Informationssicherheit Wie ISO 27001 Unternehmen in Zeiten steigender Cyberrisiken hilft

Autor / Redakteur: Joyce van Luijn-Bonneveld / Melanie Krauß

Worauf es in der Informationssicherheit ankommt und wie ein weltweit agierendes Unternehmen während der Pandemie erfolgreich ISO 27001 implementiert hat.

Firmen zum Thema

Unabhängig von der Unternehmensgröße lohnt es sich, in Informationssicherheit zu investieren.
Unabhängig von der Unternehmensgröße lohnt es sich, in Informationssicherheit zu investieren.
(Bild: iStock.com/FroYo_92)

Cyberangriffe und Datenschutzverletzungen gehören zu den fünf wahrscheinlichsten Risiken für Unternehmen – ein Trend der sich während der Coronazeit noch einmal verstärkt hat. Ein guter Anlass für deutsche Betriebe, ihre Informationssicherheit zu überdenken und effektive Strategien zu entwickeln. Eine ISO 27001-Zertifizierung bietet hier nicht nur Best Practice, sondern verbessert auch die Beziehungen zu Kunden und Lieferanten. Wir zeigen Ihnen, worauf es ankommt.

Cyberrisiken sind nicht auf kleine und mittlere Betriebe beschränkt. Betroffen sind Unternehmen und Institutionen aller Größen und Branchen. Auch Großkonzerne, Flughäfen, Krankenhäuser und Universitäten, die über umfassende IT-Abteilungen verfügen, werden regelmäßig Opfer von Cyberangriffen und Datenleaks. Gemäß einer Studie von Gemalto gehen weltweit täglich über 5 Mio. Datensätze verloren oder werden gestohlen. Einer der Gründe: Die Komplexität der IT-Landschaften nimmt zu, während die Cyberkriminellen immer innovativer werden und ihre Angriffe automatisieren. Aktuell nutzen Betrüger die Coronapandemie gezielt aus, beispielsweise mit Phishing-Kampagnen.

Anstieg der Remote-Arbeitsplätze schon vor Corona

Der Digitalisierungsschub durch Covid-19 habe die Sicherheitslage deutlich verschärft, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Doch schon vor Corona wurde hierzulande ein stetiger Anstieg der Remote-Arbeitsplätze verzeichnet. Laut einer Statista-Umfrage hatten vor der Pandemie bereits 80 Prozent der Beschäftigten theoretisch die Möglichkeit, von Zuhause aus zu arbeiten. Auch die Norm ISO 27001 war bereits vor Covid-19 mit Kontrollen für mobile Geräte und Telearbeit auf das Arbeiten in den eigenen vier Wänden eingestellt. Mittlerweile wünschen sich viele Mitarbeiter, ihre Arbeit auch langfristig ins Homeoffice verlegen zu können, hat diese Option doch viele Vorteile: Lange, oft stressige Fahrzeiten fallen weg, was nicht nur den Beschäftigten, sondern auch der Umwelt zu Gute kommt. Außerdem ist das Arbeiten von Zuhause deutlich flexibler, zum Beispiel bei unvorhergesehenen Ereignissen wie den immer häufiger auftretenden Unwettern – oder eben bei der aktuellen Pandemie.

Trotz der theoretischen Option, von Zuhause aus zu arbeiten, mussten viele Remote-Arbeitsplätze in den ersten Corona-Monaten dann doch sehr kurzfristig eingerichtet werden. Die Datensicherheit kam dabei meist zu kurz. Da die technische Ausstattung in den eigenen vier Wänden häufig nicht den Sicherheits- und Wartungsstandards des Arbeitgebers entsprach, ging der Umzug ins Homeoffice mit einem erheblichen Verlust der Informationssicherheit und -kontrolle einher. Für die Arbeit am heimischen Schreibtisch nutzen die Beschäftigten oft ihr eigenes Equipment, sprich: Computer, Laptops und Router, auf die häufig auch Familienmitglieder und Mitbewohner Zugriff haben. Diese Sicherheitsprobleme betreffen übrigens auch Unterlagen in Papierform, die oft unbeobachtet auf dem Schreibtisch liegen gelassen oder ungeschreddert in den Papierkorb entsorgt werden.

Doch zurück zu den digitalen Daten: Anders als in der Firma sind Passwörter zu Hause eher simpel und werden nur selten verändert, Anti-Malware- und Antivirus-Programme sind häufig unzureichend oder werden nicht regelmäßig upgedatet. Dem „disconnected employee“ fehlt der Kontakt ins Unternehmen, die übliche Rückkopplung auf dem kurzen Dienstweg entfällt. Gerade für Betrüger, die – wie eingangs erwähnt – Phishing-Mails mit Bezug zu Covid-19 versenden, ist das Homeoffice das perfekte Ziel. In den Infokästen finden Angestellte und Arbeitgeber daher grundlegende Tipps, um die Sicherheit am heimischen Arbeitsplatz zu erhöhen.

ISO 27001: Best Practice für Sicherheitsprobleme

Falls Sie nicht schon ISO 27001-zertifiziert sind, wäre jetzt ein guter Moment dafür. Ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001 soll gewährleisten, dass im Unternehmen angemessene Kontrollen bezüglich Vertraulichkeit, Integrität und Verfügbarkeit von Informationen bestehen. Im Rahmen von ISO 27001 werden Sicherheitsprobleme gemäß der besten Praxis behandelt. Zudem können Unternehmen und Organisationen gegenüber ihren Kunden und Lieferanten zeigen, dass sie das Thema Informationssicherheit verstanden haben und ernst nehmen.

