Cyber-Sicherheit für den Mittelstand
Digitalisierung und Vernetzung bieten gerade für kleine und mittlere Unternehmen (KMU) vielfältige Chancen. Allerdings sollten die damit verbundenen Sicherheitsfragen Chefsache sein. Auch für Berater ergeben sich neue Aufgaben.
Sebastian Brose von der VdS Schadenverhütung GmbH beschreibt in seinem Beitrag die Sicherheitsfragen für Unternehmen, stellt Werkzeuge für die Analyse vor und erläutert die in diesem Thema liegenden neuen Beratungsaufgaben und die Qualifizierungen dafür.
Cyber-Security: Der Brandschutz des 21. Jahrhunderts
Viele der rund 3,2 Millionen kleinen und mittelständischen Unternehmen (KMU) Deutschlands sind hoch innovativ und in ihren Branchen Marktführer. Aber die Voraussetzungen für den Markterfolg sind nicht nur hervorragende Produkte und Dienstleistungen.
Die Nutzung moderner IT zur Bewältigung aller Geschäftsprozesse sowie der Anschluss an das Internet sind heute unabdingbare Erfordernisse, um im Wettbewerb bestehen zu können. Doch Digitalisierung und Vernetzung bieten auch breite Angriffsflächen für Cyber-Kriminelle, um Daten und Know-how von Unternehmen abzugreifen oder die Betriebsabläufe empfindlich zu stören.
Optionen für den Mittelstand
Große Unternehmen setzen bei der Cyber-Sicherheit vielfach auf den internationalen IT-Sicherheitsstandard ISO 27000 ff., dessen Umsetzung mittelständische Unternehmen jedoch vor kaum lösbare Aufgaben stellt. Welche Optionen hat der Mittelstand bei der Organisation von Informationssicherheit?
Der Bericht zur Lage der IT-Sicherheit in Deutschland, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende 2014 herausgegeben hat, zeigt auf, dass besonders KMU nur unzureichend geschützt sind und es gerade einmal in einem Drittel der Firmen ein ganzheitliches IT-Sicherheitskonzept gibt, das auch von der Geschäftsleitung getragen wird.
Es gilt also, den Spagat zwischen Aufwand und Nutzen geschickt zu meistern. Die speziell auf kleine und mittelständische Unternehmen zugeschnittenen Richtlinien VdS 3473 ermöglicht es den Unternehmen, ihre Informations- und Cyber-Sicherheit signifikant zu verbessern, ohne sie dabei zu überfordern.
Cyber-Security: VdS setzt Maßstäbe für den Mittelstand
Angemessenes Schutzniveau bei vertretbarem Aufwand
Mit den neuen Cyber-Richtlinien VdS 3473 können Unternehmen genau das Schutzniveau erreichen, das sie benötigen, ohne dass die Umsetzung der Maßnahmen das Unternehmen finanziell oder organisatorisch überfordert.
Die Richtlinien VdS 3473 basieren auf den anerkannten Standards ISO 27001 ff. und BSI-Grundschutz. Sie konzentrieren jedoch die umzusetzenden Maßnahmen auf das technisch und organisatorisch Wesentliche für den Mittelstand und führen mit rund 20 Prozent des Aufwandes zu einer zertifizierungsfähigen Informationssicherheit.
Eine besondere Stärke der VdS 3473-Richtlinien ist dabei die Berücksichtigung der organisatorischen Ebene. Wichtige Handlungsfelder wie Personal, Verantwortlichkeiten, Zugänge usw. sind ebenso abgedeckt wie technische Aspekte.
Vorteile für Unternehmen
Mit einer nach VdS 3473 zertifizierten Informations- und Cyber-Sicherheit ergeben sich für Unternehmen viele Vorteile:
- Das VdS-Zertifikat bestätigt, dass das Unternehmen organisatorisch und technisch auf die wichtigsten Angriffsszenarien vorbereitet ist – und passende Schutzmaßnahmen hat.
