Versicherungswirtschaft-heute

          Mobilversion

 

“Angemessenes Schutzniveau mit vertretbarem Aufwand”

07.10.2015 – Reinermann_VdSNoch fehle “das Bewusstsein, dass jedes Unternehmen oder Behörde von Cyberangriffen betroffen sein kann”, kritisiert Robert Reinermann, Geschäftsführer der VdS Schadenverhütung. Erfolgreiche Hacker-Angriffe zeigen noch erhebliche Sicherheitslücken in den Unternehmen auf. Durch einheitlichen Standards könne “mit vertretbarem Aufwand angemessenes Schutzniveau” erreicht werden, so der Experte gegenüber VWheute.

VWheute: Thema IT-Sicherheit im Mittelstand: Inwiefern kann ein einheitlicher Standard den Mittelstand zu Sicherheitsmaßnahmen motivieren?

Robert Reinermann: KMU können aus den Richtlinien Maßnahmen und Prozesse ableiten, wie sie in der Cyber-Security ein mit vertretbarem Aufwand angemessenes Schutzniveau erreichen können. Die Richtlinien unterscheiden im Wesentlichen zwischen kritischen und unkritischen Systemen, Prozessen, Diensten und Netzwerken. Bei den kritischen Ressourcen müssen zusätzliche Maßnahmen getroffen werden, zum Beispiel die Bestimmung von tolerierbaren Ausfallzeiten und die Schaffung von Redundanzen, um die Anforderungen der Richtlinien zu erfüllen.

Für die unkritischen reicht ein Basisschutz, darunter regelmäßige Updates, Schutz vor Schadsoftware und Zugriffsbeschränkungen, aus. Darüber hinaus wird für die physische Sicherheit von IT-Anlagen, zum Beispiel Brandschutz und Einbruchschutz in Serverräumen, auf etablierte VdS-Standards verwiesen.

Mit einer VdS-zertifizierten Informationssicherheit nach VdS 3473 ergeben sich für KMU und andere Organisationen viele Vorteile:

  • Das VdS-Zertifikat bestätigt, dass das Unternehmen organisatorisch und technisch auf die wichtigsten Angriffsszenarien vorbereitet ist – und passende Schutzmaßnahmen hat.
  • Das VdS-Zertifikat erzeugt bei Lieferanten, Kunden und Versicherern ein hohes Vertrauen in die Leistungsfähigkeit des Unternehmens, dass Daten sicher geschützt sind und Einschränkungen der Lieferfähigkeit des Unternehmens minimiert wurden. Wettbewerbsvorteile sind die Folge.
  • Das Unternehmen erweitert sein Risikomanagement um den Aspekt der Informationssicherheit. Ein unabdingbares Muss für die Unternehmenssicherheit.
  • Die Risikotransparenz im Unternehmen wird erhöht und so die Geschäftsleitung entlastet. Das Unternehmen kann sich wieder auf seine Kernprozesse konzentrieren.
  • Das – immer verbleibende – Restrisiko können Unternehmen auf einen Versicherer übertragen und damit eine wichtige Säule für die Existenzsicherung aufbauen
  • Die VdS-Richtlinien können für Versicherer als Basis für Versicherungsschutz dienen.

VWheute: Wie wird durch den Standard auch die Arbeit der (Cyber-)Versicherer erleichtert?

Robert Reinermann: Durch einen einheitlichen Standard, den im Übrigen verschiedene Markteilnehmer bei der Entwicklung begleitet haben, können die Versicherer Risiken einfacher bewerten und dadurch auch für ihre individuelle Zeichnungspolitik heranziehen.

VWheute: Wie ist der Status quo, wo sehen Sie noch Hindernisse und was gilt es mit besonderer Dringlichkeit anzupacken?

Robert Reinermann: Unternehmen sind immer häufiger Cyber-Attacken ausgesetzt. Immer wieder machen erfolgreiche Hacker-Angriffe deutlich, dass viele Unternehmen noch erhebliche Sicherheitslücken aufweisen. In Deutschland fehlte bisher jedoch ein einheitlicher Standard für die Informationssicherheit, der von KMU mit überschaubarem Aufwand umgesetzt werden kann.

Für diese Unternehmen gab es keinen passenden Sicherheitsstandard. Die Anwendung der ISO 27000er Reihe und der BSI-Grundschutzkataloge sind in der Umsetzung besonders für KMU zu mächtig und zu komplex, die dort formulierten Anforderungen kann der Mittelstand in der Regel nicht erfüllen. Der Aufbau einer zertifizierungsfähigen Organisation und der Zertifizierungsprozess sind mit sehr hohen Kosten und großem Aufwand verbunden. Das hatte zur Folge, dass sich hauptsächlich Großunternehmen und Konzerne mit der ISO 27000er Reihe beschäftigten und zertifizieren ließen, da sie über die notwendigen Mittel und Kapazitäten verfügten.

Es fehlt an vielen Stellen noch das Bewusstsein, dass jedes Unternehmen oder Behörde von Cyberangriffen betroffen sein kann. Hinderlich ist dabei auch, dass eine Cyberattacke nicht so sichtbar ist, wie beispielsweise ein Brandereignis. Das heißt, oft wiegen sich die Unternehmen in einer falsch geglaubten Sicherheit, nach dem Motto: Was will denn bei uns einer schon holen?

Hieraus leitet sich dann auch schon die Dringlichkeit und die Wichtigkeit ab, nämlich sich mit diesem Thema auseinanderzusetzen. Dazu soll unsere Produktportfolio vom Quick-Check (39 webbasierte Fragen) über Quick-Audit (erste vor Ort in Augenscheinnahme des Quick-Check Ergebnisses) und einer Zertifizierung nach VdS 3473 (Überprüfung der Soll-Anforderungen der Richtlinien mithilfe von Dokumentenprüfung und Audits) helfen, je nach Sicherheitsbedarf die Unternehmen bei der Erhöhung des Schutzniveaus zu unterstützen.

Mit unserem neuen Dienstleistungsangebot und der Veröffentlichung der Richtlinien “VdS-zertifizierte Cyber-Security” (VdS 3473) reagieren wir auf diese Sicherheitslücke für den Mittelstand und auf die wachsende Bedeutung von IT-Sicherheit für die Wirtschaft.

Die Fragen stellte VWheute-Redakteur Rafael Kurz.

Bild: Robert Reinermann, Geschäftsführer der VdS Schadenverhütung GmbH, referiert heute auf der Messe IT-SA in Nürnberg. (Quelle: VdS)

- Anzeige -
- Anzeige -
- Anzeige -

 

VVW | Kontakt | AGB | Datenschutzerklärung | Impressum | Mediadaten