Informationssicherheit Cyber Sicherheit

10 Min

Sicherheit im Unternehmen: So passen Sie sich als IT-Leiter an Veränderungen an

Maximilian Faggion
Maximilian Faggion

Die Zeiten haben sich geändert: Unternehmenssicherheit ist heute nicht mehr das, was sie noch vor zehn oder sogar zwei Jahren war.  

Informationssicherheit spielt für das Wachstum eines Unternehmens heute eine wichtigere Rolle denn je. Sicherheitsteams verfügen über größere Budgets, mehr Möglichkeiten und eine höhere Sichtbarkeit auf Vorstandsebene. Mit diesen Veränderungen steigt auch die Verantwortung und die Kontrolle. Wie können Sie als IT-Führungskraft in dieser neuen Realität agieren? 

In diesem Beitrag lesen Sie: 

Warum wir Sicherheit neu denken müssen 

Technologie und unsere wachsende Abhängigkeit davon haben unsere Gesellschaft nachhaltig verändert. Wir sind global vernetzt – was einerseits Vorteile, andererseits aber auch Risiken mit sich bringt. 

Informationen sind das neue Gold 

Ohne geografische Beschränkungen können Cyberkriminelle diese Vernetzung ausnutzen. Straftaten lassen sich anonym und weltweit begehen, das Risiko erwischt zu werden ist gering. 

Dieser Vorteil hat einen Markt für ungefilterte Informationen geschaffen, die dann zur Gewinnung von krimineller Intelligenz genutzt werden. Informationen und daraus gewonnene Erkenntnisse sind zu extrem profitablen Gütern geworden. 

Ein Beispiel: Shawn Henry, ehemaliger stellvertretender Direktor des FBI, erklärte in einem Artikel des New Yorker: "Als ich in den späten 80ern anfing, war der Kreis der Verdächtigen bei einem Banküberfall auf diejenigen beschränkt, die sich zum Tatzeitpunkt in der Nähe aufhielten. Heute sind potenzielle Täter all jene weltweit, die Zugriff auf einen 500-Euro-Laptop und einen Internetanschluss haben. Das sind mittlerweile 2,5 Milliarden Menschen. Anstatt nur die Kreditkarte einer Person zu stehlen, kann man jetzt gleichzeitig Millionen bestehlen." (Link nur in EN verfügbar). 

Datenlecks sind alltäglich geworden 

Die Medien berichten täglich von Datenlecks, betroffen ist dabei alles Mögliche – von personenbezogenen Daten (PII) über Kreditkartendaten bis hin zu sensiblen Regierungsdokumenten. Sicherheitsverletzungen nehmen zu und neue Herausforderungen in der Cybersicherheit entstehen genauso schnell, wie Experten sie bekämpfen können. All dies führt zu einem Umdenken im Bereich der Sicherheit, insbesondere der Informationssicherheit. 

Sicherheit ist Chefsache: Der Blick über den IT-Tellerrand 

Früher war Informationssicherheit ein reines IT-Thema, mit Fokus auf technischen Aufgaben und Projekten. Das war die "Old School" der IT-Sicherheit. 

240618_Blogpost_Grafik_DE_1

Technisches Know-how ist zwar nach wie vor wichtig, aber moderne Cybersicherheit erfordert eine geschäftsorientierte Sicherheitsstrategie. Dieser "New-School"-Ansatz geht über die IT hinaus: Sicherheitsleiter und -manager müssen Risikomanagement und verschiedene regulatorische, Compliance-, rechtliche und Datenschutz-Faktoren verstehen. 

Die Sicherheit Ihres Unternehmens hängt heute von Ihrem Geschäftssinn ab. Sie müssen Bezüge herstellen, kommunizieren und Beziehungen innerhalb Ihrer gesamten Organisation aufbauen. Erfolgreiche Sicherheit erfordert das Identifizieren von Sicherheitsbedrohungen und -fähigkeiten sowie ein Verständnis des Geschäftsumfelds und der Unternehmensziele. 

