Informationssicherheit: Cybersecurity

Um den genannten Bedrohungen entgegenzuwirken, sollten Unternehmen eine Reihe grundlegender technischer Sicherheitskontrollen in all ihren Systemen implementieren. Diese Kontrollen bilden ein mehrschichtiges Schutzschild, das es Angreifern erheblich erschwert, in Systeme einzudringen oder Schaden anzurichten.

• Multi-Faktor-Authentifizierung (MFA): MFA verlangt von Nutzern neben dem Passwort einen zweiten Nachweis (z. B. einen Einmal-Code oder einen biometrischen Faktor). Dieser einfache Schritt gehört zu den wirkungsvollsten Verteidigungsmaßnahmen gegen Kontoübernahmen. Selbst wenn ein Angreifer das Passwort eines Mitarbeiters erbeutet (etwa durch Phishing oder ein Datenleck), gelangt er ohne den zweiten Faktor nicht in das Konto. Microsoft hat beobachtet, dass mithilfe von MFA über 99,9 % der Kontoübernahme-Angriffe blockiert werden können. Jede geschäftliche Anwendung – von E-Mail und VPN bis hin zu HR- und ERP-Systemen – sollte daher MFA für alle Benutzer erzwingen, insbesondere für Administratorkonten. Ein unternehmensweit eingeführtes MFA reduziert das Risiko unautorisierter Zugriffe drastisch.

• Endpunktschutz (Antivirus/EDR): Laptops, Desktops und Server (also Endgeräte) sind häufig Ziele für Malware-Infektionen und Eindringversuche. Studien zeigen, dass rund 90 % erfolgreicher Cyberangriffe an Endpunkten ihren Ursprung haben. Unternehmen müssen daher auf allen Firmenrechnern robuste Endpunktschutzlösungen einsetzen. Dazu gehören moderne Antivirus-Programme sowie Endpoint Detection & Response (EDR)-Tools, die Endgeräte kontinuierlich auf verdächtiges Verhalten überwachen. EDR kann viele Angriffe erkennen und automatisch stoppen – etwa indem es ungewöhnliche Prozesse entdeckt oder bekannte schädliche Dateien blockiert – und dient als letzte Verteidigungslinie, falls ein Angreifer andere Schutzbarrieren umgehen sollte. Auch richtig konfigurierte Host-Firewalls und die Verschlüsselung von Festplatten sind Teil des Endgeräteschutzes. Gerade mit zunehmend mobilem Arbeiten und Homeoffice müssen Endgeräte gehärtet und aktiv überwacht werden, um Sicherheitsvorfälle zu verhindern.

• E-Mail-Sicherheitsfilter: Da die überwiegende Mehrzahl der Angriffe mit einer Phishing-E-Mail beginnt (rund 98 % aller Social-Engineering-Angriffe erfolgen via E-Mail), ist ein starker E-Mail-Filter unverzichtbar. E-Mail-Sicherheitslösungen scannen eingehende (und oft auch ausgehende) Nachrichten und blockieren Spam, malware-verseuchte Anhänge und Phishing-Links, bevor sie die Posteingänge der Nutzer erreichen. Fortgeschrittene Filter erkennen auch gefälschte Absenderdomains (um BEC-Versuche abzufangen) und markieren verdächtige Inhalte. Indem bösartige E-Mails gar nicht erst zum Anwender gelangen, wird das Risiko drastisch reduziert, dass ein Mitarbeiter auf einen gefährlichen Link klickt. E-Mail-Sicherheitsgateways und Cloud-Maildienste wie Microsoft 365 oder Google Workspace bieten Funktionen wie Attachment-Sandboxing (Anhänge in isolierter Umgebung testen), URL-Rewriting (Links beim Klick überprüfen) und Erkennung von Betrugsversuchen durch gefälschte Absender – diese sollten konsequent genutzt werden, um das Phishing-Risiko im Büroalltag zu senken.

• Patchen & Schwachstellen-Management: Viele Angriffe exploitieren bekannte Software-Schwachstellen, für die bereits Updates verfügbar sind. Wer es versäumt, regelmäßig zu patchen, lässt im Grunde eine offene Tür für Angreifer offen. Ein berühmtes Beispiel ist der 2017 veröffentlichte Equifax-Hack, der durch einen monatelang ungepatchten Webserver ermöglicht wurde. Um solche Szenarien zu vermeiden, brauchen Unternehmen ein diszipliniertes Patch-Management, um regelmäßig Updates für Betriebssysteme, Anwendungen und Firmware einzuspielen. Dies gilt für alles – von Servern und Büro-PCs über Netzwerkgeräte bis zu IoT-Geräten. Schwachstellen-Scanner sollten eingesetzt werden, um fehlende Patches oder Konfigurationsfehler aufzuspüren. Die Wichtigkeit schnellen Patchens kann kaum überschätzt werden – eine Studie ergab, dass ca. 60 % aller Datenverletzungen mit einer bekannten, aber nicht eingespielten Sicherheitsaktualisierung in Zusammenhang standen. Zeitnahe Updates schließen solche Lücken, bevor Angreifer sie ausnutzen können. Für Systeme, die nicht sofort gepatcht werden können (z. B. aus betrieblichen Gründen), sollten zumindest mildernde Maßnahmen ergriffen werden – etwa das Blockieren bekannter Angriffsvektoren durch ein Intrusion-Prevention-System oder das temporäre Isolieren der betroffenen Systeme –, bis ein Fix eingespielt werden kann.

Die Steuerung, wer worauf zugreifen darf, ist ein grundlegender Pfeiler der Cybersicherheit. Effektives Identity & Access Management stellt sicher, dass jeder Nutzer nur die Berechtigungen erhält, die er benötigt und nicht mehr

• Rollenbasierte Zugriffskontrolle (RBAC) & Prinzip der geringsten Rechte: Implementierung sicherer Zugriffskontroll-Richtlinien wie RBAC gewährleistet das Prinzip der minimalen Privilegien. Das heißt, jeder Benutzer – oder auch jedes technische Konto – erhält nur die Zugriffsrechte, die er zur Aufgabenerfüllung benötigt, und nicht mehr. Indem Berechtigungen auf das Nötigste beschränkt werden, verringert das Unternehmen seine Angriffsfläche erheblich und reduziert das Risiko einer Malware-Ausbreitung. So sollte z. B. ein Marketing-Mitarbeiter keinen Zugriff auf Finanz- oder HR-Systeme haben, wenn dies für seine Tätigkeit nicht erforderlich ist. Die Einführung von RBAC beinhaltet praktisch das Anlegen von Rollen/Gruppen (wie „Vertrieb“ oder „Entwicklung“) mit vordefinierten Berechtigungen und die konsequente Zuordnung der Nutzer zu den passenden Rollen.

• Passwortrichtlinien & sichere Authentifizierung: Trotz MFA bleibt das Passwort ein zentraler Authentifizierungsfaktor – und oft ein Schwachpunkt. Unternehmen sollten eine strenge Passwort-Policy durchsetzen (z. B. Mindestlängen, Komplexitätsvorgaben und regelmäßiger Wechsel) und die Verwendung eines sicheren Passwortmanagers fördern. Ein Passwortmanager ermöglicht es Mitarbeitern, für jedes Konto ein einzigartiges, komplexes Passwort zu erstellen und zu speichern, wodurch riskante Passwort-Wiederverwendung vermieden wird. Dies ist entscheidend, denn alarmierende 99 % der Unternehmensnutzer recyceln Passwörter – sei es zwischen verschiedenen Arbeitskonten oder zwischen beruflichen und privaten Accounts. Das erhöht das Risiko erheblich: Wenn ein Konto kompromittiert wird, versuchen Angreifer häufig, dasselbe Passwort auch anderweitig zu verwenden. Kompromittierte, schwache oder wiederverwendete Passwörter machen nach wie vor den Großteil hackingbezogener Datenschutzvorfälle aus. Zur Verbesserung der Lage sollten Standardpasswörter und gemeinsam genutzte Kennwörter konsequent abgeschafft werden. In der Sicherheitsrichtlinie sollte verankert sein, dass Passwörter niemals geteilt werden dürfen. Zudem empfiehlt es sich, regelmäßige Passwortwechsel vorzuschreiben (oder perspektivisch auf passwortlose Verfahren umzusteigen) und Tools zu nutzen, die überwachen, ob Mitarbeiter-Logins in veröffentlichten Leaks auftauchen.

