Informationssicherheit, Datenschutz und Cybersecurity

Eine neue Management-Disziplin ist geboren. Im Steuerungskanon der Unternehmensleitung ist die Fähigkeit, mit Informationssicherheit und Datenschutz sowie dem Schutz des Unternehmens vor Cyberangriffen zunehmend gefordert.

 

Das rahmengebende Management ist entscheidend – Informationssicherheits- und Datenschutzmanagementsystem sind nicht nur schmückendes Aushängeschild!

Informationssicherheit, Datenschutz, Cybersecurity und Business Continuity müssen „gemanagt” werden
​Ein einfaches Delegieren auf andere ist vor dem Hintergrund der heutigen Bedrohungen und der Komplexität nicht mehr möglich. Schäden, die durch Informationsverlust, Offenlegung, Betriebsstillstand etc. entstehen können, setzen eine systematische, gut strukturierte Herangehensweise und dauerhafte Steuerung voraus.

Zum Schutz von geschäftskritischen Information, Daten, insbesondere personenbezogenen Daten nach der DSGVO gibt es zwischenzeitlich eine große Anzahl an Frameworks bzw. Inhaltliche Standards. Dazu zählen:
  • ISO / IEC 27001 fortfolgende
  • BSI IT-Grundschutz
  • CISIS12
  • VdS 10000 (Informationssicherheit) und 10010 (Datenschutz)
  • Prüfungsstandard 860 des Instituts der deutschen Wirtschaftsprüfer (IDW) mit
    • Prüfungshinweis 9.860.1 zur DSGVO
    • Prüfungshinweis 9.860.2 KRITIS
    • Prüfungshinweis 9.860.3 C5 (Cloud)
Entscheidend für das Management ist es, diese Systeme erfolgreich einzuführen, effizient zu betreiben und durch wichtige Schlüsselfunktionen die eigene Sicherheit effektiv und dauerhaft zu erhöhen!

 

Managementsysteme:


Schlüsselfunktionen:

Wissen, was andere wissen – die Fähigkeit, die eigene Sicherheitsresilienz zu bewerten, zu verbessern und laufend zu beobachten
​Die Zeiten von „uns trifft es sicherlich nicht” sind definitiv vorbei. Es stellt sich eher die Frage, ob ein Unternehmen schon gehackt wurde, gerade gehackt wird bzw. wie lange es noch dauert, bis es gehackt wird.

Daraus ist zu schließen, dass die Fähigkeit, sich darüber in Kenntnis zu setzen, ob die Sicherheitsresilienz ausreichend ist, künftig zu den Grundfunktionen der Unternehmensführung gehören muss.

In diesem Sinne bieten sich vier grundlegende Instrumente zur Beurteilung der eigenen Sicherheitslage an:

 

1. Was sehen Hacker von aussen ohne grosse Mühe?

Mit Hilfe von Cybersecurity Ratingsystemen ist eine Beurteilung aufwandsarm und adressatengerecht (Management) umsetzbar!


2. Wie weit kommen Hacker?

Durch den Einsatz von Schwachstellenscannern, automatisierten Angriffssystemen sowie über manuelle Penetrationstests lassen sich schnell Handlungsbedarfe zur Steigerung der Sicherheitsresilienz ableiten.


3. Sind Hacker schon aktiv?

Mittels Instrumenten wie ATP bzw. IoC ist die Beurteilung, ob Hacker schon im eigenen Unternehmensnetzwerk aktiv sind, verlässlicher. Viele Hackergruppen bzw. Hacker hinterlassen typische Angriffsspuren, welche über solche Analysen aufgedeckt werden können. Dies ermöglicht es, noch rechtzeitig Gegenmaßnahmen zu ergreifen.


4. Werden Daten schon angeboten?

Die dauernde Analyse des Darknets gehört zwischenzeitlich zu den Disziplinen, welche helfen, ggf. erfolgreiche Angriffe noch vor der Weiterverwertung der entwendeten Daten und Informationen letztlich zu vereiteln.

 

Management


Schlüsselfunktionen

Tue Gutes und sprich darüber - der Mehrwert von Zertifizierungen!
​In zweierlei Richtungen sind Zertifizierungen immer ein deutlicher Mehrwert. Zunächst erhält das Unternehmen eine Bestätigung über die Belastbarkeit des eigenen Managementsystems.
Auf der anderen Seite können Zertifizierungen genutzt werden, um Dritte von der eigenen Leistungsfähigkeit zu überzeugen, bzw. eine Prüflast auf das eigene Unternehmen durch Dritte abzumildern.

Durch die Vielzahl von Testaten, Bescheinigungen und Zertifizierungen, die möglich und gefordert sind, müssen Sie sich strategisch und taktisch mit den Zielsetzungen, der Wirkung sowie dem Aufwand kritisch auseinander zu setzen.

Viel hilft in diesem Fall nicht immer viel!

Audits und Zertifizierungen sind wichtig, doch zu viel und Ihr Unternehmen kann gelähmt werden und eine gewisse „Auditmüdigkeit” kehrt ein. Gerade vor dem Hintergrund der eigenen Sicherheitsresilienz sollten Sie diese Entwicklung vermeiden.

Ebenso ist die Fragstellung nach der Sinnhaftigkeit der Abfrage von Zertifizierungen bei Geschäftspartner und Dritten durchaus berechtigt, wenn nicht genau geklärt ist, welchen Zweck und Mehrwert eine solche Abfrage in Bezug auf die eigene Sicherheitsresilienz hat.

Die strategische und taktische Auseinandersetzung mit dem Mehrwert von Zertifizierungen steht im Vordergrund - klare Zertifizerungsbedarfe leitet sich hiervon ab.

 

Beispielhafte Zertifizierungen

 

Spezifische Leistungen aus dem bereich Informationssicherheit, Datenschutz und Cybersecurity

Weitere Themen aus dem Bereich GRC
Business Analytics »

 

Compliance Management System (CMS) »

 

Corporate Governance »

 

Forensic Services »

 

Internes Kontrollsystem (IKS) »

 

Interne Revision »

 

IT-CMS »

 

Risikomanagementsystem (RMS) »

 

 

« Zurück zur Übersichtsseite unserer Beratungsleistungen aus dem Bereich Wirtschaftsprüfung

Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu