Digitalisierung

Informationssicherheit für Unternehmen

Informationssicherheit in Ihrem Unternehmen systematisch starten oder besser werden. Mit einigen Tipps und Partnern der IHK wollen wir Sie dabei unterstützen.

Mit Informationssicherheit beginnen

DIN SPEC 27076 – IT-Sicherheitsberatung für kleine und Kleinstunternehmen

Die DIN SPEC 27076 IT-Sicherheitsberatung für kleine und Kleinstunternehmen standardisiert die Beratung von IT-Dienstleistern für KMU. In einem Interview werden 27 Anforderungen aus sechs Themenfeldern geprüft. Die DIN SPEC 27076 ist keine IT-Sicherheitszertifizierung. Es zeigt das Sicherheitsniveau und daraus abgeleitet Maßnahmen auf.
Auf Bundesebene werden der Check und sich daran anschließende Handlungsempfehlungen über das Programm "go-digital" mit 50 Prozent bezuschusst.
Die DIN SPEC 27076 kann beim Beuth-Verlag kostenfrei heruntergeladen werden

ISA+ Informations-Sicherheits-Analyse

ISA+ Informations-Sicherheits-Analyse besteht aus einem Katalog von 50 Fragen, den Sie kostenlos herunterladen können. Mit dieser Checkliste gehen Sie strukturiert die organisatorischen, technischen und rechtlichen Aspekte der Informationssicherheit in Ihrem Unternehmen durch. Dies kann die Geschäftsleitung auch ohne technische Kenntnisse eigenständig durchführen.
Durch einen akkreditierten Berater lassen sich die Stärken und Schwächen des Unternehmens bei der Umsetzung von Informationssicherheit gezielt identifizieren und Handlungsempfehlungen aufzeigen. Mit einer möglichen Zertifizierung zeigen Sie Ihren Kunden, dass Sie sich systematisch um die Informationssicherheit in Ihrem Unternehmen kümmern.
(ISA+ wurde im IT-Sicherheitscluster e.V. in Regensburg als Vorgehensmodell von Praktikern entwickelt, um besonders kleinen und mittleren Organisationen den Einstieg in die Informationssicherheit zu erleichtern)

Informationssicherheit meistern

Der Königsweg, um Informationssicherheit in Ihrem Unternehmen zu gewährleisten, sind Managementsysteme für Informationssicherheit (ISMS). Ähnlich wie andere Managementsysteme (z.B. Qualitätsmanagement) helfen Sie, einen systematischen Prozess, der Einführung, Steuerung und kontinuierlichen Verbesserung der Informationssicherheit zu realisieren. Dokumentiert wird der erfolgreiche Einsatz eines ISMS durch die Zertifizierung.
Organisationen der Kritischen Infrastruktur und viele staatliche Einrichtungen sind praktisch verpflichtet, ein ISMS einzuführen. In manchen Branchen verpflichten Unternehmen ihre Zulieferer zu einem branchenspezifischen ISMS. Aber auch für alle anderen Organisationen, unabhängig von Ihrer Größe und Branche bietet ein ISMS wertvolle Vorteile: Das Sicherheitsniveau wird erhöht, die notwendigen Mittel werden effizient eingesetzt und die Transparenz der Ziele, Maßnahmen und Wirksamkeit verbessert. In der Außenwirkung wird das Vertrauen der Partner in die Informationssicherheit gestärkt, Versicherungsprämien können sinken und die Wettbewerbsfähigkeit steigt.
Im deutschsprachigen Raum gibt es im Wesentlichen drei ISMS, die sich vor allem im Vorgehen und im Aufwand unterscheiden.