• Joiner-Mover-Leaver (JML)-Prozess (Eintritts-/Wechsel-/Austrittsprozess): Die Verwaltung von Benutzerzugängen über den gesamten Mitarbeiterlebenszyklus (vom Eintritt über Abteilungswechsel bis zum Austritt) stellt sicher, dass keine verwaisten aktiven Konten zurückbleiben. Wenn ein Mitarbeiter neu eintritt, sollten umgehend nur die für seine Rolle absolut notwendigen Zugriffe eingerichtet werden (Prinzip der minimalen Rechte). Wechselt ein Mitarbeiter intern die Position oder Abteilung, müssen seine Berechtigungen sofort überprüft und angepasst werden – Zugriffe, die er nicht mehr benötigt, sind zu entziehen, und eventuell neue benötigte Rechte werden vergeben. So wird ein Ansammeln übermäßiger Privilegien im Laufe der Zeit vermieden. Und besonders kritisch: Verlässt ein Mitarbeiter das Unternehmen, sollten alle seine Zugänge unverzüglich deaktiviert werden – idealerweise innerhalb weniger Minuten, spätestens aber am ersten Tag nach dem Austritt. Vergessene, weiterhin aktive Konten ehemaliger Beschäftigter sind nämlich ein häufiges Einfallstor für Angriffe. Ein formalisierter JML-Prozess – idealerweise technisch unterstützt durch ein Identity-Management-System – stellt sicher, dass Zugriffsrechte stets aktuell gehalten werden. Er hilft zudem nachzuweisen, dass Standards wie ISO 27001 (die eine strikte Kontrolle von Systemzugriffen verlangen) eingehalten werden.

Durch eine rigorose Steuerung von Zugriffsrechten und das schnelle Entfernen von Berechtigungen beim Ausscheiden von Personen wird das Zeitfenster minimiert, in dem externe Angreifer oder Insider unberechtigt auf Systeme zugreifen könnten. Zusätzlich sollten regelmäßig (mindestens jährlich, bei kritischen Systemen häufiger) Berechtigungsüberprüfungen durchgeführt werden, um sicherzustellen, dass jeder aktive Account nur die Zugriffe hat, die er tatsächlich noch benötigt.

Technologie allein genügt nicht – die Mitarbeiter selbst sind die erste Verteidigungslinie und müssen im Sinne der Sicherheit handeln. Eine sicherheitsbewusste Belegschaft kann Bedrohungen frühzeitig erkennen und Vorfälle verhindern, bevor sie entstehen

• Cybersicherheits-Onboarding: Bereits vom ersten Tag an sollten neue Mitarbeiter für das Thema Sicherheit sensibilisiert werden. Im Rahmen des Onboardings erhalten sie eine Einweisung in die grundlegenden Sicherheitsrichtlinien und sicheren Verhaltensweisen: wie man betrieblichen Informationen sicher handhabt, wie man Systeme und Zugänge korrekt nutzt, wie man Phishing-Versuche erkennt und meldet, etc. So wird von Anfang an vermittelt, dass Sicherheit Aufgabe eines jeden im Unternehmen ist. Einfache Richtlinien für sicheres Arbeiten von unterwegs, Gerätesicherheit (Verschlüsselung, Bildschirmsperre) und das Melden von Vorfällen sollten ebenfalls Teil der Einführung sein. Neue Kollegen sollten zudem darüber informiert werden, welche Ressourcen ihnen zur Verfügung stehen (z. B. wie sie das Security-Team erreichen oder wo im Intranet Richtlinien hinterlegt sind) und welche regelmäßigen Schulungen bzw. E-Learnings von ihnen erwartet werden.

