In den letzten Jahren hat sich viel getan in der IT- und Informationssicherheit. Die gute Nachricht zuerst: Heute muss keine Führungsetage mehr davon überzeugt werden, dass Informationssicherheit ein wichtiges Thema ist. Fachkräfte in diesem Tätigkeitsfeld haben voraussichtlich ihr Leben lang sichere Arbeitsplätze und komfortable Einkommen.
Die größten Herausforderungen in der Informationssicherheit im Jahr 2023 liegen woanders: Hinterlistige Angriffsmethoden, Investitionslücken oder Fachkräftemangel – jedes Unternehmen ist betroffen. Auch Business-Riesen wie Uber und Meta werden nicht verschont!
Die Sachlage
Jede Woche erreichen uns Nachrichten von Ransomware-Attacken. Von öffentlichen Institutionen über Startups bis hin zu den ganz Großen kann es jeden treffen. Ransomware-Attacken können viele Millionen Dollar kosten. Und im Schnitt dauert es 16 Tage, bis eine betroffene Organisation wieder voll betriebsfähig ist. Ganz zu schweigen von den langfristigen Image-Schäden, die Datendiebstahl nach sich ziehen kann.
Hacker nutzen immer perfidere Methoden, um sich Zugang zu den Systemen ihrer Opfer zu verschaffen. Neue Malware kann beispielsweise durch ein bloßes „Hovern“ über einem Link in einem Word-Dokument oder einer Präsentation ausgelöst werden. In dem Fall haben Nutzer keine Chance, die Attacke überhaupt zu erkennen.
Das Problem
Das Problem ist vielschichtig. Auch noch so gute Malware-Scanner können nur solche Schadsoftware erkennen, die bereits bekannt ist.
Werden Unternehmen mit individuellen Attacken angegriffen, haben solche Programme keine Chance. Auch veraltete Programme bieten Einfallstore für Hacker. Der größte Gefahrenfaktor ist aber nach wie vor der Mensch. Durch Social Engineering verschaffen Cyberkriminelle sich am häufigsten Zugang zu Daten. Das Ransomware-Problem ist also vornehmlich ein Awareness-Problem.
Die Lösung
Neben technischen Investitionen gilt hier: Trainings, Trainings, Trainings. Mitarbeiter müssen bei jeder E-Mail und jeder Chat-Nachricht auf der Hut sein und darin geschult werden, Angriffe zielsicher zu erkennen und zu melden.
Wir empfehlen in dem Zusammenhang sowohl berufsgruppenspezifische Online-Kurse aufzusetzen und gleichzeitig geplante Phishing-Simulationen an Mitarbeiter zu verschicken.
Ein Teil der Lösung
Sprechen Sie uns für weitere Tipps im Umgang mit Schadsoftware, der Sensibilisierung von Mitarbeitenden und zu wichtigen InfoSec-Investitionen an.
Jetzt Termin buchen
InfoSec-Herausforderung 2: Investitionslücken, technische Schulden und fehlende wirtschaftliche Planbarkeit
Die Sachlage
Die Implementierung von Maßnahmen zur Informationssicherheit kostet Geld und trägt nicht direkt zum Geschäftserfolg bei. Und in unsicheren Zeiten sind es genau diese Kosten, die Unternehmen zuerst einzusparen versuchen.
Langfristig sind Investitionslücken in der Informationssicherheit jedoch unverhältnismäßig viel teurer als die Ausgaben für Prävention.
Das Problem
Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) ist ein langwieriger Prozess, während dem ein Unternehmen immer noch anfällig sein kann und trotzdem schon Kosten für die Informationssicherheit anfallen. Und auch danach erfordert der Betrieb eines ISMS kontinuierliches Commitment.
Gleichzeitig ist der Reifegrad von Informationssicherheits-Systemen in Deutschland noch immer relativ niedrig. Und teilweise haben sich über die Zeit hinweg Investitionslücken und technische Schulden aufgebaut (Kosten für das Nachbessern von Fehlern, die dadurch entstehen, dass aus Budget- oder Zeitgrüngen schlechte Lösungen umgesetzt wurden). Dadurch sind heute Investitionen notwendig, die angesichts der wirtschaftlichen Lage schwerer zu treffen sind.
