senkung des Risikos erfolgreicher Cyberangriffe
- Selbst wenn es zu erfolgreichen Cyberangriffen oder andere Arten von Ausfällen kommen sollte: Dann ist es entscheidend, gut darauf vorbereitet zu sein und schnell reagieren zu können. Und den Betrieb des Unternehmens schnell wieder aufnehmen zu können.
- Entsprechend weniger diffuse Sorgen, weil Risiken verringert und besser eingeschätzt werden können
- Senkung von Haftungsrisiken
- Als B2B-Dienstleister auch Vorteile in der Kundenakquise.