• Simulierte Phishing-Tests & kontinuierliche Sensibilisierung: Mitarbeiter sollten regelmäßig mittels simulierter Phishing-Angriffe getestet und weitergebildet werden. Dabei versendet das Sicherheitsteam oder ein Dienstleister kontrollierte, fingierte Phishing-Mails, um zu beobachten, welche Nutzer auf Links klicken oder Anhänge öffnen würden. Mitarbeiter, die auf die Simulation hereinfallen, können mit einer kurzen Nachschulung sensibilisiert werden; die Gesamtergebnisse solcher Tests liefern Kennzahlen für das organisationsweite Risikolevel. Mit der Zeit senken solche Übungen die Klickrate, da die Wachsamkeit steigt. Organisationen, die interaktive Awareness-Schulungen mit Phishing-Tests kombinieren, verzeichnen eine Reduktion der Fehlerquote um ca. 60 % bereits nach wenigen Trainingsrunden. Zudem berichten 80 % der Unternehmen, dass Security-Awareness-Schulungen das Risiko spürbar senken, dass Mitarbeiter auf Phishing hereinfallen. Wichtig ist, dass die Trainingsinhalte ansprechend gestaltet und regelmäßig angeboten werden (lieber kurze Lerneinheiten in höherer Frequenz als ein einziges langes Jahresseminar). Die Themen sollten über E-Mails hinausgehen – etwa sicheres Internet-Browsing, typische Anzeichen von Social-Engineering-Tricks oder auch physische Sicherheit (z. B. keine Unbefugten ins Gebäude lassen).

• Meldung von Vorfällen: Mitarbeiter benötigen einen einfachen und angstfreien Weg, um alles Verdächtige zu melden. Sei es eine merkwürdige E-Mail, ein verlorener Firmen-Laptop oder eine Unregelmäßigkeit am Computer – jeder sollte genau wissen, wie er solche Beobachtungen schnell dem IT- oder Sicherheitsteam melden kann, ohne negative Konsequenzen befürchten zu müssen. Typische Meldekanäle sind z. B. ein dedizierter „Phishing melden“-Button im E-Mail-Programm, eine 24/7-Hotline oder ein interner Chat-Kanal, der vom Security-Team überwacht wird. Wenn Mitarbeiter potenzielle Bedrohungen frühzeitig melden (z. B. eine verdächtige Mail an die Security weiterleiten), kann das Team sofort reagieren – zum Beispiel ähnliche E-Mails unternehmensweit löschen oder ein betroffenes Gerät isolieren –, um einen kleinen Vorfall einzudämmen, bevor er sich zu einem großen Desaster entwickelt. Wichtig ist, dass die Organisation das Melden positiv verstärkt (man dankt den Mitarbeitern und verspottet keine Fehlalarme), damit alle wachsam bleiben. Nach dem Motto: „Wenn du etwas siehst, sage etwas.“ – dieser Grundsatz gilt auch für die IT-Sicherheit. Schnelles Melden und Reagieren kann einen potenziell gravierenden Vorfall auf ein kleines, eingedämmtes Ereignis begrenzen.

