Informationssicherheit für KMU

Informationssicherheit für den Mittelstand

Die Zeiten haben sich geändert. Viele KMU legen ein rasantes Wachstum hin. Sie gehören in ihren Branchen oft zu den Marktführern und haben einen entsprechenden Bedarf, ihr bisweilen einzigartiges Know-how oder Geschäftsgeheimnisse, im Prinzip aber alle ihre Daten und Informationen vor fremdem Zugriff zu schützen. Stichwort vor allem: „Erpressung“. Dieser notwendige Schutz kann durchaus eine komplexe Angelegenheit sein, die man ohne ein systematisches Herangehen kaum mehr in den Griff bekommt.

Und tatsächlich stehen Attacken gegen den Mittelstand bei Cyberkriminellen hoch im Kurs. Sei es durch massenhaft verschickte Ransomware oder durch gezielte Angriffe gegen einzelne Unternehmen. Immer häufiger laufen Cyberangriffe auch über Cloud-Dienste, die KMU besonders oft nutzen (müssen).

Eine international durchgeführte Umfrage des Netzwerkausrüsters Cisco aus dem Jahr 2018 ergab schon damals, dass über 50 % aller kleinen und mittelständischen Unternehmen bereits Opfer einer Cyber-Attacke geworden sind. Dieser Wert spiegelt aber nicht das ganze Ausmaß der Angriffe wider, sondern lediglich jene, die von Unternehmen auch öffentlich zugegeben werden.

Dieser Eindruck wird durch eine neuere Studie von 2022 (Gothaer KMU-Studie 2022) bestätigt, nach der das Thema Cyberkriminalität für 48 % der KMU das höchste Risiko darstellt. Fünf Jahre zuvor waren es sogar nur 32 %. Nicht eingerechnet sind dabei jene Informationssicherheitsrisiken, die gar nicht aus dem Netz kommen, sondern interner, meist personeller Natur sind, und im Rahmen einer umfassenden Informationssicherheit eine bedeutende Rolle spielen.

Anhang A von ISO 27001: Einstieg in die Informationssicherheit

Als Informationssicherheitsbeauftragter (ISB) und Datenschutzbeauftragter haben Sie kaum mehr eine Wahl: Sie müssen die Sicherheit Ihrer schützenswerten Informationen gewährleisten. Dabei geht es nicht alleine um die Sicherheit in der Informationstechnik. Auch bauliche Maßnahmen, organisatorische Abläufe und Prozesse sowie personelle Vorgaben müssen berücksichtigt werden. Eine zentrale Stellung in der Informationssicherheit nimmt zudem der Faktor Mensch ein, den es entsprechend zu berücksichtigen gilt.    

Einen guten Einstieg bietet der Anhang A der internationalen Norm ISO/IEC 27001:2022. 

DIN EN ISO/IEC 27001:2017-06 – Informationstechnik – Sicherheitsverfahren –  Informationssicherheitsmanagementsysteme – Anforderungen

Die Norm ist bein Beuth Verlag erhältlich.

Informationssicherheit für KMU – Fazit

Vor dem Hintergrund aktueller Bedrohungsszenarien sollten auch kleine und mittlere Organisationen (KMU) sowie öffentliche Verwaltungen und Kommunen ein Managementsystem für Informationssicherheit nach der international anerkannten Norm umsetzen und eine Zertifizierung ins Auge fassen. Der Vorteil eines wirksamen Managementsystems liegt nicht nur in deren umfassenden und tiefgehenden Anforderungskatalog, sondern – und das ist für KMU besonders interessant – im explizit praxisorientierten Anhang A, der in der neuen Ausgabe von 2022 über vier Kapitel hinweg 93 Referenzmaßnahmen (Controls) auflistet. 

Nun hat für KMU aber nicht nur die Notwendigkeit zugenommen, ein vollwertiges ISMS gemäß ISO 27001 zu implementieren und zertifizieren zu lassen – auch haben sich die strukturellen Voraussetzungen teils grundlegend verändert: Denn heute verfügen bereits viele KMU über ein zertifiziertes Qualitätsmanagementsystem nach ISO 9001, sodass die Grundlagen für ein integriertes Managementsystem zusammen mit ISO 27001 bereits vorhanden sind und somit Zeit, Personal und Kosten gespart werden können.

Die DQS an Ihrer Seite

Die DQS ist durch die DAkkS (Deutsche Akkreditierungsstelle GmbH) für ISO/IEC 27001 akkreditiert. 

Durch die Zertifizierung können Sie sicher sein: Die Qualität Ihres eingeführten Managementsystems wurde von einer externen, unabhängigen Stelle überprüft und bestätigt. Das international anerkannte Zertifikat hat eine Gültigkeit von 3 Jahren.

Im Jahr 1985 als Deutsche Gesellschaft zur Zertifizierung von Qualitätssicherungssystemen mbH gegründet, tragen wir aus gutem Grund bis heute das „Q“ in unserem Namen – auch wenn aus den Qualitätssicherungssystemen von einst längst Managementsysteme geworden sind. Die DQS begutachtet im ganzheitlichen Sinn mit weltweit etwa 1.800 Mitarbeitern nach allen führenden Managementsystemnorm und anerkannten Standards.

Unser Tipp für Sie

Die Schnelligkeit von Informationen in der Verteilung und Verarbeitung stellt heute eine große Herausforderung in Organisationen dar. Durch die Vielfalt an Informationen wird es zunehmend schwieriger, die entscheidenden und für die Organisation und ihr Managementsystem relevanten Informationen zu erkennen.

Gleichzeitig ergeben sich mit der Anwendung moderner Kommunikationsmittel zur Lenkung der dokumentierten Information gänzlich neue Aspekte. Verfügbarkeit, Integrität und Vertraulichkeit rücken damit immer stärker in den Vordergrund. Doch mit zunehmendem Grad der Verfügbarkeit nimmt die Informationssicherheit ab, sofern keine angemessenen Schutzmaßnahmen getroffen werden.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.