Digitalisierung

Informationssicherheit für Unternehmen

Informationssicherheit in Ihrem Unternehmen systematisch starten oder besser werden. Mit einigen Tipps und Partnern der IHK wollen wir Sie dabei unterstützen.

Mit Informationssicherheit beginnen

Sec-O-Mat von TISiM

Der Sec-O-Mat soll kleineren und mittleren Unternehmen und dem Handwerk einen einfachen Einstieg in die Informationssicherheit ermöglichen und konkrete Umsetzungsempfehlungen an die Hand geben. Besonders Unternehmen ohne eigene IT-Abteilung sind hier angesprochen. Der Sec-O-Mat liefert Ihnen eine Übersicht zu Ihren konkreten Sicherheitsbedarfen mit passenden Umsetzungsvorschlägen, angefangen von kostenfreien Schulungen bis zu aufwändigeren IT-Sicherheitslösungen. Sie bestimmen, wo und wann Sie starten möchten. Ihr TISiM-Aktionsplan zeigt Ihnen Fortschritt über Ihre Aktivitäten.
(Sec-O-Mat wurde entwickelt von der Transferstelle IT-Sicherheit im Mittelstand (TISiM) und Fraunhofer Fokus. TISiM ist eine Initiative des Bundesministeriums für Wirtschaft und Energie.)

ISA+

ISA+ besteht aus einem Katalog von 50 Fragen, den Sie kostenlos herunterladen können. Mit ihm stellen Sie den Bedarf für Informationssicherheit in Ihrem Unternehmen fest. Dies kann die Geschäftsleitung auch ohne technische Kenntnisse eigenständig durchführen.
Durch einen akkreditierten Berater lassen sich die Stärken und Schwächen des Unternehmens bei der Umsetzung von Informationssicherheit gezielt identifizieren und Handlungsempfehlungen aufzeigen. Mit einer möglichen Zertifizierung zeigen Sie Ihren Kunden, dass Sie sich systematisch um die Informationssicherheit in Ihrem Unternehmen kümmern.
(ISA+ wurde im IT-Sicherheitscluster e.V. in Regensburg als Vorgehensmodell von Praktikern entwickelt, um besonders kleinen und mittleren Organisationen den Einstieg in die Informationssicherheit zu erleichtern)

Informationssicherheit meistern

Der Königsweg, um Informationssicherheit in Ihrem Unternehmen zu gewährleisten, sind Managementsysteme für Informationssicherheit (ISMS). Ähnlich wie andere Managementsysteme (z.B. Qualitätsmanagement) helfen Sie, einen systematischen Prozess, der Einführung, Steuerung und kontinuierlichen Verbesserung der Informationssicherheit zu realisieren. Dokumentiert wird der erfolgreiche Einsatz eines ISMS durch die Zertifizierung.
Organisationen der Kritischen Infrastruktur und viele staatliche Einrichtungen sind praktisch verpflichtet, ein ISMS einzuführen. In manchen Branchen verpflichten Unternehmen ihre Zulieferer zu einem branchenspezifischen ISMS. Aber auch für alle anderen Organisationen, unabhängig von Ihrer Größe und Branche bietet ein ISMS wertvolle Vorteile: Das Sicherheitsniveau wird erhöht, die notwendigen Mittel werden effizient eingesetzt und die Transparenz der Ziele, Maßnahmen und Wirksamkeit verbessert. In der Außenwirkung wird das Vertrauen der Partner in die Informationssicherheit gestärkt, Versicherungsprämien können sinken und die Wettbewerbsfähigkeit steigt.
Im deutschsprachigen Raum gibt es im Wesentlichen drei ISMS, die sich vor allem im Vorgehen und im Aufwand unterscheiden.

CISIS12

CISIS12 ist der weiterentwickelte Nachfolger des seit vielen Jahren etablierten ISIS12. Durch ein strukturiertes Vorgehensmodell in 12 Schritten, wird die Einführung und Pflege eines ISMS systematisiert, transparent und kalkulierbar. Ergänzend zu ISIS12 erhält die Compliance einen hohen Stellenwert. Deswegen auch das „C“ in CISIS12. Weitere Neuerungen sind der Fokus auf Prozesse, die Risikoanalyse und Offenheit gegenüber anderen Standards sowi individuellen Erweiterungen oder branchenspezifischen Maßnahmen. CISIS12 eignet sich für kleine und mittlere Organisationen, bietet aber auch größeren Organisationen ein umfassendes ISMS. Es beinhaltet ein internes Audit, aber auch externe Audits und Zertifizierungen sind möglich.
ISIS12 und CISIS12 wurde vom IT-Sicherheitscluster e.V. in Regensburg von Praktikern entwickelt, um kleine und mittlere Organisationen bei der Einführung und Pflege eines ISMS zu unterstützen.