Eine starke Sicherheitskultur, gestützt durch Training und klare Kommunikation von oben, macht die Belegschaft zu einer wirksamen Verteidigungsschicht statt zum Risikofaktor. Wenn Mitarbeiter wachsam sind (ungewöhnliche Anfragen doppelt prüfen, nicht auf unbekannte Links klicken, Sicherheitswerkzeuge korrekt nutzen) und sich verantwortlich fühlen, die Werte des Unternehmens zu schützen, sinkt die Wahrscheinlichkeit von Sicherheitsvorfällen drastisch.

Im heutigen Geschäftsumfeld ist kein Unternehmen eine Insel – Firmen arbeiten mit zahlreichen Drittanbietern, Dienstleistern und Cloud-Plattformen zusammen. Diese externen Partnerschaften bringen zusätzliche Cyberrisiken mit sich, die gemanagt werden müssen. Ein Einbruch bei einem Lieferanten oder eine Fehlkonfiguration eines Cloud-Dienstes kann sich unmittelbar auch zum eigenen Sicherheitsvorfall ausweiten

• Risikomanagement für Drittanbieter: Alle kritischen externen Dienstleister (etwa SaaS-Anbieter, IT-Servicefirmen, Zahlungsabwickler usw.) sollten hinsichtlich ihrer Sicherheit bewertet werden. Dies kann durch Fragebögen, das Einholen von Audit-Zertifikaten (z. B. ISO 27001, SOC 2) und spezifische Sicherheitsklauseln in Verträgen erfolgen. Der Grund ist klar: Fast ein Drittel der Datenpannen hängt mittlerweile mit der Sicherheitslücke eines Dritten zusammen. Hochkarätige „Supply Chain“-Angriffe – z. B. der SolarWinds-Hack oder die Kaseya-Ransomware-Attacke – haben gezeigt, dass eine Kompromittierung bei einem einzigen Zulieferer dutzende Kundenunternehmen in Mitleidenschaft ziehen kann. Dem tragen neue Regularien wie die EU NIS2-Richtlinie Rechnung, welche Unternehmen verpflichtet, auch die Cybersecurity in ihrer Lieferkette zu managen und die Sicherheit von Lieferanten und Dienstleistern zu bewerten. Die Sicherheitsverantwortlichen sollten deshalb ein Verzeichnis aller wesentlichen Drittparteien führen, deren Kritikalität einschätzen und je nach Risikolevel angemessene Prüfungen durchführen. Bei wichtigen Partnern empfiehlt es sich, deren Sicherheitskonzepte jährlich zu überprüfen und vertraglich zu vereinbaren, dass Sicherheitsvorfälle umgehend gemeldet werden. Ein konsequentes Third-Party Risk Management begrenzt die eigene Gefährdung, falls ein Partner doch kompromittiert wird.

• Cloud-Plattform-Sicherheit: Die meisten Unternehmen nutzen heute Cloud-Dienste (z. B. Amazon AWS, Microsoft 365/Azure, Google Workspace) für einen Großteil ihrer Infrastruktur und Anwendungen. Cloud-Services bieten viel Flexibilität und Skalierbarkeit, aber Sicherheit in der Cloud ist eine geteilte Verantwortung – der Provider sichert die zugrunde liegende Infrastruktur, doch der Kunde muss seine Cloud-Ressourcen sicher konfigurieren und Zugriffe kontrollieren. Fehlkonfigurierte Clouddienste sind eine Hauptursache für Datenlecks. Daher sollten Unternehmen ihre Zugriffseinstellungen und Konfigurationen in der Cloud regelmäßig gründlich überprüfen. Dazu gehört:

• MFA für Administrator- und andere hochprivilegierte Cloud-Accounts zu aktivieren.

• Sicherzustellen, dass jeder Cloud-Dienst bzw. Mandant streng isoliert ist und nur für die vorgesehenen Benutzer oder Netzwerksegmente zugänglich.

• Die cloud-eigenen Sicherheitsfunktionen voll auszuschöpfen: z. B. Audit-Logs einschalten, Alarme bei verdächtigen Aktivitäten konfigurieren, Verschlüsselung von Daten im Ruhezustand und in Übertragung aktivieren und Data Loss Prevention (DLP) einsetzen, um Abflüsse sensibler Daten zu verhindern.

