Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Informationssicherheit, Datenschutz und Cybersecurity

PrintMailRate-it

Eine neue Management-Disziplin ist geboren. Im Steuerungskanon der Unternehmensleitung ist die Fähigkeit, mit Informationssicherheit und Datenschutz sowie dem Schutz des Unternehmens vor Cyberangriffen zunehmend gefordert.

 

Das rahmengebende Management ist entscheidend – Informationssicherheits- und Datenschutzmanagementsystem sind nicht nur schmückendes Aushängeschild!

 Informationssicherheit, Datenschutz, Cybersecurity und Business Continuity müssen „gemanagt” werden

​Ein einfaches Delegieren auf andere ist vor dem Hintergrund der heutigen Bedrohungen und der Komplexität nicht mehr möglich. Schäden, die durch Informationsverlust, Offenlegung, Betriebsstillstand etc. entstehen können, setzen eine systematische, gut strukturierte Herangehensweise und dauerhafte Steuerung voraus.

Zum Schutz von geschäftskritischen Information, Daten, insbesondere personenbezogenen Daten nach der DSGVO gibt es zwischenzeitlich eine große Anzahl an Frameworks bzw. Inhaltliche Standards. Dazu zählen:
  • ISO / IEC 27001 fortfolgende
  • BSI IT-Grundschutz
  • CISIS12
  • VdS 10000 (Informationssicherheit) und 10010 (Datenschutz)
  • Prüfungsstandard 860 des Instituts der deutschen Wirtschaftsprüfer (IDW) mit
    • Prüfungshinweis 9.860.1 zur DSGVO
    • Prüfungshinweis 9.860.2 KRITIS
    • Prüfungshinweis 9.860.3 C5 (Cloud)
Entscheidend für das Management ist es, diese Systeme erfolgreich einzuführen, effizient zu betreiben und durch wichtige Schlüsselfunktionen die eigene Sicherheit effektiv und dauerhaft zu erhöhen!

 

Managementsysteme:


Schlüsselfunktionen:

 Wissen, was andere wissen – die Fähigkeit, die eigene Sicherheitsresilienz zu bewerten, zu verbessern und laufend zu beobachten

​Die Zeiten von „uns trifft es sicherlich nicht” sind definitiv vorbei. Es stellt sich eher die Frage, ob ein Unternehmen schon gehackt wurde, gerade gehackt wird bzw. wie lange es noch dauert, bis es gehackt wird.

Daraus ist zu schließen, dass die Fähigkeit, sich darüber in Kenntnis zu setzen, ob die Sicherheitsresilienz ausreichend ist, künftig zu den Grundfunktionen der Unternehmensführung gehören muss.

In diesem Sinne bieten sich vier grundlegende Instrumente zur Beurteilung der eigenen Sicherheitslage an:

 

1. Was sehen Hacker von aussen ohne grosse Mühe?

Mit Hilfe von Cybersecurity Ratingsystemen ist eine Beurteilung aufwandsarm und adressatengerecht (Management) umsetzbar!


2. Wie weit kommen Hacker?

Durch den Einsatz von Schwachstellenscannern, automatisierten Angriffssystemen sowie über manuelle Penetrationstests lassen sich schnell Handlungsbedarfe zur Steigerung der Sicherheitsresilienz ableiten.


3. Sind Hacker schon aktiv?

Mittels Instrumenten wie ATP bzw. IoC ist die Beurteilung, ob Hacker schon im eigenen Unternehmensnetzwerk aktiv sind, verlässlicher. Viele Hackergruppen bzw. Hacker hinterlassen typische Angriffsspuren, welche über solche Analysen aufgedeckt werden können. Dies ermöglicht es, noch rechtzeitig Gegenmaßnahmen zu ergreifen.


4. Werden Daten schon angeboten?

Die dauernde Analyse des Darknets gehört zwischenzeitlich zu den Disziplinen, welche helfen, ggf. erfolgreiche Angriffe noch vor der Weiterverwertung der entwendeten Daten und Informationen letztlich zu vereiteln.

 

Management


Schlüsselfunktionen

 Tue Gutes und sprich darüber - der Mehrwert von Zertifizierungen!

​In zweierlei Richtungen sind Zertifizierungen immer ein deutlicher Mehrwert. Zunächst erhält das Unternehmen eine Bestätigung über die Belastbarkeit des eigenen Managementsystems.
Auf der anderen Seite können Zertifizierungen genutzt werden, um Dritte von der eigenen Leistungsfähigkeit zu überzeugen, bzw. eine Prüflast auf das eigene Unternehmen durch Dritte abzumildern.

Durch die Vielzahl von Testaten, Bescheinigungen und Zertifizierungen, die möglich und gefordert sind, müssen Sie sich strategisch und taktisch mit den Zielsetzungen, der Wirkung sowie dem Aufwand kritisch auseinander zu setzen.

Viel hilft in diesem Fall nicht immer viel!

Audits und Zertifizierungen sind wichtig, doch zu viel und Ihr Unternehmen kann gelähmt werden und eine gewisse „Auditmüdigkeit” kehrt ein. Gerade vor dem Hintergrund der eigenen Sicherheitsresilienz sollten Sie diese Entwicklung vermeiden.

Ebenso ist die Fragstellung nach der Sinnhaftigkeit der Abfrage von Zertifizierungen bei Geschäftspartner und Dritten durchaus berechtigt, wenn nicht genau geklärt ist, welchen Zweck und Mehrwert eine solche Abfrage in Bezug auf die eigene Sicherheitsresilienz hat.

Die strategische und taktische Auseinandersetzung mit dem Mehrwert von Zertifizierungen steht im Vordergrund - klare Zertifizerungsbedarfe leitet sich hiervon ab.

 

Beispielhafte Zertifizierungen

 

 Spezifische Leistungen aus dem bereich Informationssicherheit, Datenschutz und Cybersecurity

Kontakt

Contact Person Picture

Falk Hofmann

ISO/ICE27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Zertifizierter Datenschutzbeauftragter, Prüfer für Interne Revisionssysteme (DIIR)

Associate Partner

+49 911 9193 3628
+49 911 9193 3579

Anfrage senden

Contact Person Picture

Fabian Jeremias, LL.M.

Rechtsanwalt

Associate Partner

+49 521 2607 4826

Anfrage senden

Profil

Deutschland Weltweit Search Menu