ISO/IEC 27001

Die ISO/IEC 27001 ist eine internationale Norm, die faktisch den Standard für ein ISMS darstellt. Das Managementsystem funktioniert nach der gleichen Struktur wie andere Managementsystem (z.B. Qualitätsmanagement nach ISO 9001). Zentrales Element ist die Risikoanalyse. Eine Zertifizierung nach ISO/IEC 27001 ist möglich. Die Norm, Maßnahmen und Verfahrenshinweise sind abstrakt gehalten. Der Aufwand für die Einführung und Pflege wird höher als bei CISIS12 eingeschätzt.
Informationen zu ISO/IEC 27001 finden sich vielfältig im Internet. Es gibt keinen zentralen Ansprechpartner.

BSI IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz als nationalen Standard für Behörden und Unternehmen entwickelt. Im Gegensatz zu CISIS12 und ISO/IEC 27001 erfordert der IT-Grundschutz nur bei sehr hohem Schutzbedarf eine Risikoanalyse. Es wird von einer pauschalen Gefährdung ausgegangen. Der Maßnahmenkatalog ist sehr umfangreich und detailliert. Eine Zertifizierung des IT-Grundschutz nach ISO/IEC 27001 ist möglich. Der Aufwand für die Einführung und die Pflege eines ISMS nach IT-Grundschutz wird höher eingeschätzt als bei ISO/IEC 27001.


Informationen und Werkzeuge

Werkzeuge

Im Internet finden Sie verschiedene kostenlose Werkzeuge, mit denen Sie einzelne Aspekte der Informationssicherheit prüfen können.
  • Sec-O-Mat der Transferstelle IT-Sicherheit im Mittelstand TISiM
  • WhereGoes überprüft Kurzlinks und zeigt auf, welcher Link eigentlich dahinter steckt
  • Security Consulter ist ein Selbstcheck von heise Security und techconsult um Gefährdungspotenziale aufzuzeigen.
  • Group Policy listet für verschiedene Anwendungen Gruppenrichtlinien auf.
  • Have I been pwned überprüft, ob gestohlene Daten über Sie veröffentlicht wurden.
  • Identity Leak Checker des Hasso-Plattner-Instituts überprüft ebenfalls, ob gestohlene Daten über Sie veröffentlicht wurden.
  • Virus Total überprüft online Dateien und Webseiten auf Schadcode.
  • How Secure Is My Password vermittelt einen Eindruck, wie sicher ein Passwort gegen Brute-Force-Angriffe ist.
  • SIWECOS überprüft Webseiten auf Schwachstellen
  • Heise Netzwerkcheck überprüft die Ports und Router
  • YARA  sucht nach verdächtigen Mustern, um Schadsoftware zu erkennen.

Informationen

Verschiedene Anbieter informieren Sie regelmäßig zu aktuellen und wichtigen Themen der Informationssicherheit. Bestellen Sie die Newsletter und bleiben Sie am Laufenden.
  • BSI für Unternehmen
    Das Bundesamt für Sicherheit in der Informationstechnik stellt eine Fülle organisatorischer und technischer Informationen auch für Unternehmen bereit.
  • CERT-Bund
    Der Newsletter des Computer Notfallteams des BSI informiert tagesaktuell über Schwachstellen und Sicherheitslücken.
  • Heise Security
    Der Heise Verlag bietet umfangreiche Informationen zu aktuellen Security-Themen auf der Webseite und im Newsletter.
  • Alliance für Cybersicherheit
    Das Netzwerk des BSI bietet Informationen sowie Erfahrungsaustausch zu Cybersicherheit.
  • Security Insider
    Der Vogel-Verlag informiert zu Themen der IT-Security und bietet Unternehmen die Möglichkeit, Ihre Angebote  zu präsentiern.
  • MITRE ATT&CK ist eine Wissensdatenbank über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen basiert. Die Informationen stehen in englischer Sprache zu Verfügung
  • CVE ist eine englischsprachige Datenbank gefördert durch das Cybersecurity and Infrastructure Security Agency (CISA) des U.S. Departements of Homeland Security , in der Schwachstellen gesammelt werden.
  • CWE (Common Weakness Enumeration) ist ebenfalls eine englischsprachige Datenbank gefördert durch das Cybersecurity and Infrastructure Security Agency (CISA) des U.S. Departements of Homeland Security , in der die verschiedenen Arten von Schwachstellen für Soft- und Hardware gesammelt und aufgelistet sind.

Behörden

  • Die „Zentrale Ansprechstelle Cybercrime – ZAC“ der Polizei berät Wirtschaftsunternehmen rund um Cybersicherheit. Hier können Sie einen Sicherheitsvorfall der Polizei melden.
  • Das Cyber Allianz Zentrum Bayern (CAZ) als Unterorganisation des Bayerischen Landesamtes für Verfassungsschutz unterstützt Unternehmen sowie Betreiber kritischer Infrastruktur (KRITIS) bei der Prävention und Abwehr gezielter Cyberangriffe.
  • Das Bundesamt für Verfassungsschutz informiert in seinen Publikationen über die Themen Geheim-, Sabotage-, Wirtschafts- und Spionageschutz.