• Regelmäßige Konfigurationsprüfungen und Cloud Security Posture Management (CSPM)-Scans durchzuführen, um etwa offene Storage-Buckets oder versehentlich exponierte Dienste aufzudecken.

• Für wichtige Plattformen wie Microsoft 365 oder Google Workspace empfiehlt es sich, das vorhandene Security Center zu nutzen, um Best Practices umzusetzen (z. B. alte, unsichere Protokolle deaktivieren, Conditional Access Regeln definieren, Aufbewahrungsrichtlinien für Daten einstellen etc.). Durch konsequente Wachsamkeit bei Cloud-Einstellungen können Firmen die Vorteile der Cloud nutzen, ohne sich unnötig zu gefährden. Man sollte nie vergessen: Die Cloud ist letztlich „nur ein fremder Computer“ – Zugriffssteuerung und Überwachung müssen dort genauso strikt erfolgen wie in der eigenen IT.

• Datenauslagerung & DSGVO-Compliance: Wenn Unternehmensdaten – insbesondere personenbezogene Daten – bei einem Drittanbieter oder in der Cloud gespeichert werden, sind Governance und Aufsicht besonders wichtig. Gesetze wie die EU-Datenschutz-Grundverordnung (DSGVO) verlangen, dass Organisationen personenbezogene Informationen schützen und die Kontrolle darüber behalten, selbst wenn sie die Verarbeitung auslagern. Das heißt, Firmen müssen sicherstellen, dass externe Dienste, die ihre Daten verarbeiten, hohe Sicherheits- und Datenschutzstandards einhalten. Wichtige Schritte hierbei sind unter anderem:

• Kenntnis der Datenstandorte: Das Unternehmen sollte wissen, wo (geografisch) seine Daten gespeichert sind, und gewährleisten, dass dies etwaigen Datenresidenz-Anforderungen entspricht (z. B. dass bestimmte sensible Daten die EU/Deutschland nicht verlassen).

• Abschluss von Auftragsverarbeitungsverträgen (AVV): Darin wird festgelegt, dass der Dienstleister die DSGVO-Prinzipien einhält, dem Auftraggeber Prüfrechte einräumt und Sicherheitsvorfälle umgehend meldet.

• Überprüfung der Sicherheitszertifizierungen des Anbieters: Idealerweise verfügt der Dienstleister über Zertifikate wie ISO 27001 oder CSA STAR und lässt regelmäßig unabhängige Sicherheitsaudits durchführen.

• Kontinuierliche Überwachung: Das Unternehmen sollte über Neuigkeiten zu Zwischenfällen beim Anbieter informiert bleiben (z. B. Sicherheitsvorfälle in der Presse) und in wichtigen Fällen eigene Audits oder Sicherheitsaudits anfordern.

• In regulierten Branchen oder nach gewissen Gesetzen (z. B. NIS2) kann es außerdem erforderlich sein, die Cybersicherheit der Lieferanten nachweislich zu prüfen und über Risiken in der Lieferkette Bericht zu erstatten. Letztlich kann ein Unternehmen die Haftung für Datenpannen nicht auslagern – wenn ein Cloud-Service gehackt wird und Kunddaten gelangen an die Öffentlichkeit, muss das eigene Unternehmen mit den Konsequenzen (Behördenstrafen, Reputationsschäden, Schadenersatzforderungen) rechnen. Daher gilt: Vertrauen ist gut, Kontrolle ist besser. Die Nutzung von Cloud- und Drittanbieterdiensten sollte stets durch kontinuierliche Sicherheitsüberwachung begleitet und an strikte vertragliche Vorgaben geknüpft sein.

