08/08/2018 – Infodas

Schützen Sie sich vor Cyberangriffen!

Wirtschaftliche Folgen durch gestohlene oder gesperrte Daten, Erpresser oder stillgelegte Maschinen sind immens.

BSI.jpg

Um die Basis für mehr IT-Sicherheit zu schaffen eignet sich die IT-Grundschutz-Methode des „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) © BSI

 

Zu einer existentiellen Bedrohung kann das insbesondere für kleine und mittelgroße Unternehmen werden, von denen es in der Textil- und Bekleidungsbranche ja recht viele gibt. Um die Basis für mehr IT-Sicherheit zu schaffen eignet sich die IT-Grundschutz-Methode des „Bundesamt für Sicherheit in der Informationstechnik“ (BSI). Der bewährte Standard bietet durch seine Modernisierung jetzt auch Schutz für kleinere und mittelgroße Unternehmen.

Basis schaffen für mehr IT-Sicherheit

Der Schutz der Unternehmens-IT ist längst nicht mehr „nice to have“, sondern eine Frage der unternehmerischen Existenz. Angesichts immer raffinierterer Cyber-Angreifer und einer Vielzahl bekannter und unbekannter Gefährdungen reichen die Anschaffung einer Firewall oder einer Antiviren-Software längst nicht mehr aus. Zudem sind immer häufiger die eigenen Mitarbeiter Opfer gezielter Angriffsmethoden wie Phishing und Social Engineering und öffnen den Angreifern durch Unwissenheit oder Nachlässigkeit Tür und Tor.

Mobile Geräte werden ohne Passwortschutz genutzt, Anhänge von Spam-Mails geöffnet und fremde USB-Sticks verwendet

Hinzu kommen physische Gefahren wie Feuer, Wasser oder Staub, die ernste Schäden an IT-Systemen verursachen können. Nur mit einer systematischen und umfassenden Herangehensweise lässt sich dieses Bündel von Bedrohungen stoppen. Entscheidend ist ein Umdenken im Management: IT-Sicherheit gehört ganz oben auf die Agenda jedes Unternehmens – und zwar in den Chefetagen.

Grundlegende Erstabsicherung

Eine zuverlässige Basis für solche führungsgetriebenen Sicherheitsstrategien gibt es seit über 20 Jahren: Das BSI hat mit dem IT-Grundschutz einen detaillierten Leitfaden erstellt, der heute mehr Relevanz hat denn je. Die Grundschutzmethodik berücksichtigt hierbei alle für die IT-Sicherheit relevanten Bereiche wie Organisation, Personal, Technik und Infrastruktur und sichert diese im Hinblick auf die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit ab.

Hierbei geht es neben der Absicherung von Servern und Clients auch darum, ob die Mitarbeiter richtig geschult sind oder Räume und Türen genügend gegen Feuer und Rauch geschützt sind. Der IT-Grundschutz wurde erst kürzlich modernisiert und um aktuelle Anforderungen erweitert. Entscheidend für kleinere Unternehmen: Das BSI hat erstmals einen Ansatz entwickelt, der sich flexibel an die Bedürfnisse des Unternehmens anpassen lässt. Damit können nun auch Textilunternehmen, die nur wenige Kapazitäten hinsichtlich der IT-Absicherung haben, ihre Informationstechnologie auf sichere Beine stellen.

Updates nicht mehr versäumen – eine Frage des Managements

Das Rückgrat der IT-Grundschutz-Methode ist der Aufbau eines so genannten Informationssicherheits-Managementsystems (ISMS). Dabei werden Verfahren und Regeln festgelegt, die dafür sorgen, dass ein angemessenes Informationssicherheitssicherheitsniveau für das Unternehmen definiert, umgesetzt und kontinuierlich verbessert wird.

Der IT-Grundschutz bietet die Struktur für ein systematisches Vorgehen bei der Entwicklung und Umsetzung eines ISMS. Dank der standardisierten Methodik lässt sich die Umsetzung bewerten und vergleichen. Die wirkungsvolle Umsetzung lässt sich durch unabhängige Auditoren prüfen und durch das BSI zertifizieren. Ein solches Zertifikat dient als Nachweis für den erfolgreichen und nachhaltigen Aufbau eines ISMS in der gesamten textilen Lieferkette – vom Garnlieferanten bis zum Einzel- und Großhändler.

Folgende Schritte sind dafür Voraussetzung:

1. Aufwand abschätzen mittels Gap-Analyse

Bei den meisten Unternehmen der Textilbranche wurden bereits Maßnahmen zur Erhöhung der Informationssicherheit umgesetzt – Beispiele hierfür sind u.a. Firewalls, Virenscanner, Brandschutztechnik sowie Anweisungen zur Nutzung von mobilen Endgeräten. Erfahrungsgemäß sind diese Sicherheitsmaßnahmen oft unvollständig und nicht systematisch vernetzt und die ganzheitliche Planung sowie Wirkungskontrolle nicht standarisiert umgesetzt. IT-Sicherheitsdienstleister nutzen deshalb so genannte Gap-Analysen, welche den Umsetzungsgrad der Anforderungen aus dem IT-Grundschutz durch einen Abgleich mit dem Ist-Zustand im Unternehmen prüfen, um den Aufwand für die ganzheitliche Einführung eines ISMS besser abschätzen zu können.

2. Zertifizierung – ja oder nein?

Mit einer Zertifizierung des ISMS werden die Transparenz und Wirkung der Sicherheitsprozesse bekräftigt und nach außen nachweisbar, was das Vertrauen in das Textilunternehmen steigert und für einige Unternehmen sogar ein erfolgskritisches Alleinstellungsmerkmal darstellt. Im nächsten Schritt sollte ein Textilhersteller daher entscheiden, ob die Zertifizierung der erfolgreichen Implementierung des ISMS erforderlich bzw. gewünscht ist. Die Zertifizierung eines ISMS, das nach IT-Grundschutz aufgebaut wurde und betrieben wird, erfolgt als “ISO 27001 Zertifizierung auf Basis von IT-Grundschutz“ und erfüllt damit sowohl den hohen nationalen Standard des BSI als auch den internationalen Standard der ISO 27001 Norm.

3. Individuellen Grad der Absicherung wählen

Bisher war in der Grundschutz-Methodik nur eine Vorgehensweise, nämlich die vollständige Absicherung des gesamten Informationsverbunds, vorgesehen. Der modernisierte IT-Grundschutz hingegen bietet drei Vorgehensweisen für die Absicherung an. Den Unternehmen ermöglicht die Basis-Absicherung eine praxisnahe und schnelle Umsetzung der wichtigsten erforderlichen IT-Sicherheit. Anschließend lässt sich durch die Umsetzung weiterer Bausteine das Sicherheitsniveau systematisch erhöhen, bis eine Zertifizierungsreife erreicht wird.

Fazit

Unternehmen in der Textilindustrie bietet der IT-Grundschutz eine bewährte und umfassende Methode zur Absicherung ihrer IT. Das ursprünglich enorm umfangreiche Paket präsentiert sich heute als flexibler Werkzeugkasten, welcher sich dem individuellen Bedarf der Unternehmensgröße anpassen lässt. Ob Hersteller technischer Spezialgarne, Wäschedesigner oder Entwickler von Funktionstextilien: Kleinere Unternehmen erhalten erstmals einen einfachen Zugang zu systematischem IT-Sicherheitsmanagement.

Severin Rast, Leiter Business Unit IT Security Consulting der Infodas GmbH