Das könnte Sie auch interessieren: Compliance ist nicht gleich Sicherheit: Warum Zertifizierungen nicht reichen

Damit Sicherheitsteams erfolgreich sein können, müssen sie effektiv mit der gesamten Organisation zusammenarbeiten. Dazu gehören alle Geschäftsfunktionen, um notwendige Geschäftsprozesse und neue Technologiebereiche wie Cloud, Mobile, Bring Your Own Device (BYOD) und andere neue Initiativen zu unterstützen. Das geht weit über reine Zertifizierungen und Compliance hinaus. 

Sicherheit und Geschäftsziele müssen abgestimmt sein

Sicherheitsbeauftragte und Führungskräfte mit Geschäftszielen sprechen oft unterschiedliche Sprachen. Das macht es schwierig zu entscheiden, welche Sicherheitsprojekte für Ihr Unternehmen wirklich wichtig sind. 

Natürlich steht Ihr Unternehmen im Tagesgeschäft vielen Risiken gegenüber, und Sicherheit ist nur eines davon. Indem Sie Sicherheitsanforderungen mit anderen Geschäftsinvestitionen in Einklang bringen, kann die Sicherheitsabteilung als Partner gesehen werden – nicht nur als Kostenfaktor. 

Sicherheit ist nur ein Risikobestandteil 

Sicherheit ist nur eines von mehreren Risiken, die Ihr Unternehmen managen muss. Die besten Ergebnisse erzielen Sie, wenn Sie Sicherheitsmaßnahmen mit finanziellen, operativen und Reputationsrisiken in Einklang bringen – und alle risikobasierten Entscheidungen müssen von der Geschäftsleitung mitgetragen werden. Hier ein paar Fragen zum Nachdenken: 

  • Welche potenziellen Verluste sind akzeptabel? 
  • Welches Risikolevel erachten die Geschäftsführenden für angemessen? 

Sicherheitsbudgets im Einklang mit anderen Investitionen 

Sicherheitsbudgets sollten das Unternehmenswachstum unterstützen. Ein Tech-Startup zum Beispiel könnte der Absicherung seines geistigen Eigentums Vorrang vor anderen Bereichen einräumen, da der Schutz von Innovationen für den Wettbewerbsvorteil entscheidend ist. 

Strategische Planung an erster Stelle 

Eines ist sicher: Es geht nicht um die Frage "ob" ein Informationssystem kompromittiert wird, sondern eher um "wann" und "wie viele" Informationen dann verloren gehen. Wie können wir Risiken auf ein akzeptables Niveau managen? Effektive strategische Planung ist notwendig, um auf neue Bedrohungen zu reagieren, Sicherheit mit wichtigen Geschäftsinitiativen und Stakeholdern in Einklang zu bringen und letztendlich den optimalen Ansatz zur Abwehr von Cyberangriffen zu entwickeln. 

 

Strategische Planung ist der erste Schritt. Sicherheit muss in die gesamte Unternehmensstrategie integriert werden. Ein Gesundheitsunternehmen zum Beispiel muss strenge Datensicherheitsmaßnahmen in seine Compliance mit Gesundheitsvorschriften integrieren und diese Bemühungen mit seinem Auftrag zur sicheren Patientenversorgung in Einklang bringen. 

Wie wird Sicherheit zum Teil Ihrer Geschäftsstrategie? 

Der erste Schritt ist die strategische Planung, an der sowohl Sicherheitsbeauftragte als auch Führungskräfte beteiligt sind. Der Aufbau eines soliden Informationssicherheitsmanagementsystems (ISMS) trägt ebenfalls maßgeblich dazu bei, Sicherheit in die Geschäftsstrategie Ihres Unternehmens zu integrieren. Denn ein ISMS verschafft Ihnen einen guten Überblick über Ihre Unternehmenswerte, Risiken und Maßnahmen zu deren Bewältigung. Dies wiederum hilft dabei, die Sicherheit mit den Geschäftszielen in Einklang zu bringen. 

