<kes> Special zur CeBIT 2016 VdS-Richtlinien zur IT-Sicherheit Cyber-Security – der Brandschutz des 21. Jahrhunderts Um im weltweiten Wettbewerb zu bestehen, ist auch für kleine und mittelständische Unternehmen die Nutzung moderner IT zur Bewältigung von betriebswirtschaftlichen, logistischen und technischen Geschäftsprozessen heute ein unabdingbares Erfordernis. Die Digitalisierung und die Vernetzung bieten allerdings eine breite Angriffsfläche für Cyber-Kriminelle. Mit den Richtlinien „VdS-zertifizierte Cyber-Security“ (VdS 3473) unterstützt VdS Schadenverhütung Unternehmen bei diesen zukunftweisenden Herausforderungen im In- und Ausland. Von Dr. Robert Reinermann, VdS Schadenverhütung GmbH Cyber-Angriffe auf Unternehmen, Verwaltungen und Privatnutzer kommen jeden Tag vor und haben in den vergangenen Jahren immer weiter zugenommen. Gleichzeitig ist eine immer stärkere Professionalisierung dieser Angriffe zu verzeichnen. Daher bleibt auch auf der diesjährigen CeBIT die CyberSecurity eines der Hauptthemen. Aus der aktuellen PriceWaterhouseCooper (PwC)-Studie “Global State of Information Security Survey 2016” geht hervor, dass Cyber-Attacken auf Unternehmen und Behörden immer professioneller werden und keine Einrichtung es sich mehr leisten kann, die Gefahren solcher Attacken zu ignorieren. Im vergangenen Jahr stieg die Anzahl von Cyber-Attacken laut PwC um 38 Prozent im Vergleich zum Jahr 2014. Und obwohl das Bewusstsein für die Gefahren durch Cyber-Kriminalität wächst, schützen die Firmen ihre IT-Systeme weiterhin häufig nur unzureichend. Laut dem Sicherheitsmonitor, der auf einer Umfrage unter 1.500 kleinen und mittelständischen Unternehmen (KMU) beruht, gibt es gerade einmal in einem Drittel der Firmen ein ganzheitliches IT-Sicherheitskonzept, das auch von der Geschäftsleitung getragen wird. Gemessen an der zuneh20 menden Digitalisierung attestiert der Bericht sogar einen Rückgang des Schutzniveaus im Vergleich zu den Vorjahren. Das wissen auch CyberKriminelle, weshalb besonders KMU ein häufiges und lohnendes Ziel für Cyberangriffe sind. Daten und Know-how von Unternehmen werden ausspioniert oder die Betriebsabläufe empfindlich gestört. Laut PwC-Studie hat sich die Cyber-Kriminalität mittlerweile zu einem echten „Wirtschaftszweig“ entwickelt, der im vergangenen Jahr den stärksten Anstieg seit 10 Jahren verzeichnet hat. Im Durchschnitt entstehen rund 41.000 Euro Kosten pro Schaden verursachendem Angriff auf mittelständische Unternehmen, fand Kaspersky Lab in einer Umfrage unter u. a. 194 deutschen IT-Entscheidern heraus. Auch das Bundeskriminalamt (BKA) schlägt bereits Alarm: „Die Verfügbarkeit des Cyber-Raums und die Integrität, Authentizität und Vertraulichkeit der darin vorhandenen Daten sind zu einer existenziellen Frage des 21. Jahrhunderts geworden“, erklärt das Amt in seinem Infoblatt „CyberSicherheitsstrategie für Deutschland“. Neue Richtlinien für KMU In Deutschland fehlte in den vergangenen Jahren ein einheitlicher Standard für die Informationssicherheit, der vom Mittelstand mit überschaubarem Aufwand umgesetzt werden konnte. Die Anwendung der bestehenden ISO 27000er-Reihe und der BSI-Grundschutzkataloge sind in der Umsetzung besonders für KMU zu mächtig und zu komplex. Der Aufbau einer zertifizierungsfähigen Organisation und der Zertifizierungsprozess sind mit sehr hohen Kosten und großem Aufwand verbunden. Das hat zur Folge, dass sich hauptsächlich Großunternehmen und Konzerne mit der ISO 27000er-Reihe beschäftigen und sich zertifizieren lassen. Mit der Veröffentlichung der Richtlinien „VdS-zertifizierte Cyber-Security“ (VdS 3473) und dem dazugehörigen neuen Dienstleistungsangebot reagierte VdS Schadenverhütung – eine Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) – bereits im vergangenen Jahr auf diese Sicherheitslücke im Mittelstand und stellte mit großer positiver Resonanz die neuen zu- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special CeBIT · März 2016 kunftsweisenden Richtlinien auf der CeBIT 2015 vor. Die neuen Richtlinien VdS 3473 gehörten