Die Lösung
Wie man es dreht und wendet: Am Aufbau eines ISMS führt kein Weg vorbei. Die gute Nachricht ist aber, dass es mittlerweile Services und Plattformlösungen gibt, die einen sehr viel schnelleren und praktikableren ISMS-Aufbau ermöglichen. Im Vergleich zur Service-Landschaft vor drei Jahren hat sich hier viel getan.
Das bedeutet auch: Erste Schritte zu verbesserter Informationssicherheit und sogenannte Low Hanging Fruits können angegangen werden, ohne große Beträge locker zu machen. Unerlässlich ist und bleibt aber die Unterstützung durch die Geschäftsführung. Nur damit können ISMS-Projekte gelingen.
Wir unterstützen Sie beim Aufbau und der Zertifizierung Ihres ISMS.
Ein Teil der Lösung
Sprechen Sie uns für weitere Tipps im Umgang mit Schadsoftware, der Sensibilisierung von Mitarbeitenden und zu wichtigen InfoSec-Investitionen an.
Jetzt Termin buchen
InfoSec-Herausforderung 3: Ein Mangel an erfahrenen Fachkräften
Die Sachlage
Allein in Deutschland fehlen rund 100.000 IT-Fachkräfte. Und eine aktuelle Studie von Trellix – einem Cyber-Sicherheitsunternehmen – ergab, dass fehlende Fachkräfte in 85 % der Unternehmen die Cybersicherheit gefährden.
Überraschend ist das nicht – vereinen Berufe in der Informationssicherheit gleich mehrere Anforderungen, die rar sind auf dem Arbeitsmarkt: Neben fundierten IT-Kenntnissen müssen Bewerber sich mit gängigen Normen und Gesetzen, allen voran mit der ISO 27001, der Informationssicherheit auskennen. Darüber hinaus erfordern die meisten Rollen Kommunikations- und Verhandlungsgeschick.
Das Problem
Wir hören oft von Kunden, dass sie Stellen in der Informationssicherheit (wie die des CISO oder ISB) monate- oder sogar jahrelang nicht nachbesetzten können. Der Markt für Leiharbeit und temporäres Personal wächst, doch auch hier fehlen erfahrene Fachleute. Und Studienabsolventen brauchen mindestens drei Jahre, bis sie in den Bereich hereingewachsen sind und produktiv arbeiten können.
Das heißt, dass sich das Problem nicht kurzfristig lösen lässt. Während der Bedarf rasant weiter steigt, kommen zu wenig Nachwuchskräfte hinzu.
Die Lösung
Auch wir haben keine Lösung für den Fachkräftemangel an sich. Aber wir haben die Leute, die Sie suchen. Unsere Informationssicherheits-Experten betreuen Kunden in Kombination mit unserer Web-Plattform.
Unser Ansatz: Wir automatisieren manuelle Prozesse, zum Beispiel für die Erstellung von Dokumenten. So haben unsere Experten Zeit für genau die Tätigkeiten, die kein Computer übernehmen kann: persönliche Beratung und Hilfe bei Fragen und Problemen.
Wir unterstützen Teams, denen die Arbeit über den Kopf wächst, indem wir einen systematischen Ansatz zum Aufbau und Betrieb eines ISMS implementieren.
Zum Schluss ein positiver Ausblick
Informationssicherheit ist kein neues Thema. Doch durch die Entwicklungen der letzten Jahre ist das Bewusstsein für ihre Bedeutung gestiegen. Unternehmen müssen schmerzlich feststellen, dass Cyber-Angriffe keine theoretische Gefahr sind.
Doch drängende Herausforderungen führen wie so oft auch hier zu innovativen Lösungsansätzen. Gerade kleine und mittlere Unternehmen können sich an standardisieren Ansätzen orientieren. Die ISO 27001 liefert hier eine hilfreiche Blaupause.
Und hier kommt DataGuard ins Spiel
Mit unserer Lösung kann sogar der Fachkräftemangel teilweise ausgeglichen werden. Wir unterstützen Unternehmen beim Aufbau eines ISMS mit unserem erprobten und bewährten hybriden Ansatz. Hybrid bedeutet, dass wir das Fachwissen unserer Informationssicherheitsexperten mit einer web-basierten Sicherheitsplattform kombinieren.
Wir bieten branchenspezifische Beratung, unterstützen Sie bei der Einrichtung Ihres ISMS und bereiten Sie auf ein externes Audit vor. Damit Sie auch langfristig ISO 27001-zertifiziert bleiben, arbeiten wir kontinuierlich mit Ihnen zusammen.