Bauen Sie ein robustes ISMS auf 

Ein robustes, modernes ISMS stellt sicher, dass Ihre Sicherheitsmaßnahmen mit Ihrer strategischen Vision übereinstimmen. Ein multinationales Unternehmen kann beispielsweise ein ISMS verwenden, um Sicherheitsverfahren in verschiedenen Regionen zu vereinheitlichen und so einen konsistenten Schutz bei gleichzeitiger Unterstützung globaler Aktivitäten zu gewährleisten. 

Als IT-Leiter oder CISO haben Sie wahrscheinlich bereits ein ISMS im Einsatz. Jetzt geht es darum, herauszufinden, ob es für das Geschäftsmodell Ihres Unternehmens sinnvoll eingerichtet ist: 

  • Berücksichtigt es Ihren organisatorischen Kontext? 
  • Haben Sie einen guten Überblick über Ihre wertvollsten Assets und die damit verbundenen Risiken? 
  • Sind Sie auf Zertifizierungen wie ISO 27001 oder TISAX vorbereitet? 
  • Basiert Ihr ISMS auf einer zuverlässigen Plattform? 
  • Haben Sie genügend Expertenunterstützung, die Sie durch die Komplexität von Informationssicherheit, Risikomanagement und Compliance führt? 

Identifizieren Sie Ihre kritischen Assets 

Nehmen wir an, Sie sind ein Logistikunternehmen. Ein kritisches Asset für Ihr Unternehmen wäre das Versandplanungssystem, das den pünktlichen und effizienten Transport von Waren zu den Kunden gewährleistet. Das System selbst, die Kundendaten (Adressen, Kontaktinformationen) und Kommunikationskanäle (E-Mails, Telefonanlagen) definieren alle eine kritische Funktion für Ihr Unternehmen. 

Das könnte Sie auch interessieren: Die besten Cybersicherheitsmaßnahmen: Konzentrieren Sie sich zuerst auf das, was Ihr Unternehmen zum Stillstand bringen könnte 

Ihre größten Risiken wären dann mit diesem System verbunden, da dessen Kompromittierung zu Millionenverlusten führen und die Kundenzufriedenheit sowie den Ruf Ihres Unternehmens negativ beeinflussen könnte. 

Nutzen Sie das NIST Cybersecurity Framework (CSF) 

Werfen Sie einen Blick auf das NIST Cybersecurity Framework (CSF) 2.0. Es ist eine Art Werkzeugkasten mit Richtlinien und Best Practices, mit denen Unternehmen ihre Cybersicherheit und Widerstandsfähigkeit stärken können. Das Framework ist flexibel und lässt sich an unterschiedliche Unternehmenstypen und deren individuelle Cybersicherheitsanforderungen anpassen. 

Im Kern beschreibt NIST CSF 2.0 einen zyklischen Prozess für effektives Informationssicherheitsmanagement: governance, identification, protect, detect, respond und recover. 

240620_Blogpost_Grafik_DE_2

 

  • Verwalten (Govern): Definieren Sie Ihre zentralen Geschäftsprozesse, legen akzeptable Risiken fest und weisen Verantwortlichkeiten zu  
  • Identifizieren (Identification): Ermitteln Sie, welche Assets diese Prozesse unterstützen, und bewerten die relevanten Risiken. 
  • Schützen (Protect): Stellen Sie sicher, dass diese Assets geschützt sind. 
  • Erkennen (Detect): Überwachen Sie verdächtige Aktivitäten. 
  • Reagieren (Respond): Ergreifen Sie Maßnahmen, um erkannte Bedrohungen abzuwehren. 
  • Wiederherstellen (Recover):  Stellen Sie nach einem Vorfall den Normalbetrieb wieder her 

Bauen Sie Ihr ISMS für optimale Sicherheit und Compliance auf 

Vielleicht reicht Ihnen aktuell noch eine ausgeklügelte Tabelle, um all Ihre Assets und Risiken zu erfassen. Aber Vorsicht: Mit dem Wachstum Ihres Unternehmens, der Expansion in neue Märkte und der Zusammenarbeit mit weiteren Partnern wird die Sache schnell komplexer. Neue Risiken bedrohen Ihre kritischen Systeme und Daten. 

