Cyber-Security: drei Best Practices für mittelständische Unternehmen

Best Practice #1 – „Governance“: Programm für Cyber-Security

Eine solide Cyber-Security-Verteidigung aufzubauen, gelingt nicht nebenbei, sondern ist eine kontinuierliche Aufgabe nach dem „Plan-Do-Check-Act“-Prinzip.

Um das Thema Cyber-Security tief im Unternehmen zu verankern, braucht es ein Regelungsrahmenwerk, das entlang einer kurzen sowie leicht verständlichen Cyber-Security-Policy strukturiert ist sowie wenige aber dafür konkrete Richtlinien zu den wichtigsten Themen wie Risikomanagement, Zugriffsberechtigungen und Notfallkonzeption umfasst. Dadurch wird deutlich, was die IT-Werte, insbesondere Informationen, für das Unternehmen in der Praxis bedeuten.

Damit das Regelungsrahmenwerk gelebt wird und eine Cyber-Security-Kultur entsteht, ist die klare Kommunikation an die Mitarbeiter*innen und an die Geschäftspartner eine wichtige Voraussetzung. Ein weiterer Faktor ist außerdem, dass die Führung das Regelungsrahmenwerk sichtbar und effektiv unterstützt.

Nicht zu vergessen ist, das Regelungsrahmenwerk regelmäßig und anlassbezogen zu überprüfen und nach Bedarf anzupassen, damit es stets den geschäftlichen Anforderungen sowie der aktuellen Gefährdungslage entspricht und die Mitarbeiter*innen es stärker als „Business-Enabler“ statt als „Show-Stopper“ sehen.

„Diese Maßnahmen helfen dabei, ohne großen Aufwand und Ressourceneinsatz bei einem mittelständischen Unternehmen ein solides Fundament für eine effektive Cyber-Security-Verteidigung zu schaffen.“

_{Dr. Roman Krepki, Senior Manager, Forvis Mazars}

Best Practice #2 – „Risk & Vulnerability Management“: State-of-the-Art-Risikoanalyse

Wichtig ist zuallererst der Blick nach innen, bei dem Unternehmen selbstkritisch auf ihre Infrastruktur, Technik, IT und Unternehmenswerte (insbesondere ihre Informationen) schauen, um sich bewusst zu machen, wo sie angreifbar sind und welche schützenswerten Assets sie besitzen. Dabei geht es auch darum, mögliche „wunde Punkte“ zu bewerten und im Auge zu behalten.

Anschließend sollte der Blick nach außen, auf die potenziellen Angreifer gerichtet werden, z. B. Hacker und Erpresser, um ihr Vorgehen sowie ihre Methoden zu kennen und die damit einhergehenden Risiken nach der Eintrittswahrscheinlichkeit sowie den möglichen Folgen für die Geschäftsprozesse des Unternehmens einzuschätzen und überwachen zu können.

Ein weiterer entscheidender Aspekt ist, einen Business-Continuity-Plan (BCP) für jede geschäftskritische Komponente – wie Gebäude, IT, Informationen oder Personal – zu entwickeln. So lässt sich im Voraus festlegen, was zu tun ist, wenn Gefahren entstehen, und die Abläufe können regelmäßig geübt wie auch auf den Prüfstand gestellt werden. Das spart im Ernstfall wertvolle Zeit, weil die nötigen einzuleitenden Schritte bereits erarbeitet und beschlossen sind.

„Durch diese Maßnahmen wird der Blick der Geschäftsführung auf potenzielle Gefährdungen, damit einhergehende Risiken und vermeintliche Konsequenzen geschärft, sodass sich Business-Entscheidungen möglichst realitätsnah treffen lassen.“

^{Christopher Hock, Director, Forvis Mazars}

 

Best Practice #3 – „Regulatorische Compliance“: Konformität mit Gesetzen und Standards

Gerade in mittelständischen Unternehmen ist es wichtig, dass sich die Geschäftsführung auf das Business sowie die Hauptgeschäftsprozesse konzentrieren kann, statt sich durch das Dickicht an Verordnungen, Richtlinien, Gesetzen und Standards zu schlagen.

Es ist zu empfehlen, dass sich Entscheider*innen durch ein Tandem aus Jurist*in und Tech-Expert*in beraten lassen, um die relevanten Compliance-Anforderungen zu identifizieren, zu bewerten und praxisnahe Strategien für die Umsetzung zu erarbeiten.

Die Vorteile dieser Zusammenarbeit liegen auf der Hand: Jurist*innen kennen die aktuellen Regularien, können erklären, inwiefern sie angemessen sowie anwendbar sind und zeigen die Konsequenzen der Nicht-Compliance anhand von Gerichtsentscheidungen auf. Die Tech-Expert*innen entwickeln daraufhin mit ihren Prozesskenntnissen und ihrem Technologie-Know-how passgenaue Lösungen, die einerseits die Compliance sicherstellen, aber andererseits die Geschäftsprozesse so wenig wie möglich hemmen.

„Mit diesen Maßnahmen stellt die Geschäftsführung sicher, dass das Unternehmen die gesetzlichen Vorgaben einhält. Das schafft nicht nur Ruhe in rechtlicher Hinsicht, sondern kann auch potenziell als Alleinstellungsmerkmal am Markt dienen, was dem Produkt des Unternehmens zugutekommt und höhere Umsätze durch ein gestärktes Vertrauen der Kund*innen verspricht.“

_{Dr. Roman Krepki}

Rund um das Thema Cyber-Security haben wir einen Report veröffentlicht. Erfahren Sie hier mehr.