Neues Interview: Ayesha Imran
Ayesha Imran verstärkt gleich zwei Teams in den Bereichen Security und Development, lernen Sie sich mit diesem Interview besser kennen.
Ayesha Imran verstärkt gleich zwei Teams in den Bereichen Security und Development, lernen Sie sich mit diesem Interview besser kennen.
mehr
schließen
Interview mit Andrian Dürr, Consultant und Informationssicherheitsbeauftragter bei der ICS GmbH Stuttgart.
Herr Dürr, Sie beraten mittelständische Unternehmen in Sachen IT-Sicherheit. Sind sich KMU der Gefahren bewusst, die von Cyberangriffen und Schadsoftware ausgehen?
Leider fühlen sie sich oft nicht angesprochen. Sie denken, dass nur die großen Konzerne und Banken von Cyber-Attacken und Systemausfällen betroffen sind. Dabei ist ein Systemausfall auch für den Mittelstand ein existenzbedrohendes Szenario. Auch Datenleaks stellen ein hohes Risiko dar. Viele Mittelständler haben sehr wertvolle Geschäftsgeheimnisse. Wenn Informationen in die falschen Hände geraten, kann das auch die Reputation nachhaltig beschädigen oder hohe Vertragsstrafen von Geschäftspartnern nach sich ziehen.
Und wie können sich die Unternehmen schützen?
Eine sehr wirksame Methode ist es, ein ISMS [Informationssicherheits-Managementsystem] nach der ISO 27000 einzuführen. Die Norm klopft genau ab, welche Unternehmenswerte vorhanden und wie sie zu schützen sind. Sie identifiziert auch mögliche Risiken. Außerdem fordert die Norm Prozesse, um die etablierten Maßnahmen laufend zu überprüfen. Um ein wirksames ISMS zu etablieren, muss man sich nicht unbedingt zertifizieren lassen. Mit einer Zertifizierung zeigt man seinen Auftraggebern aber, dass man Informationssicherheit ernst nimmt.
Ihre Firma hat sich vor kurzem selbst nach der ISO 27001 zertifizieren lassen. Wie war die Erfahrung?
Zunächst dachten wir, dass die Norm für ein Unternehmen unserer Größe [rund 150 Mitarbeiter] zu komplex ist, haben aber schnell gemerkt, dass das nicht stimmt. Die Norm ist so aufgebaut, dass sie auf das jeweilige Unternehmen individuell angepasst werden kann. Man kann bestimmte Punkte als nicht anwendbar deklarieren, wie zum Beispiel die Softwareentwicklung, wenn man diese nicht im Haus hat. Die Norm zwingt einen also nicht dazu, etwas Unnötiges einzuführen. Das Wichtigste dabei ist, dass man alles entsprechend dokumentiert.
Ist die Dokumentation schwierig?
Das kommt auf die Grundlage an. Aber wir können entsprechende Vorlagen liefern und dabei helfen, sie zu füllen. Das war für uns auch das Schwierigste. Wir wussten nicht, welche Dokumente wir brauchen, wie sie aussehen müssen, was drin stehen muss. Wir mussten uns das hart erarbeiten. Das macht es für unsere Kunden jetzt einfacher. Wir hätten damals gerne jemanden wie uns gehabt, der diese Erfahrung mitbringt.
Was würden Sie ihren Kunden vor einem Audit raten?
Nur keine Angst haben! Sicherheit ist kein undurchsichtiges Monster. Die meisten haben aber Angst oder wollen sparen. Also warten sie erst mal ab, bis etwas passiert. Aber man muss präventiv etwas tun. Und mit der richtigen Unterstützung an der Seite, ist das alles halb so wild.
>> www.einfach-sicher.info // Kontaktaufnahme einfach per Mail an einfach-sicher(at)ics-ag.de