Für ein stabiles und langfristig wirksames ISMS besteht die Notwendigkeit, Rollen und Gremien zu definieren und zu etablieren. Dieses Beitrag beschreibt die Aufgaben, Verantwortlichkeiten, Kompetenzen des Informationssicherheitsbeauftragten.

Um die Akzeptanz von Sicherheitsmaßnahmen bei den Benutzern zu erhöhen, muss sich dringend darauf konzentriert werden die Benutzerfreundlichkeit zu verbessern und die frühe Integration von Sicherheitsanforderungen in die Entwicklung von Projekt- und Architekturanforderungen zu etablieren.

Wie ein KMU mit der Hilfe des BSI IT-Grundschutzes die notwendigen Schritte zur Bewältigung von Risiken auswählt und über einem Maßnahmenbehandlungsplan begegnet.

Um die Mehrwerte bei der Digitalisierung zu heben, ist es nicht ausreichend, sich nur auf die Speicherorte der Daten und den Anwendungen zu beschränken. Viel mehr ist zu betrachten, von wo durch wen der Zugriff auf die Daten erfolgt. Die Bereiche, in denen Vertrauensbeziehungen zwischen Nutzer, Daten und Anwendungen ermöglicht werden können, müssen daher deutlichst erweitert werden.

Bei der Entwicklung oder der Nutzung von Software lässt sich nicht jede Herausforderung, und deren Auswirkungen unbedingt vorhersagen. Doch mit Hilfe des Chaos Engineering können potentzielle Probleme gezielt durch die Institution getestet werden. Das Resultat ist im Ernstfall ein verlässlicheres System bzw. eine verläsliche Software defined Infrastruktur.

Je agiler die IT, desto besser kann die Institution sich auf ändernde Geschäfts- und Anwendungsanforderungen reagieren. Die Agilität und die Ausrichtung der IT an den Geschäftszielen der Institution wird größtenteils durch einen weitaus höheren Grad der Automatisierung von IT-Prozessen und -Infrastrukturen erreicht. Durch die Automatisierung werden die bisher manuellen Managementschritte in eine softwarebasierte Automatisierungsplattform verlagert, welche die Infrastrukturprozesse um signifikante Größenordnungen beschleunigt.

Durch die steigende Digitalisierung sind die Arbeitsprozesse zwar effizienter geworden, jedoch werden dadurch auch Einfallstore für Bedrohungen und digitale Angriffe in die vormals abgeschotteten Bereiche geöffnet. Das macht es zwingend erforderlich, dass sowohl präventiv Schwachstellen rechtzeitig erkannt und beseitigt werden als auch im Ernstfall konkrete Bedrohungen und Störungen schnell entdeckt werden und eine durchdachte und koordinierte Reaktion erfolgen kann. Dieses ist nur möglich mit einer zentralen Stelle im Unternehmen.

Viele Institutionen unterschätzen trotz aller Warnungen und Negativbeispiele das wirkliche Risiko, Opfer eines Cyberangriffs zu werden. Denn fast immer wird die proaktive Implementierung von Sicherheit als eine wirtschaftliche Behinderung gesehen. Derzeit sind politisch motivierte Hackerangriffe und deren Auswirkungen bei erfolgreichen Angriffen in aller Munde. Was verbirgt sich hinter diesem Begriff und was müssen Unternehmen beim Aufbau eines solchen SOC beachten?

Das Cybersicherheitsproblem ist äußerst ernst und wird immer ernster. Ein inhärent unsicheres System oder Anwendung wird immer schwächer. Die Angreifer werden immer raffinierter und genießen massive wirtschaftliche Anreize gegenüber den Verteidigern. Die etablierten Methoden zur Bekämpfung krimineller Aktivitäten sind meist nicht ausgereift, um der Dynamik der Angriffsmethodiken und deren Evolutionsgeschwindigkeit ausreichend zu begegnen.

Der Zugang zu Informationen einer Institution wird weniger durch die dahinter liegende Infrastruktur und deren Topologie definiert sondern primär durch Richtlinien die eine Identität ermittelt.

Traditionell wurde die IT-Sicherheit von den meisten Institutionen als Kostenstelle betrachtet, die kontinuierliche Ausgaben erfordert, die Rendite schmälert und keine Einnahmen bringt.

Bevor mit der Etablierung von Zero-Trust innerhalb der Institution begonnen wird, müssen sich die Verantwortlichen bewußt sein, dass Zero-Trust nicht wie ein klassisches Projekt verstanden werden darf sondern eine kontinuierliche Arbeit, Überprüfung und Nachjustierung erfordert.

Informationssicherheit ist ein Prozess und damit dieser erfolgreich etabliert werden kann, muss die Geschäftsführung diesen Prozess initiieren, Ziele und Rahmenbedingungen festlegen, eine Organisationsstruktur aufbauen, die Ressourcen bereitstellen und regelmäßig die Erreichung der definierten Ziele verifizieren. Leider erfolgt dies meist nicht im benötigten Umfang. Eventuell ist dies ja durch die Kombination mit dem Hoshin Kanri Prozess möglich. Denn beide Prozesse besitzen viele Gemeinsamkeiten, wie beispielsweise den PDCA Zyklus und bauen auf eine Vision sowie einzelnen Schritten zur Erreichung der Vision auf.