- Das VdS-Zertifikat erzeugt bei Lieferanten, Kunden und Versicherern ein hohes Vertrauen in die Leistungsfähigkeit des Unternehmens, dass Daten sicher geschützt sind und Einschränkungen der Lieferfähigkeit minimiert wurden. Wettbewerbsvorteile sind die Folge.
- Das Unternehmen erweitert sein Risikomanagement um den Aspekt der Informationssicherheit. Ein unabdingbares Muss für die Unternehmenssicherheit.
- Die Risikotransparenz im Unternehmen wird erhöht und so die Geschäftsleitung entlastet. Das ermöglicht wieder die Konzentration auf die Kernprozesse.
- Das – immer verbleibende – Restrisiko kann auf einen Versicherer übertragen und damit eine zweite Verteidigungslinie für die Existenzsicherung aufgebaut werden.
Dreistufig zum Erfolg
Auf dem Weg zur VdS-Zertifizierung des Informationssicherheitsprozesses stellt VdS zwei vorgeschaltete Instrumente zur Verfügung: Der VdS Quick-Check und das VdS Quick-Audit können als Vorbereitung für eine Zertifizierung nach VdS 3473 dienen.
1. Stufe: Der VdS Quick-Check
Mit dem VdS Quick-Check – ein kostenloses Webtool, das im Internet unter www.vds-quick-check.de zur Verfügung steht – können Unternehmen sich ein erstes Bild über den Status ihrer Cyber-Security verschaffen (siehe Abbildung 1). Der Quick-Check ist eine Selbstauskunft mit 39 Fragen aus den Handlungsfeldern Organisation, Technik, Prävention und Management.
Am Ende steht ein Sofort-Überblick mittels eines leicht verständlichen Ampelsystems. Daneben werden zwei Auswertungen erzeugt – eine kompakte und eine ausführlichere Version mit Erläuterungen. Neben der Ermittlung des individuellen Sicherheitsstatus werden zusätzlich Maßnahmenempfehlungen zur sofortigen Umsetzung aufgezeigt.
Unternehmen mit industriellen Automatisierungssystemen besonders gefährdet
Seit 2016 hat VdS das Angebot um einen Quick-Check für ICS (Industrial Control Systems) mit Fragen rund um industrielle Automatisierungssysteme erweitert. ICS stehen nicht unbedingt im Blickpunkt, wenn es um Cyber-Security geht und die Anlagen offenkundig reibungslos funktionieren.
Gleichwohl weisen Steuerungs- und Automatisierungssysteme häufig Kommunikationsverbindungen zu anderen Unternehmensteilen oder sogar ins Internet auf und bilden damit ein unterschätztes Einfallstor für Cyber-Krimimelle, auch wenn man sie in der Regel hinter Firewalls in Sicherheit wähnt.
Der Fragenkatalog berücksichtigt dabei die Besonderheiten von ICS, wie beispielsweise die sehr hohen Verfügbarkeitsanforderungen, Aspekte der Fernwartung und die Kooperation mit den Herstellern. Eine Ergänzung der Richtlinien VdS 3473 zum Thema ICS wird derzeit entwickelt.
2. Stufe: Testierte Sicherheit: Quick-Audit
Die Erkenntnisse des Quick-Checks können genutzt werden, um sie durch VdS in einem VdS-Quick-Audit überprüfen zu lassen. Neben den Antworten des Quick-Checks und weiteren Fragestellungen werfen die VdS-Auditoren einen Blick in die Dokumentation der Informationssicherheit und prüfen, ob bereits Maßnahmen erfolgreich umgesetzt wurden. Diese Stichtagsbetrachtung wird in Form eines Testats bescheinigt und kann der Vorlage bei einem Versicherer dienen.
3. Stufe: VdS-Zertifizierung der gemanagten Informationssicherheit
Die Königsdisziplin des dreistufigen Systems ist die Umsetzung der Richtlinien VdS 3473. Im Ergebnis baut das Unternehmen ein Managementsystem für Informationssicherheit auf. Das klingt aufwändiger, als es ist: Die Richtlinien unterscheiden im Wesentlichen zwischen kritischen und unkritischen Ressourcen (Systeme, Prozesse, Dienste und Netzwerke).
