Die Impfpflicht kommt!
Aber vorerst bei der IT von kritischen Infrastrukturen.
Aber wäre Ihre IT vorbereitet, wenn das IT-Sicherheitsgesetz 2.0 auch in Ihrem Unternehmen angewandt werden müsste?
Unabhängig ob ein “Zwang” kommen könnte stellt sich natürlich die Frage, was ein Unternehmen schon unternimmt um seine Daten zu schützen? Sind eventuell Ansätze aus dem Gesetz jetzt schon für Unternehmen adaptierbar und bringen einen sinnvollen Sicherheitsvorteil?
Anhand folgender Beispiele möchte ich meine Top 3 Punkte in von mir angepasster Form in diesem Artikel einmal vorstellen:
- Kritische Komponenten – Einsatz von Komponenten die die IT Sicherheit voraussichtlich beeinträchtigen können
Wieviel Gedanken machen Sie sich ob die eingesetzten Produkte auch wirklich Ihren Zweck erfüllen? Wie steht es die Aktualität, Kompetenz des Herstellers? Auch spielt eine wichtige Rolle dabei, wurde auch alles sinnhaft und mit nutzen implementiert? Eine Analyse mit Risikoeinschätzung kann hier die richtigen Hinweise geben, ob sich die IT in die richtige Richtung entwickelt. Kritische Komponenten können erkannt werden und bewertet ob diese noch im Betrieb einen Sinn ergeben.
- Angriffserkennung – Verpflichtender Einsatz von Systemen zur Angriffserkennung
Schön so eine Firewall, Virenschutz und viele andere Techniken. Nur was nützt es, wenn der Angriff nicht erkannt wird und die nötigen Gegenmaßnahmen eingeleitet werden? Aktive und sinnvoll automatisierte Bedrohungserkennungssysteme helfen dabei, hier die richtigen Maßnahmen zum Teil voll automatisch loszutreten. Wie wäre es bei einem versuchten Identitätsdiebstahl die IT und den Benutzer zu kontaktieren, einen zweiten Faktor zur Authentifizierung einzufordern und das Ergebnis mit einer KI zu überwachen und auszuwerten?
- Meldepflichten – Wenn es dann doch passiert, wer muss wie informiert werden? Gibt es Notfallpläne?
Der Spruch von vielen IT Sicherheitsexperten kommt nicht von ungefähr: “Es gibt nur zwei Arten von Unternehmen – die, die gehackt worden sind und die, die es noch nicht wissen…”. Also stellt sich nur die Frage wenn es passiert was passiert? Ein Angriff muss nicht immer großen Schaden anrichten. Wenn also alle Trainings und Sicherheitsmaßnahmen versagt haben, wie sieht es mit dem Notfallplan aus. Datensicherung, Ausfallzeiten und trainierte Abläufe tragen hier dazu bei, dass wenn es passiert, der Schaden gering gehalten sind. Auch sollte man im Vorfeld sich erst einmal bewusst sein und seine Daten klassifizieren, um das mögliche Schadenspotential abschätzen zu können. Dabei geht es nicht nur um Gesetzte, sondern auch um Schäden, wie Verlust der Lieferfähigkeit, Betriebsunterbrechung oder Rufverlust. Gibt es Daten die bei Veröffentlichung einen größeren Schaden erzeugen können? Sind diese verschlüsselt?
Dies sind natürliche viele Punkte, die auch ineinandergreifen. Natürlich gibt es hier noch viele weitere wichtige Punkte. Gerne helfen wir, das Team der it@business GmbH & Co. KG dabei, hier Ihre IT zu Impfen.
Wir freuen uns auf Ihren Kontakt!