Eine starke Cybersecurity-Strategie stützt sich auf gute Governance – also die organisatorischen Strukturen, Richtlinien und Prozesse, die sicherstellen, dass Sicherheit systematisch gemanagt, auf Unternehmensziele abgestimmt und regulatorischen Anforderungen gerecht wird. In einem Unternehmen muss die Führungsetage den Ton vorgeben und ausreichende Ressourcen für Sicherheit bereitstellen, indem sie dieses Thema als integralen Bestandteil von Betrieb und Risikomanagement behandelt.

• Sicherheitsaudits und Überprüfungen: Regelmäßige Audits (sowohl interne als auch externe) sind unverzichtbar, um zu prüfen, ob die Sicherheitsmaßnahmen wirksam sind und alle Compliance-Vorgaben eingehalten werden. Interne Revision oder externe Fachprüfer sollten in regelmäßigen Abständen kritische Bereiche unter die Lupe nehmen – z. B. Benutzerberechtigungs-Reviews, Konfigurations-Audits, Schwachstellen-Scans oder Notfallübungen. Externe Audits oder Penetrationstests liefern einen unvoreingenommenen Blick auf die Verteidigungsmaßnahmen. Festgestellte Mängel müssen nachverfolgt und behoben werden. Außerdem verlangen viele Compliance-Rahmenwerke regelmäßige Prüfungen: z. B. eine jährliche ISO-27001-Zertifizierung oder ein PCI-DSS-Audit (für Unternehmen, die Kreditkartendaten verarbeiten). Audits helfen nicht nur, Schwachstellen zu entdecken, bevor es Angreifer tun, sondern demonstrieren auch gegenüber Geschäftsleitung und Regulierungsbehörden, dass das Unternehmen Sorgfalt walten lässt und die Sicherheit kontinuierlich überwacht.

• Einhaltung von Standards & Regularien: Unternehmen sollten ihre IT-Sicherheit an anerkannten Standards ausrichten, um sowohl die Security zu verbessern als auch gesetzlichen Anforderungen nachzukommen. Ein grundlegendes Rahmenwerk ist ISO/IEC 27001, der weltweit etablierte Standard für Informationssicherheits-Managementsysteme (ISMS). ISO 27001 bietet einen systematischen Ansatz, um sensible Informationen zu schützen, und umfasst Menschen, Prozesse sowie technische Kontrollen. Die Einführung eines ISMS nach ISO 27001 hilft Organisationen, risikobewusster zu agieren und Schwachstellen proaktiv in einem ganzheitlichen Prozess anzugehen. Viele deutsche und europäische Firmen implementieren ISO 27001 als Teil ihrer Cybersecurity Governance, da dies auch die Erfüllung von Vorgaben wie der DSGVO erleichtert. Ein weiterer wichtiger Baustein ist die EU NIS2-Richtlinie (in Kraft seit 2024), die für eine Vielzahl sogenannter wesentlicher und wichtiger Unternehmen spezifische Cyber-Sicherheitsmaßnahmen vorschreibt. NIS2 fordert unter anderem, dass Organisationen Risikoanalysen durchführen, angemessene technische und organisatorische Maßnahmen umsetzen, Sicherheitsvorfälle zeitnah melden und die Sicherheit ihrer Lieferkette berücksichtigen. Bei Verstößen drohen empfindliche Strafen – für wesentliche Einrichtungen sind maximal 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) als Bußgeld vorgesehen. NIS2 ermöglicht es den Behörden zudem, Führungskräfte persönlich in die Verantwortung zu nehmen, falls ihnen nach einem Sicherheitsvorfall grobe Fahrlässigkeit nachgewiesen wird. Ebenso verpflichtet die DSGVO Unternehmen, personenbezogene Daten durch „geeignete technische und organisatorische Maßnahmen“ zu schützen, und sieht bei Vernachlässigung dieser Pflicht Bußgelder von bis zu 4 % des globalen Umsatzes vor. In der Praxis bedeutet die Orientierung an solchen Rahmenwerken, dass dokumentierte Sicherheitsrichtlinien und -verfahren existieren, regelmäßige Risikoanalysen und Schulungen stattfinden und ein Prozess der kontinuierlichen Verbesserung gelebt wird. Compliance sollte dabei nicht als reine Pflichtübung verstanden werden – die konsequente Umsetzung von Standards wie ISO 27001 oder NIST führt tatsächlich zu einer spürbar verbesserten Sicherheitslage des Unternehmens.

