Die Betrachtungen der vorherigen Folgen sind, wie schon im ersten Beitrag erwähnt, nur oberflächliche Betrachtungen. Hinter einigen der erwähnten Aspekte und Konzepte verbergen sich durchaus komplexere Herausforderungen für Sie, die wir gerne mit Ihnen zusammen erarbeiten und Sie begleiten bei der Umsetzung.
Wir möchten Ihnen in dieser Abschlussfolge noch zwei wichtige Themenbereiche bzw. Aspekte erläutern: Mitarbeiteraufmerksamkeit und Lieferketten-Kontrolle.
Mitarbeiteraufmerksamkeit
Die, die vor dem Rechner sitzen sind natürlich eine „Schwachstelle“ im System. Die Faktoren, die dazu führen, sind vielfältig. Mangelnde Digitalkompetenz, schlechte Ausrüstung mit IT-Werkzeugen, fehlende Aufklärung und Ausbildung und auch eine Arbeitsverdichtung sind nur einige mögliche Auslöser für eine Sicherheitsvorfall.
Die digitalen Identitäten der Mitarbeiter Ihres Unternehmens stehen dabei besonders im Fokus der Angreifer. Nicht umsonst heißt es in der Szene „Nowadays, hacker don’t hack, they log in!“
Daher sollte auf diesen Bereich ein besonderes Augenmerk gerichtet werden. Zwei Aufgabe sind aus unserer Sicht ganz besonders hervorzuheben.
Ausbilden/Trainieren und Zuhören
Unter „Ausbilden/Trainieren“ können Sie sich sicherlich etwas vorstellen. Der zweite Punkt „Zuhören“ ist aber ebenso wichtig. Schaffen Sie Strukturen, in denen aufmerksame Mitarbeitende angstfrei Meldungen abgeben können, die ernstgenommen und zeitnah bearbeitet werden.
Dann vermindern Sie das Risiko, dass einem Mitglied Ihres Teams, der den Helpdesk über den Verdacht einer Infektion seines Rechners informieren will, gesagt wird, das könne nicht sein, er solle den Rechner einfach mal neu starten.
Das angelsächsische „Awareness“ wird in dem Zusammenhang immer mit der betroffenen Person verbunden. Das ist aber im Zusammenhang mit der Informationssicherheit ein dichotomes Konzept und schließt die ein, die sich um den Zwischenfall kümmern sollten und können.
Die Ausbildung und das Training sind vielseitig umsetzbar. Kombinieren Sie mehrere Instrumente, z.B. regelmäßige Schulungen und Simulationen (z.B. Phishing-Kampagnen, Pentests, Kommunikationstrainings für die IT).
Lieferkettenkontrolle
Zugegeben, das ist ein irgendwie belastetes Wort und das hängt mit den – Achtung Wortwurm! – Lieferkettensorgfaltspflichtgesetz zusammen. Darum soll es aber hier nicht gehen.
Auch im Bereich der Informationssicherheit spielt die Betrachtung von Lieferketten eine Rolle und umfasst Anfassbares wie Rechner und andere Komponenten und nicht Anfassbares wie IT-Dienstleistungen und Software. All das durchdringt den virtuellen Perimeter Ihres Unternehmens von außen und beeinflusst ihre Sicherheitslage.
Daher sind hier einige Maßnahmen nötig, um Ihr Informationssicherheitskonzept zu vervollständigen und zu stärken.
- Hardware: Kaufen Sie in vertrauenswürdigen Quellen ein, besonders, wenn es sich um Refurbished Ware handeln sollte. Testen Sie die Ware ausgiebig, bevor Sie sie einsetzen
- Software: Insbesondere im Bereich der branchen-spezifischen Software ist ein genauer Blick auf das Produkt angeraten, da hier unternehmenskritische Prozesse abgebildet werden, bei denen ein Schadensfall große Auswirkungen hat. Daher würden wir Ihnen empfehlen, bei der Produktauswahl Informationssicherheitskriterien einzubeziehen. Wie wird das System betrieben? Wie meldet man sich an? Wie sieht die Wartung aus? Kann der Hersteller zur Unterstützung Ihres ISMS eine SBOM (Software-Bills-of-Material) liefern (synchron zum Wartungs- und Entwicklungszyklus)? Das ist eine maschinenlesbare Aufstellung von Komponenten und eingebauten Fremdbibliotheken mit ihren Versionsständen. Damit lassen sich Schwachstellen schnell erfassen. Befassen Sie sich daher auch im Namen der Informationssicherheit mit Ihren Beschaffungsprozessen.
- IT-Dienstleistung: Kaufen Sie IT-Dienstleistungen ein, gibt es mehrere Aufgaben für Sie. Egal, welche Form von Dienstleitung Sie einkaufen, legen Sie die Aspekte aus Ihrem ISMS fest, die der Auftragnehmer vertraglich beachten soll. Das wird die Form der Dienstleistung, Kommunikationsstrukturen und notwendige Sicherheitsmaßnahmen enthalten, die Sie mit dem Dienstleister verhandeln. Dafür gibt es Vorlagen, die man heranziehen kann. Die bekanntesten sind die Basis- und Systemverträge für die öffentlichen Auftraggeber, die Ergänzenden Vertragsbedingungen für die Beschaffung von Informationstechnik, bereitgestellt vom BSI. Bitte aber sogfältig prüfen und auf die eigenen Gegebenheiten anpassen.
- Und zuletzt: Auditieren Sie Ihren Dienstleister! Besitzt der Vertragsnehmer ein Sicherheitszertifikat (z.B. nach ISO27001), lassen Sie sich die Grundlagen zeigen! Es ist schließlich Ihr Risiko!
Damit sind wir am Ende der kleinen Blogreihe. Wir hoffen, wir haben Sie auf eine lesenswerte Reise durch das Informationssicherheitsmanagement mitnehmen können und freuen uns, von Ihnen zu hören.
Wie geht es jetzt weiter?
Wir machen gerne mit Ihnen zusammen einen Cyber-Risiko-Check für eine erste Einschätzung. Ein erster Schritt in die richtige Richtung und die Basis für Ihre Informationssicherheit. Mehr Infos dazu gibt’s hier.