Informationssicherheitsmanagementsystem (ISMS) – eines der längeren Wörter in der IT. Auch die Einführung eines solchen Systems, egal ob nach TISAX, ISO27001 oder einer anderen Norm, nimmt viel Zeit und Ressourcen in Anspruch. Immer mehr Automobilhersteller und deren Zulieferer verlangen eine entsprechende Zertifizierung von ihren Lieferanten, um Cyberrisiken zu minimieren.

Ein ISMS enthält sowohl technische als auch organisatorische Maßnahmen. Zu den organisatorischen gehört vor allem das erstellen, einführen und kontrollieren von Prozessen, die Erarbeitung und Überprüfung von Management-Zielen, und die Pflege aller Informationen in einer spezialisierten Software bspw. einem Wiki oder einem Handbuch.

Die technischen Maßnahmen leiten sich aus den Vorgaben des ISMS Handbuchs ab. Sind die Gäste- und Mitarbeiter Netzwerke voneinander getrennt? Sind die VoIP Telefone abhörsicher? Liegen Passwortlisten frei zugänglich im Unternehmensnetzwerk? Diese und andere Fragen lassen sich mit einer „IST-Aufnahme“ und einem Penetrationstest beantworten. Die „IST-Aufnahme“ kann auch in Eigenregie durchgeführt werden. Dazu gibt es frei verfügbare Fragebögen, wie zum Beispiel den „VdS Quick-Check“ https://vds.de/vds-quick-check. Dienstleister, wie die CCVOSSEL GmbH, erweitern so einen Quick-Check um eigene Fragen und unterstützen bei der Vor-Ort-Begehung.

Einen Penentrationstest wiederum kann man nicht allein durchführen. Dazu ist eine Unterstützung durch Experten zwingend notwendig. Während des sog. Pentests gibt es 3 Angriffsszenarien. Abhängig davon, wie viele Informationen die Pentester bekommen, wird ein böswilliger Mitarbeiter, gestohlener Laptop oder ein Hacker-Angriff von außen simuliert. Diese Tests sollten wiederkehrend einmal im Jahr durchgeführt werden, um die IT-Infrastruktur auf Änderungen und neue Angriffswege zu prüfen.

Nicht zu vergessen ist hierbei der durch Hacker am häufigsten genutzte Weg, um Schadsoftware ins Unternehmensnetz zu schmuggeln - der Mensch. Das Thema Awareness wird wieder im Rahmen des „European Cyber Security Months“ https://cybersecuritymonth.eu als effektive Schutzmethode erwähnt. Um die Reaktionen der Kollegen und Kolleginnen auf gefälschte E-Mails zu prüfen und so einen Angriff zu simulieren, lohnt sich die Durchführung einer Phishingkampagne. Hierbei werden verschiedene Angriffe simuliert, die als Ziel haben eine Datei ins Unternehmensnetz zu bringen, die Anmeldedaten zu stehlen oder die MitarbeiterInnen auf gefälschte Webseiten zu lotsen. Eine anschließende Aufklärungskampagne mit Awareness-Vortrag runden das Thema ab.

Ein Managed Security Service, wie z.B. das von CCVOSSEL https://ccvossel.de/leistungen/mss-pakete/ umfasst sowohl einen wiederkehrenden Pentest als auch eine Phishingkampagne zum kalkulierbaren Festpreis.