• Klare Sicherheitsverantwortlichkeiten: Governance bedeutet auch, dass die Zuständigkeiten für die Cybersicherheit klar definiert sind. Die Unternehmensleitung sollte einen Chief Information Security Officer (CISO) oder eine vergleichbare Funktion benennen, der/die die Sicherheitsstrategie entwickelt und verantwortet. Diese Person koordiniert die Sicherheitsthemen bereichsübergreifend zwischen IT, Recht, Risikomanagement und den operativen Abteilungen. Weitere Rollen können ein IT-Sicherheitsmanager bzw. Informationssicherheitsbeauftragter für die operative Umsetzung sowie ein Datenschutzbeauftragter (DSB) (in Deutschland für viele Unternehmen gesetzlich vorgeschrieben) für die Überwachung der Datenschutz-Compliance sein. Zudem sollte ein bereichsübergreifender Sicherheitsausschuss eingerichtet werden, der Vertreter aus IT, HR, Recht, Betrieb und Management zusammenbringt. So wird sichergestellt, dass Sicherheitsaspekte in alle wichtigen Geschäftsentscheidungen einfließen (z. B. Sicherheits-Checks bei neuen Projekten oder bei der Auswahl von Dienstleistern) und von oberster Ebene unterstützt werden. Auch der Vorstand bzw. Aufsichtsrat sollte involviert sein – etwa durch regelmäßige Risiko-Reports und das Absegnen größerer Investitionen in die Sicherheit. Wenn die Rollen klar verteilt sind, ist Verantwortlichkeit geschaffen und Sicherheitsthemen fallen nicht durchs Raster.

• Informationssicherheits-Managementsystem (ISMS): Schließlich zahlt es sich aus, Cybersicherheit als fortlaufenden Managementprozess zu begreifen statt als einmaliges Projekt. Ein ISMS (wie in ISO 27001 beschrieben) bietet hierfür den Rahmen. Es umfasst das Festlegen von Sicherheitszielen, das Identifizieren und Bewerten von Risiken für die Informationen des Unternehmens, das Implementieren geeigneter Schutzmaßnahmen und das ständige Überwachen und Verbessern der Sicherheitsvorkehrungen. Zentrale Sicherheitsrichtlinien (etwa zur akzeptablen Nutzung von IT, zur Vorfallbehandlung, Zugriffskontrolle, Notfallvorsorge usw.) bilden das Grundgerüst und geben die Leitplanken für das tägliche Handeln vor. Klare Metriken und regelmäßige Management-Reviews sorgen dafür, dass das Sicherheitsprogramm an neue Bedrohungen oder Änderungen im Geschäft angepasst wird. Viele Organisationen lassen ihr ISMS nach ISO 27001 zertifizieren, um es extern bestätigen zu lassen – aber auch ohne offizielle Zertifizierung ist die Anwendung der ISMS-Prinzipien äußerst wertvoll. Sie hebt die Organisation von einem ad-hoc reagierenden Ansatz auf eine proaktive, systematisch gesteuerte Sicherheitsstrategie, in der Risiken regelmäßig neu bewertet und Kontrollen im Sinne des Plan-Do-Check-Act-Zyklus kontinuierlich verbessert werden. Dieses Maß an Governance und bereichsübergreifender Beteiligung unterscheidet oft jene Unternehmen, die Cyber-Bedrohungen effektiv meistern, von denjenigen, die immer wieder kalt erwischt werden.