Eine zentrale Lösung zum Aufbau Ihres ISMS für maximale Sicherheit und Compliance (ob DSGVO, ISO 27001 oder TISAX®) könnte die meisten dieser neuen Herausforderungen lösen, besonders mit der Unterstützung von Experten. Gerne können Sie sich an uns wenden, um mehr zu erfahren: 

 

Häufig gestellte Fragen (FAQs) 

Welche Beispiele gibt es für Sicherheitsverfahren? 

Beispiele für Sicherheitsverfahren umfassen Zugangskontrollen wie Passwortrichtlinien und biometrische Authentifizierung sowie physische Sicherheitsmaßnahmen wie Überwachung und sichere Einlasssysteme.

Weitere Verfahren sind Datenverschlüsselung, regelmäßige Softwareupdates und Backups zum Schutz vor Datenverlust. Auch Incident-Response-Verfahren, die Schritte bei Sicherheitsverletzungen beschreiben, und Schulungsprogramme für Mitarbeiter zum Thema bewährte Sicherheitspraktiken sind wichtige Bestandteile. 

Was ist ein organisatorisches Sicherheitsverfahren? 

Organisatorische Sicherheitsverfahren beziehen sich auf die standardisierten Prozesse und Richtlinien, die ein Unternehmen zum Schutz seiner Assets und Informationen befolgt. Diese Verfahren beschreiben die Schritte zur Verhinderung, Erkennung und Reaktion auf Sicherheitsvorfälle.

Sie umfassen eine Reihe von Aktivitäten, einschließlich Zugriffskontrollen, Incident-Response-Protokollen, Datenschutzmaßnahmen und regelmäßigen Audits. Ziel ist es, einen systematischen Sicherheitsansatz zu schaffen, der Konsistenz, Compliance und ein effektives Management von Sicherheitsrisiken im gesamten Unternehmen gewährleistet. 

Wie gewährleisten Sie die organisatorische Sicherheit? 

Die Gewährleistung der organisatorischen Sicherheit erfordert einen umfassenden Ansatz, der die Implementierung robuster Cybersicherheitsmaßnahmen, die Durchführung regelmäßiger Sicherheitsaudits und die Schulung von Mitarbeitern in Sicherheitsfragen umfasst.

Dazu gehören die Einrichtung von Firewalls, Verschlüsselung und Intrusion-Detection-Systemen sowie die Festlegung klarer Richtlinien und Verfahren zur Bewältigung und Reaktion auf Sicherheitsvorfälle. Regelmäßige Softwareupdates, Schwachstellenanalysen und die Förderung einer sicherheitsbewussten Kultur unter den Mitarbeitern sind ebenfalls wichtige Bestandteile. 

Was ist der Zweck der organisatorischen Sicherheit? 

Der Zweck der organisatorischen Sicherheit besteht darin, die Vermögenswerte des Unternehmens, einschließlich physischer und digitaler Ressourcen, vor Bedrohungen wie Cyberangriffen, Datenlecks, Diebstahl und Naturkatastrophen zu schützen.

Effektive Sicherheitsmaßnahmen gewährleisten die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen und schützen so den Betrieb, den Ruf und die rechtliche Compliance des Unternehmens. Durch die Risikominderung trägt die organisatorische Sicherheit zur Aufrechterhaltung der Geschäftskontinuität und des Vertrauens bei den Stakeholdern bei. 

Wie entwickeln Sie einen Sicherheitsplan für ein Unternehmen? 

Die Entwicklung eines Sicherheitsplans für ein Unternehmen umfasst die Bewertung potenzieller Risiken und Schwachstellen, die Definition von Sicherheitszielen und die Festlegung von Richtlinien und Verfahren zur Bewältigung der identifizierten Bedrohungen.

