Sicherheitsgrundlagen: Die größte Schwäche von Organisationen
Sicherheitsgrundlagen: Die größte Schwäche von Organisationen
Cybersicherheit wird in vielen Organisationen weiterhin als sekundäres Thema betrachtet. Eine gängige Annahme ist, dass das Unternehmen für Angreifer nicht attraktiv genug ist und daher nicht systematisch in Sicherheit investieren muss.
Dieser Ansatz ist jedoch grundsätzlich falsch. Angreifer wählen heute Ziele nicht selektiv aus, sondern verwenden automatisierte Kampagnen, die eine breite Palette von Organisationen erreichen, unabhängig von deren Größe oder Branche.
Gleichzeitig glauben viele Unternehmen fälschlicherweise, dass die Implementierung grundlegender technischer Maßnahmen – wie Firewalls, VPNs, Netzwerksegmentierung oder Backup – ein ausreichendes Maß an Schutz bedeutet. Tatsächlich sind dies nur teilweise Elemente, die keinen ausreichenden Schutz bieten, ohne eine Verbindung zum Risikomanagement und zur Prozesssicherheit.
Ein typisches Beispiel ist der Backup-Bereich. Organisationen haben zwar Backups, aber diese berücksichtigen weder deren Integrität und Widerstand gegen Angriffe (z. B. Ransomware) noch deren tatsächliche Nutzbarkeit in einer Krisensituation.
Eine große Schwäche ist meist das Fehlen eines strukturierten Ansatzes für das Impact Management und die
Kontinuität. Viele Organisationen haben nicht:
Ohne diese Elemente kann eine Organisation nicht effektiv auf einen Sicherheitsvorfall reagieren und dessen Auswirkungen minimieren.
Darüber hinaus hat die Praxis wiederholt gezeigt, dass IT- und Sicherheitsteams oft auf unzureichende Unterstützung durch das Management stoßen, insbesondere im Hinblick auf das Budget. Investitionen in Wertpapiere werden verschoben, da ihre Vorteile nicht sofort sichtbar sind. Wenn jedoch ein Vorfall eintritt, ist der entstandene Schaden – finanziell, reputationsbezogen und betrieblich – um ein Vielfaches höher als die Kosten für präventive Maßnahmen.
Langfristig bleibt jedoch die größte Schwäche der menschliche Faktor. Es reicht ein einziger erfolgreicher Phishing-Angriff oder eine unangemessene Verwaltung von Zugriffsdaten (z. B. dasselbe Passwort über verschiedene Systeme hinweg), und ein Angreifer erhält einen Zugang zur Infrastruktur der Organisation.
Daher kann Sicherheit nicht nur auf Technologie aufgebaut werden. Der Schlüssel ist die Kombination von:
Die praktische Erfahrung zeigt, dass Organisationen oft wissen, was sie tun sollten, aber nicht die Kapazität, das Know-how oder einen strukturierten Ansatz für die Umsetzung haben. In diesem Bereich kann ein externer Partner den gesamten Prozess erheblich beschleunigen und verbessern.
Das BDO unterstützt Organisationen insbesondere in folgenden Bereichen:
Compliance allein gewährleistet keine Sicherheit. Wenn sie nur auf der Ebene der Dokumentation und formalen Erfüllung der Anforderungen bleibt, bringt sie der Organisation keinen wirklichen Wert.
In der Praxis sehen wir immer noch, dass Organisationen die Umsetzung von Standards wie ISO 27001 in erster Linie als "Checkbox" wahrnehmen – also als Instrument zur formellen Demonstration an Kunden oder regulatorische Anforderungen. Das Ergebnis ist oft eine Situation, in der umfangreiche Dokumentationen vorliegen, aber die tatsächlichen Prozesse, das Risikomanagement und die Sicherheitsmaßnahmen nicht mit dem erklärten Staat übereinstimmen.
Dieser Ansatz ist jedoch grundsätzlich falsch. Angreifer wählen heute Ziele nicht selektiv aus, sondern verwenden automatisierte Kampagnen, die eine breite Palette von Organisationen erreichen, unabhängig von deren Größe oder Branche.
Gleichzeitig glauben viele Unternehmen fälschlicherweise, dass die Implementierung grundlegender technischer Maßnahmen – wie Firewalls, VPNs, Netzwerksegmentierung oder Backup – ein ausreichendes Maß an Schutz bedeutet. Tatsächlich sind dies nur teilweise Elemente, die keinen ausreichenden Schutz bieten, ohne eine Verbindung zum Risikomanagement und zur Prozesssicherheit.