Für die Dormakaba Gruppe, Anbieter für den sicheren Zutritt zu Gebäuden und Räumen, ist die interne Informationssicherheit nach eigenen Aussagen geschäftsentscheidend. Die Klientel des Unternehmens, zu der auch Banken und Versicherungen zählen, legt großen Wert darauf, möglichst viel Kontrolle über ihren digitalen Fußabdruck zu behalten. Zahlreiche Großkunden des 15.000 Mitarbeiter umfassenden Herstellers machen eine Ausrichtung nach ISO 27001 für ihre Lieferanten daher zur Bedingung. Dank der Zertifizierung durch Lloyd’s Register konnte Dormakaba seine Kundenbeziehungen weiter festigen und Neukunden hinzugewinnen.

Das Management muss die Zertifizierung unterstützen

Der Erfolg eines ISMS nach ISO 27001 stellt sich am schnellsten ein, wenn das Management die Gründe für die Implementierung versteht und diese voll und ganz unterstützt, auch mit Ressourcen und ausreichend Zeit. Wichtig ist es zudem, den Umfang sorgfältig zu planen und festzulegen. Dormakaba ließ neben wesentlichen digitalen Unternehmensbereichen auch die zentrale Group IT zertifizieren. So konnte das Unternehmen das Gros der Maßnahmen selbst steuern und einen für eine Erstzertifizierung außergewöhnlich hohen Reifegrad erreichen. Ohne ISMS-Erfahrung im eigenen Hause empfiehlt es sich jedoch, externe Berater hinzuzuziehen.

Die ISO-Norm verlangt, dass vor der Zertifizierung umfangreiche Managementprozesse definiert werden. Wenn ein Unternehmen bereits ein Managementsystem nach ISO 9001:2015 betreibt, ist dies ein großer Vorteil. Dormakaba hatte schon in der Vergangenheit ganze Fertigungsbereiche nach anderen ISO-Normen zertifizieren lassen. Geholfen hat dem Hersteller zudem, dass bereits etwa die Hälfte seiner digitalen Entitäten sogenannte integrierte Managementsysteme besaßen. So musste das Unternehmen „das Rad nicht neu erfinden“, und der Aufwand reduzierte sich wesentlich.

Risiken bewerten und behandeln

Zu einer guten Vorbereitung gehört auch eine Risikobewertung. Diese erleichtert die Antwort auf die Frage: Wie viel Sicherheit benötigen wir wo? Erforderlich ist überdies ein gezielter Plan zur Risikobehandlung, in dem Maßnahmen priorisiert und Verantwortlichkeiten festgelegt werden. Eine wichtige Rolle bei Cyberrisiken und deren Bekämpfung spielt der Faktor Mensch. Dormakaba setzte daher umfangreiche Schulungsprogramme über die gesamte Unternehmensgruppe hinweg auf. Dies war eine Investition, die sich für den Sicherheitstechnikkonzern sehr gelohnt hat.

Im Zeitplan dank guter Remote-Infrastruktur

Der weltweit agierende Hersteller hatte seine Zertifizierung schon weit vor Covid-19 geplant, die Implementierung fiel dann aber genau in die Pandemiezeit. Da das Unternehmen schon seit Jahren viele seiner internen Meetings remote durchführt, war es sehr gut auf die neuen Herausforderungen vorbereitet. Generell dürfen 50 bis 70 Prozent der Audits remote stattfinden, sodass Dormakaba

Teile seine ISO 27001-Zertifizierung als Fern-Audit durchführen konnte. Die überwiegende Anzahl der Arbeitsplätze war bereits mit Notebooks ausgestattet, die über eine Kamera verfügten. Die Begehung von Räumen konnte mittels Handykameras erfolgen, die sich ohne große Mühe in die Microsoft Teams-Sitzungen integrieren ließen. Das Beispiel der Handykameras zeigt, dass sich nicht nur Konzerne mit hoher IT-Kompetenz wie Dormakaba, sondern auch Unternehmen, die keine ausgereifte Video-Infrastruktur haben, während der Pandemie nach ISO 27001 zertifizieren lassen können. Dormakaba konnte seinen Zeitplan trotz Covid-19 problemlos einhalten.

Fazit: In Zeiten steigender Cyberrisiken lohnt es sich für Unternehmen aller Größen, in die interne Informationssicherheit zu investieren. Eine Zertifizierung nach ISO 27001 sorgt nicht nur dafür, dass sensible Informationen nach höchsten Standards geschützt sind, sondern wirkt sich auch positiv auf alle Geschäftsbeziehungen aus. Gute (Remote-)Planung und Unterstützung durch das Management spielen hierbei eine zentrale Rolle.

* Joyce van Luijn-Bonneveld ist Senior Lead Auditor, Information & Cyber Security bei Lloyd's Register in 3062 MB Rotterdam (Niederlande), Tel.: (+31) 1 02 50 05 05, joyce.vanluijn@lr.org, www.lr.org/de

(ID:47051390)