Dieser Prozess beinhaltet die Durchführung einer gründlichen Risikobewertung, die Festlegung klarer Sicherheitsziele und die Erstellung eines Incident-Response-Plans. Außerdem umfasst er die Zuweisung von Verantwortlichkeiten, die Implementierung technischer Kontrollen und die regelmäßige Schulung der Mitarbeiter. Kontinuierliche Überwachung und Aktualisierung des Sicherheitsplans sind unerlässlich, um sich an die sich entwickelnden Bedrohungen anzupassen und seine Wirksamkeit zu gewährleisten. 
Veröffentlicht am Aktualisiert am
Tags Informationssicherheit Cyber Sicherheit

Über den Autor

Maximilian Faggion Maximilian Faggion
Maximilian Faggion

Maximilian Faggion ist DataGuard's Squad Lead of Global Corporate Information Security. Mit mehr als 15 Jahren Erfahrung im Bereich Cyber Security hat er Sicherheitsstrategien für führende Schweizer Institutionen geleitet und umgesetzt. Maximilian Faggion war unter anderem SOC & CSIRT Lead und Head of Cyber Security, wo er praktische technische Expertise mit Führungsqualitäten im Sicherheitsmanagement verband. Darüber hinaus ist er Mitglied und Mentor bei drei der größten und wichtigsten Institute für Informations- und Cybersicherheit: ISACA, EC-Council und FAIR Institute.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Die Zukunft der E-Mail-Signaturverwaltung: Integration von KI und Sicherheit
Informationssicherheit

4 Min

Die Zukunft der E-Mail-Signaturverwaltung: Integration von KI und Sicherheit

Die Evolution von E-Mail-Signaturen: Von einfachen Texten hin zu KI-gesteuerten, dynamischen Inhalten für personalisierte und sichere Kommunikation.

Weiterlesen
Datenschutz im Fokus: Wie DSGVO-Tools Unternehmen unterstützen
IT, Tools & Software

7 Min

Datenschutz im Fokus: Wie DSGVO-Tools Unternehmen unterstützen

DSGVO-Konformität schützt personenbezogene Daten und stärkt das Vertrauen. Erfahren Sie, wie Tools helfen, Herausforderungen zu meistern und Datenschutz sicherzustellen.

Weiterlesen
IT-Sicherheitsmanagement für Unternehmen: Wichtige Maßnahmen zur Risikominderung
IT-Sicherheit

7 Min

IT-Sicherheitsmanagement für Unternehmen: Wichtige Maßnahmen zur Risikominderung

Erfahren Sie, wie effektives IT-Sicherheitsmanagement sensible Unternehmensdaten schützt, Risiken mindert und die Compliance sichert.

Weiterlesen
Einsatz von KI im Datenschutz: Automatisierung und Sicherheit vereint
Datenschutz

8 Min

Einsatz von KI im Datenschutz: Automatisierung und Sicherheit vereint

Automatisieren Sie den Datenschutz mit KI: von Bedrohungserkennung bis Datenverschlüsselung. Entdecken Sie die Herausforderungen und regulatorische Anforderungen.

Weiterlesen
IT-Sicherheitsdienste: Managed IT Security Services im Überblick
IT-Sicherheit

5 Min

IT-Sicherheitsdienste: Managed IT Security Services im Überblick

Erfahren Sie, wie Managed Security Services Unternehmen vor Cyber-Bedrohungen schützen, Kosten optimieren und die Einhaltung von Vorschriften sichern.

Weiterlesen
IT-Sicherheit und Computer Security Service: Ihre Abwehr gegen Cyberbedrohungen
IT-Sicherheit

10 Min

IT-Sicherheit und Computer Security Service: Ihre Abwehr gegen Cyberbedrohungen

Erfahren Sie, wie IT-Sicherheit sensible Daten sichert und wie Maßnahmen wie Netzwerksicherheit, Verschlüsselung und Mitarbeitertraining vor Cyberangriffen schützen.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren