Wie Unternehmen eine umfassende Cyberresilienz erreichen
Viele Unternehmen setzen Cybersecurity mit Tools gleich, die zur Abwehr von Cyberangriffen dienen - doch dieses Verständnis greift zu kurz. Wer sein Unternehmen schützen möchte, benötigt einen ganzheitlichen Ansatz, wie Kolumnist Thomas Holderegger aufzeigt.
Oft denken Unternehmen bei "Cybersicherheit" in erster Linie daran, wie sie sich vor Bedrohungen schützen können. Tatsächlich gehört noch viel mehr dazu, einen Cyberangriff erfolgreich und ohne grossen Einfluss auf das Geschäft bewältigen zu können. Unternehmen, die eine ganzheitliche Cyberresilienz aufbauen möchten, müssen zuerst ein Verständnis dafür entwickeln, wie Cybersicherheitsrisiken intern gehandhabt werden. Als Hilfe können sie dabei auf unterschiedliche, international anerkannte Rahmenwerke zurückgreifen. Die internationale Norm ISO/IEC 27001 beispielsweise bietet eine Orientierungshilfe und Kontrolle für Unternehmen, die ein Informationssicherheits-Managementsystem einrichten, implementieren, aufrechterhalten und kontinuierlich verbessern möchten. Gerade grössere, extern auditierte Unternehmen orientieren sich oft an dieser Norm. Für kleinere und mittlere Unternehmen kann sie hingegen allenfalls zu theoretisch sein.
Ein weiteres Rahmenwerk ist der IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI). Das Framework ist kompatibel mit ISO/IEC 27001 und bietet Unternehmen, Institutionen und Behörden unter anderem praktische Hilfestellungen und Bausteine zu relevanten IT-Sicherheitsthemen.
Das wohl bekannteste Rahmenwerk ist das NIST-Cybersecurity-Framework, entwickelt vom US-amerikanischen National Institute of Standards and Technology (NIST). Es ist heute der de facto Industriestandard und basiert auf bestehenden Richtlinien und Praktiken. Das Kernstück des Frameworks sind die fünf Funktionen "Identify", "Protect", "Detect", "Respond" und "Recover", die ich in meinen nächsten Kolumnen vertieft betrachten werde. Nur wenn Unternehmen in all diesen Bereichen über die für sie spezifisch nötigen Kapazitäten verfügen, können sie echte Cyberresilienz erreichen. Das NIST-Framework unterstützt Unternehmen dabei, die in den fünf Bereichen definierten Kapazitäten wirtschaftlich aufzubauen, und ermöglicht eine präzise Definition der nötigen Sicherheitsmassnahmen – denn nicht jedes System oder jede Applikation im Unternehmen benötigt das gleiche Sicherheitsniveau.
Alle bisher auf SwissCybersecurity.net erschienenen Kolumnen von Thomas Holderegger finden Sie hier.
Thomas Holderegger, Security Lead for Switzerland bei Accenture. (Source: zVg)
Malware zielt auf HR-Abteilungen und umgeht EDR-Lösungen
Warum man besser nicht zum Klassentreffen geht
Update: Bechtles Index für digitale Souveränität kommt auf den Markt
Jason feiert Lieblingstag
KI-Agent hackt KI-Plattform von McKinsey
SAP schliesst kritische Sicherheitslücken
3 von 4 Sicherheitsexpertinnen halten Cybersecurity für eine frauenfreundliche Karriere
Einladung zum Webinar: Alarmflut, Fachkräftemangel, fehlende Controls – so hilft MDR
38 Jahre Sicherheitsdenken