schon kurze Zeit nach der Vorstellung zu den Top-3-Standards bei der Implementierung eines Managementsystems für Informationssicherheit (ISMS). Dies geht aus der aktuellen Studie „Cyber-Sicherheits-Umfrage 2015“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hervor. Die BSI-Studie zeigte auf, wie sich Unternehmen aktuell vor möglichen Cyber-Angriffen schützen. Es wurden darin Unternehmen erfasst, die bereits ein ISMS zertifiziert, etabliert oder geplant haben. Hinter den branchenneutralen Richtlinien VdS 3473, die für den internationalen Markt auch in englischer Sprache verfügbar sind und permanent von VdS weiterentwickelt werden, verbirgt sich ein speziell auf KMU zugeschnittenes Verfahren, mit dem der Informationssicherheitsstatus eines Unternehmens auditiert und zertifiziert werden kann. Die Mindestanforderungen an die Informationssicherheit sind so gestaltet, dass KMU organisatorisch oder finanziell nicht überfordert werden. Mit circa 20 Prozent des Aufwandes im Vergleich zu ISO 27001 können KMU aus den Richtlinien von VdS Maßnahmen und Prozesse ableiten, um im IT-Bereich ein angemessenes Schutzniveau zu erreichen. Zusätzlich wurden die VdS-Richtlinien aufwärtskompatibel gestaltet. Dadurch kann eine Zertifizierung nach VdS 3473 auch jederzeit der Einstieg in die ISO 2700er-Reihe sein, bei dem Unternehmen von VdS unterstützt werden können. Die Vorteile zertifizierter Informationssicherheit Mit einer VdS-zertifizierten Informationssicherheit nach VdS 3473 ergibt sich für Unternehmen eine Reihe von Vorteilen: Das VdS-Zertifikat bestätigt, dass sich das Unternehmen organisatorisch und technisch auf die wichtigsten Angriffsszenarien vorbereitet hat – und über passende Schutzmaßnahmen verfügt. Das VdS-Zertifikat erzeugt bei Lieferanten, Kunden und Versicherern ein hohes Vertrauen in die Leistungsfähigkeit des Unternehmens: Daten sind sicher geschützt und Einschränkungen der Lieferfähigkeit des Unternehmens wurden minimiert. Wettbewerbsvorteile sind die Folge. Das Unternehmen erweitert sein Risikomanagement um den Aspekt der Informationssicherheit – ein unabdingbares Muss für die Unternehmenssicherheit. Die Risikotransparenz im Unternehmen wird erhöht und so die Geschäftsleitung entlastet. Das Unternehmen kann sich wieder auf seine Kernprozesse konzentrieren. check.de deutsch- und englischsprachig zur Verfügung steht – können Unternehmen sich ein erstes Bild über den Status ihrer Cyber-Security verschaffen. Die Ergebnisse können anschließend von VdS in einem sogenannten Quick-Audit vor Ort verifiziert werden. Unternehmen, die über einen aktuellen Wissensstand auf dem Gebiet der Informationssicherheit verfügen, können die Maßnahmen der Richtlinien auch in Eigenregie umsetzen, um einen zertifizierungsfähigen Status herzustellen. Ist das Know-how allerdings nicht vorhanden, benötigen besonders kleinere Unternehmen fachliche Hilfe durch qualifizierte Dienstleister. In Anlehnung an die etablierte VdS-Errichteranerkennung bietet VdS auch IT-Dienstleistern ein Die Module des VdS-Konzepts für Cyber-Security sind exakt auf die Bedürfnisse und Anforderungen mittelständischer Unternehmen zugeschnitten. Das – immer verbleibende – Restrisiko können Unternehmen auf einen Versicherer übertragen und damit eine zweite Verteidigungslinie für ihre Existenzsicherung aufbauen. Um den Weg zur Zertifizierung des Informationssicherheitsprozesses zu ebnen und als Vorbereitung für eine Zertifizierung nach VdS 3473 bietet VdS zwei Instrumente an. Mit dem VdS Quick-Check – einem kostenlosen Webtool, das im Internet unter www.vds-quick- © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special CeBIT · März 2016 Anerkennungsverfahren an. Die VdS-anerkannten Cyber-SecurityBerater werden auf der VdS-Website gelistet. Zusätzlich hat VdS rund um den Bereich Cyber-Security mit „Informationssicherheitsbeauftragter“ und „VdS 3473 – Richtlinien für die Informationssicherheit“ zwei neue Lehrgänge im Programm (www.vds. de/de/vds-cyber-security/). Messestand: Halle 5, Stand A 36 21
© Copyright 2024 ExpyDoc