CISIS12

CISIS12 ist der weiterentwickelte Nachfolger des seit vielen Jahren etablierten ISIS12. Durch ein strukturiertes Vorgehensmodell in 12 Schritten, wird die Einführung und Pflege eines ISMS systematisiert, transparent und kalkulierbar. Ergänzend zu ISIS12 erhält die Compliance einen hohen Stellenwert. Deswegen auch das „C“ in CISIS12. Weitere Neuerungen sind der Fokus auf Prozesse, die Risikoanalyse und Offenheit gegenüber anderen Standards sowie individuellen Erweiterungen oder branchenspezifische Maßnahmen. CISIS12 eignet sich für kleine und mittlere Organisationen, bietet aber auch größeren Organisationen ein umfassendes ISMS. Es beinhaltet ein internes Audit, aber auch externe Audits und Zertifizierungen sind möglich.
ISIS12 und CISIS12 wurde vom IT-Sicherheitscluster e.V. in Regensburg von Praktikern entwickelt, um kleine und mittlere Organisationen bei der Einführung und Pflege eines ISMS zu unterstützen.

ISO/IEC 27001

Die ISO/IEC 27001 ist eine internationale Norm, die faktisch den Standard für ein ISMS darstellt. Das Managementsystem funktioniert nach der gleichen Struktur wie andere Managementsystem (z.B. Qualitätsmanagement nach ISO 9001). Zentrales Element ist die Risikoanalyse. Eine Zertifizierung nach ISO/IEC 27001 ist möglich. Die Norm, Maßnahmen und Verfahrenshinweise sind abstrakt gehalten. Der Aufwand für die Einführung und Pflege wird höher als bei CISIS12 eingeschätzt.
Informationen zu ISO/IEC 27001 finden sich vielfältig im Internet. Es gibt keinen zentralen Ansprechpartner. Die Norm ist beim Beuth-Verlag erhältlich.

BSI IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz als nationalen Standard für Behörden und Unternehmen entwickelt. Im Gegensatz zu CISIS12 und ISO/IEC 27001 erfordert der IT-Grundschutz nur bei sehr hohem Schutzbedarf eine Risikoanalyse. Es wird von einer pauschalen Gefährdung ausgegangen. Der Maßnahmenkatalog ist sehr umfangreich und detailliert. Eine Zertifizierung des IT-Grundschutz nach ISO/IEC 27001 ist möglich. Der Aufwand für die Einführung und die Pflege eines ISMS nach IT-Grundschutz wird höher eingeschätzt als bei ISO/IEC 27001.

Informationen und Werkzeuge

Werkzeuge

Im Internet finden Sie verschiedene kostenlose Werkzeuge, mit denen Sie einzelne Aspekte der Informationssicherheit prüfen können.
  • BSI-Standards zur Internet-Sicherheit geben konkrete technische Empfehlungen zu verschiedenen Themenbereichen der IT-Sicherheit.
  • WhereGoes überprüft Kurzlinks und zeigt auf, welcher Link eigentlich dahinter steckt.
  • Security Consulter ist ein Selbstcheck von heise Security und techconsult um Gefährdungspotenziale aufzuzeigen.
  • Group Policy listet für verschiedene Anwendungen Gruppenrichtlinien auf.
  • Have I been pwned überprüft, ob gestohlene Daten über Sie veröffentlicht wurden. Kann auch genutzt werden, um alle Mailadressen einer Domain regelmäßig zu überprüfen.
  • Identity Leak Checker des Hasso-Plattner-Instituts überprüft ebenfalls, ob gestohlene Daten über Sie veröffentlicht wurden.
  • Dehasd.com überprüft ebenfalls gestohlene Daten, geht jedoch ins Detail und nennt Benutzername und Passwort. Der Dienst ist kostenpflichtig.
  • Virus Total überprüft online Dateien und Webseiten auf Schadcode.
  • Desinfec’t basiert auf Linux und wird von einem USB-Stick gestartet, um Viren auf einem Windows-PC zu scannen. Es ist von IT-Laien nutzbar, beinhaltet aber auch Profi-Werkzeuge wie OTS oder Thor Scanner. Desinfec’t wird von der c’t-Redaktion veröffentlicht.
  • How Secure Is My Password vermittelt einen Eindruck, wie sicher ein fiktives Passwort gegen Brute-Force-Angriffe ist. Bitte nur Beispiele verwenden und keine echten Passwörter!
  • SIWECOS überprüft Webseiten auf Schwachstellen.
  • Security Headers überprüft Webseiten auf Schwachstellen in den Header-Einstellungen.
  • WPSEC überprüft Wordpress-Seiten auf Schwachstellen.
  • Heise Netzwerkcheck überprüft die Ports und Router.
  • YARA  sucht nach verdächtigen Mustern, um Schadsoftware zu erkennen.
  • Shodan sucht nach Geräten, die mit dem Internet verbunden sind, beispielseise innerhalb eines IP-Adressbereiches. Der Dienst ist kostenpflichtig.
  • Wireshark ist eine lokal zu installierende Software, die Netzwerkverkehr mitschneidet und helfen kann, Schwachstellen und ungewöhnlichen Netzwerkverkehr zu erkennen.
  • Maßnahmenkatalog Ransomware des BSI fasst die wichtigsten Maßnahmen zum Schutz vor Ransomware zusammen und bewertet praxisnah Aufwand und Nutzen.
  • ID Ransomware findet heraus, welcher Trojaner hinter einem erfolgten Ransomare-Angriff steckt und ob es dafür eine Software zur Entschlüsselung gibt.
  • No More Ransomware bietet Software zum Entschlüsseln von Daten für einige Varianten der Erpressungstrojaner an.
  • Webkoll überprüft die Datenschutzeinstellungen von Webseiten.
  • DSGVO Webseiten-Check über die Übereinstimmung von Webseiten mit der DSGVO.