Ein typisches Beispiel ist der Backup-Bereich. Organisationen haben zwar Backups, aber diese berücksichtigen weder deren Integrität und Widerstand gegen Angriffe (z. B. Ransomware) noch deren tatsächliche Nutzbarkeit in einer Krisensituation.
Eine große Schwäche ist meist das Fehlen eines strukturierten Ansatzes für das Impact Management und die
Kontinuität. Viele Organisationen haben nicht:
- Unternehmensauswirkungsanalyse (BIA)
- Definierte kritische Systeme und Prozesse
- Setze RPO- und RTO-Parameter
- Vorbereitete und getestete Szenarien für Vorfallreaktion und Katastrophenwiederherstellung
Ohne diese Elemente kann eine Organisation nicht effektiv auf einen Sicherheitsvorfall reagieren und dessen Auswirkungen minimieren.
Darüber hinaus hat die Praxis wiederholt gezeigt, dass IT- und Sicherheitsteams oft auf unzureichende Unterstützung durch das Management stoßen, insbesondere im Hinblick auf das Budget. Investitionen in Wertpapiere werden verschoben, da ihre Vorteile nicht sofort sichtbar sind. Wenn jedoch ein Vorfall eintritt, ist der entstandene Schaden – finanziell, reputationsbezogen und betrieblich – um ein Vielfaches höher als die Kosten für präventive Maßnahmen.
Langfristig bleibt jedoch die größte Schwäche der menschliche Faktor. Es reicht ein einziger erfolgreicher Phishing-Angriff oder eine unangemessene Verwaltung von Zugriffsdaten (z. B. dasselbe Passwort über verschiedene Systeme hinweg), und ein Angreifer erhält einen Zugang zur Infrastruktur der Organisation.
Daher kann Sicherheit nicht nur auf Technologie aufgebaut werden. Der Schlüssel ist die Kombination von:
- Funktionale Prozesse
- Geeignete technische Maßnahmen
- Systematische Nutzerbewusstseinsbildung
Wie BDO helfen kann:
Die praktische Erfahrung zeigt, dass Organisationen oft wissen, was sie tun sollten, aber nicht die Kapazität, das Know-how oder einen strukturierten Ansatz für die Umsetzung haben. In diesem Bereich kann ein externer Partner den gesamten Prozess erheblich beschleunigen und verbessern. Das BDO unterstützt Organisationen insbesondere in folgenden Bereichen:
- Mitarbeiteraufklärung und Sensibilisierung – gezielte Schulungen mit Fokus auf reale Bedrohungen, einschließlich simulierter Phishing-Kampagnen
- Business Impact Analysis (BIA) – Identifikation kritischer Prozesse und Systeme, Bestimmung von Auswirkungen und Prioritäten
- Business Continuity (BCM) und Katastrophenwiederherstellungspläne (DRP) – Definition von Verfahren für Krisenmanagement und -wiederherstellung
- Incident Response (IR)-Pläne – Vorbereitung der Organisation auf eine effektive Reaktion auf Sicherheitsvorfälle
- Implementierung und Entwicklung von ISMS – Erstellung und Optimierung der Sicherheitsdokumentation gemäß den erforderlichen Standards (např. ISO 27001)
- Interne Audits und GAP-Analysen – objektive Bewertung des aktuellen Sicherheitszustands und Identifikation von Schwächen in Bezug auf Standards und Best Practices
Fazit: Von der Einhaltung zu echter Resilienz
Compliance allein gewährleistet keine Sicherheit. Wenn sie nur auf der Ebene der Dokumentation und formalen Erfüllung der Anforderungen bleibt, bringt sie der Organisation keinen wirklichen Wert. In der Praxis sehen wir immer noch, dass Organisationen die Umsetzung von Standards wie ISO 27001 in erster Linie als "Checkbox" wahrnehmen – also als Instrument zur formellen Demonstration an Kunden oder regulatorische Anforderungen. Das Ergebnis ist oft eine Situation, in der umfangreiche Dokumentationen vorliegen, aber die tatsächlichen Prozesse, das Risikomanagement und die Sicherheitsmaßnahmen nicht mit dem erklärten Staat übereinstimmen.