Basisschutz für unkritische Ressourcen
Für die unkritischen gilt, dass ein Basisschutz ausreicht. Beispielsweise genügen hier u.a. regelmäßige Updates, Netzwerkprotokollierung, Schutz vor Schadsoftware und Zugriffsbeschränkungen.
Zusätzliche Maßnahmen bei den kritischen Ressourcen
Bei den kritischen Ressourcen müssen zusätzliche Maßnahmen getroffen werden, wie die Bestimmung von tolerierbaren Ausfallzeiten und die Schaffung von Redundanzen, um die Anforderungen der Richtlinien zu erfüllen. Alle Maßnahmen sind eingebettet in eine belastbare Struktur, die es unter anderem ermöglicht, geänderte Rahmenbedingungen zu identifizieren und ggf. Veränderungen zu initiieren (vergleichbar mit dem PDCA-Zyklus und der kontinuierlichen Verbesserung).
Um das Zertifikat zu erlangen, prüfen Auditoren die notwendige Dokumentation und überzeugen sich vor Ort von der richtigen Umsetzung der Maßnahmen. Das VdS-Zertifikat hat eine Gültigkeit von drei Jahren. Es erfolgt jährlich ein Check-Up in Form eines Vor-Ort-Audits. Nach drei Jahren kann die Zertifizierung im Wege eines Re-Audits verlängert werden.
Mit dem Zertifikat kann das Unternehmen gegenüber Behörden, Eigentümern, Kunden, Lieferanten oder auch Versicherern nachweisen, dass es einen angemessenen Informationssicherheitsschutz implementiert hat.
Versicherungswirtschaft als zusätzlicher Treiber
Auch für die Versicherungswirtschaft eröffnen die neuen Richtlinien VdS 3473 Chancen, KMU in Deutschland Cyber-Policen anzubieten. Die Branche verfügte bisher über keinen anwendbaren Standard, um die komplexen Cyber-Risiken bewerten zu können, so dass die Entwicklung von Cyber-Policen bisher eher zögerlich voranging. Diese Lücke wird durch den neuen Cyber-Standard VdS 3473 und die VdS-Zertifizierung auf dieser Basis nun geschlossen werden.
Zurzeit werden beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV) Musterbedingungen für die Cyber-Versicherung erarbeitet. Etliche Versicherer werden in 2017 mit Produkten auf den Markt kommen.
Cyber-Security: Geschäftschance für Berater
Das Thema Cyber-Security bietet Prozessberatern ein ergänzendes Geschäftsfeld. Werden Sie VdS-anerkannter Cyber-Security-Berater und sichern Sie sich die enormen Chancen, die der große Handlungsbedarf im Mittelstand in Sachen Cyber-Security Ihnen bietet.
KMU, die nicht über eigenes Cyber-Know-how verfügen, werden externe Hilfe benötigen. VdS empfiehlt diesen Unternehmen ausdrücklich, sich an einen VdS-anerkannten Cyber-Security-Berater zu wenden. Diese Berater belegen mit der VdS-Anerkennung klar ihre Expertise für Cyber-Security und die spezifischen Anforderungen des Mittelstandes.
Das ideale Handwerkszeug für Berater
Das abgestufte Produktportfolio bestehend aus VdS-Quick-Check, VdS-Quick-Audit und VdS 3473-Zertifizierung (siehe Abbildung 2) bietet Beratern das ideale Handwerkszeug, um ihren Kunden das jeweils passende Produkt anzubieten und die Informationssicherheit ihres Kunden durch ein unabhängiges Zertifizierungsinstitut bestätigen zu lassen. Das schafft Vertrauen bei Kunden, Gesellschaftern und sonstigen Stakeholdern.
Zum Ausbau Ihrer Richtlinien-Kompetenz für VdS 3473 bietet VdS Experten-Lehrgänge in Köln an.
Die Cyber-Richtlinien VdS 3473, die Verfahrensrichtlinien für Quick-Audit, Zertifizierung, VdS-Anerkennung als Cyber-Security-Berater und vieles mehr erhalten Sie kostenlos im Internet unter www.vds.de/cyber.
