ISO 27001: Warum eine Sicherheitskultur so bedeutend ist

Ein zu sorgloser Umgang mit Informationen, gezielte Sabotage und Hackerangriffe: Sensible Daten bergen für Unternehmen ein großes Gefahrenpotenzial. Geraten sie in falsche Hände, können die finanziellen Verluste und Imageschäden immens sein. Dabei ließen sich viele Sicherheitsdelikte vermeiden: Durch eine Sicherheitskultur, die alle Mitarbeiter für Risiken sensibilisiert.

Zwei Führungskräfte des Filmkonzerns Pathé ahnten nichts Böses, als sie der Holding-CEO per E-Mail aufforderte, Geldbeträge für ein angebliches Zukaufgeschäft zu überweisen. Pflichtbewusst transferierten sie insgesamt 21 Millionen US-Dollar – auf das Konto von Cyberkriminellen, die sich lediglich als Firmenchef ausgegeben hatten. Beide Manager wurden entlassen, das Geld blieb vollständig verloren. Betrugsmaschen wie diese entwickeln sich unter der Bezeichnung CEO-Fraud zum Massendelikt. Innerhalb von fünf Jahren wurden global 78.617 E-Mail-Betrugsfälle mit einer Schadenssumme von rund 12,5 Milliarden US-Dollar verzeichnet, teilte das FBI Mitte 2018 mit.

Auch jenseits von CEO-Fraud ist Cyberkriminalität ein zentrales Thema. „Social Engineering“ ist bei Hackern beliebt: Sie sammeln persönliche Daten über soziale Medien und nutzen sie gezielt zur Manipulation. Ihren Weg in die Unternehmens-IT finden sie so meist über die Arbeitnehmer. Was nicht erstaunlich ist, wenn man internationale Studien zur IT-Sicherheit am Arbeitsplatz liest: Nur etwa die Hälfte der Arbeitnehmer beschäftigt sich demnach aktiv mit dem Thema Informationssicherheit. Viele verlassen sich darauf, dass der Arbeitgeber für Sicherheit sorgt und ergreifen selbst kaum Vorsichtsmaßnahmen. Oft ist ihnen gar nicht bewusst, mit welch sensiblen Daten sie es täglich zu tun haben – etwa Passwörter, Verträge, Bank- und Kundendaten.

Im Video: So leicht verschaffen sich Hacker per Social Engineering Zugang

Informationssicherheit muss Teil der Unternehmenskultur werden

Damit Mitarbeiter mehr Risiken erkennen, muss der Sicherheitsgedanke in ihre tägliche Arbeitswelt integriert werden. Auch kleine Maßnahmen können wirkungsvoll sein. Der IT-Sicherheitsexperte Stormshield setzt etwa auf die „Kleingebäck-Strafe“: Wenn ein Mitarbeiter das Büro verlässt, ohne seinen PC zu sperren, wird er automatisch per E-Mail aufgefordert, seinem Team Croissants zu spendieren. In den meisten Unternehmen liegt der Fokus jedoch auf IT-Lösungen und kaum auf den Mitarbeitern. Informationssicherheit kann nur im Zusammenspiel von Menschen, Prozessen und Technologien erreicht werden und ist Aufgabe der gesamten Organisation. Aber nur wenige Unternehmen leben eine ganzheitliche Sicherheitskultur. Das belegt der Cybersecurity Culture Report 2018 der ISACA und des CMMI Institutes: 95 Prozent der rund 4.800 weltweit befragten Unternehmen gaben an, Informationssicherheit noch nicht zufriedenstellend in ihrer Unternehmenskultur verankert zu haben. Dabei sind sich neun von zehn Befragten einig, dass eine starke Sicherheitskultur die Profitabilität ihres Unternehmens erhöhen würde. Vielen fehlt jedoch ein fundiertes Konzept.

„Menschen verlassen sich auf IT-Lösungen. Aber Social Engineering umgeht diese. Wir müssen uns auch mit Menschen und Prozessen befassen.“
Kevin Mitnick,
Social-Engineering-Experte, Geschäftsführer einer Sicherheitsfirma und ehemaliger Hacker

Informationssicherheits-Managementsystem (ISMS) als konzeptioneller Rahmen

Alle Sicherheitsrisiken und Angriffsszenarien vorauszuahnen, ist unmöglich. Daher ist es notwendig, Unternehmensprozesse übersichtlich und gefahrenresistent zu gestalten. Dazu müssen alle Prozesse dokumentiert, Risiken identifiziert und konkrete Sicherheitsmaßnahmen entwickelt werden. Ebenso braucht es klare Kompetenzen und Zugriffsrechte. Die reine Dokumentation belegt noch nicht, dass die Abläufe sicher sind. Dokumentierte Prozesse müssen freigegeben werden und für eine Zertifizierung von einem externen Auditor genehmigt werden. Erst dann ist das das ISMS zertifiziert. Dafür gibt es etablierte Normen – wie die international führende ISO 27001. Sie beschreibt, wie ein Informationssicherheitsmanagementsystem gewährleistet wird. Dabei betrachtet sie Sicherheit als Teil der Unternehmenskultur und das Unternehmen als Ganzes: Alle Hierarchieebenen und Abteilungen können in die Maßnahmen einbezogen werden sowie Sicherheitsrichtlinien und Schulungen fest im Arbeitsalltag verankert. Nur wenn eine Sicherheitskultur bewusst gelebt wird, verwandeln Unternehmen ihre größte Schwachstelle in ein Kraftfeld. Dann erkennen Mitarbeiter Gefahren wie CEO-Fraud und wehren sie erfolgreich ab.

Müssen Anlagenbetreiber jetzt also komplett neue Technologien einführen? Können sie das Internet of Things überhaupt nutzen, ohne sich unkalkulierbaren Risiken auszusetzen? Die Fragen sind vielfältig, die Antworten rar. Experten wie Sandro Gaycken sind daher heute noch gefragter als zu Stuxnet-Zeiten. Für ihn steht fest: Wer kritische Infrastrukturen vor Cyberangriffen schützen wolle, müsse so viele Systeme wie möglich vom Internet entkoppeln und separieren, sagte er gegenüber FAZ.net.

„Aufgrund der aktuellen Bedrohungslage hat sich die ISO 27001 zum weltweit anerkannten Standard etabliert. Was bisher die ISO 9001 war, wird zukünftig die ISO 27001 sein.“
Peter Suhling,
akkreditierter ISO 9001 und ISO 27001 Lead Auditor