Informationen

Verschiedene Anbieter informieren Sie regelmäßig zu aktuellen und wichtigen Themen der Informationssicherheit. Bestellen Sie die Newsletter und bleiben Sie am Laufenden.
  • BSI für Unternehmen
    Das Bundesamt für Sicherheit in der Informationstechnik stellt eine Fülle organisatorischer und technischer Informationen für Unternehmen bereit.
  • BSI für KMU
    Zusammenstellung umfangreicher Informationen und Materials für kleine und mittlere Unternehmen.
  • CERT-Bund
    Das Computer Notfallteams des BSI informiert tagesaktuell über Schwachstellen und Sicherheitslücken.
  • Heise Security
    Der Heise Verlag bietet umfangreiche Informationen zu aktuellen Security-Themen auf der Webseite und im Newsletter.
  • Alliance für Cybersicherheit
    Das Netzwerk des BSI bietet Informationen sowie Erfahrungsaustausch zu Cybersicherheit.
  • Security Insider
    Der Vogel-Verlag informiert zu Themen der IT-Security und bietet Unternehmen die Möglichkeit, Ihre Angebote  zu präsentiern.
  • Free Cybersecurity Services and Tools
    Liste an Empfelungen und Hilfsmittel von der Cybersecurity & Infrastructur Security Agency (CISA) des U.S. Departements of Homeland Security.
  • MITRE ATT&CK ist eine Wissensdatenbank über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen basiert. Die Informationen stehen in englischer Sprache zu Verfügung
  • CVE ist eine englischsprachige Datenbank gefördert durch das Cybersecurity and Infrastructure Security Agency (CISA) des U.S. Departements of Homeland Security , in der Schwachstellen gesammelt werden.
  • CWE (Common Weakness Enumeration) ist ebenfalls eine englischsprachige Datenbank gefördert durch das Cybersecurity and Infrastructure Security Agency (CISA) des U.S. Departements of Homeland Security , in der die verschiedenen Arten von Schwachstellen für Soft- und Hardware gesammelt und aufgelistet sind.

Behörden

  • Die „Zentrale Ansprechstelle Cybercrime – ZAC“ der Polizei berät Wirtschaftsunternehmen rund um Cybersicherheit. Hier können Sie einen Sicherheitsvorfall der Polizei melden.
  • Das Cyber Allianz Zentrum Bayern (CAZ) als Unterorganisation des Bayerischen Landesamtes für Verfassungsschutz unterstützt Unternehmen sowie Betreiber kritischer Infrastruktur (KRITIS) bei der Prävention und Abwehr gezielter Cyberangriffe.
  • Das Bundesamt für Verfassungsschutz informiert in seinen Publikationen über die Themen Geheim-, Sabotage-, Wirtschafts- und Spionageschutz.