Unternehmen überschätzen oft ihr IT-Sicherheitsniveau, schließlich haben sie doch alle gesetzlichen Anforderungen erfüllt. Aber haben sie das wirklich? Und reicht das auch, wenn Cyberkriminelle zuschlagen? Mit der Reifegradanalyse von Antares-NetlogiX können Unternehmen das aktuelle Sicherheitslevel ihrer IT umfassend feststellen. Gerhard Kratschmar - Compliance Consultant bei ANLX - erklärt, worum es dabei geht.
Gerhard Kratschmar war bis 2017 Berufspilot und zusätzlich als Manager für Compliance und Flugsicherheit verantwortlich.
Seither ist er als zertifizierter Datenschutzbeauftragter und Auditor nach ISO 27001 bei Antares-NetlogiX tätig. Sein Anspruch ist es, die strukturierten Prozesse und den hohen Sicherheitsstandard der Luftfahrt in die IT-Welt zu bringen.
GK: "Es gibt viele Anforderungen, die Unternehmen und Organisationen einhalten müssen: die NIS2-Richtlinie oder die DSGVO, Vorschriften eines Wirtschaftsprüfers oder Rahmenbedingungen einer Cyberversicherung. Dazu kommt noch die Sorgfaltspflicht, die man als Unternehmer ohnehin immer hat. Damit ich all dem gerecht werden kann, muss ich wissen, wo ich stehe und wo es Handlungsbedarf gibt. Die Reifegradanalyse ermöglicht einen objektiven Querschnitt durch das gesamte Unternehmen.“
GK: "Der Reifegrad ist für alle Unternehmen und Organisationen interessant, die ihre IT-Sicherheit extern überprüfen und IT-Projekte nach Sicherheit priorisieren möchten. Außerdem empfiehlt sich ein solcher Überblick immer dann, wenn eine Zertifizierung ansteht – sei es freiwillig oder verpflichtend.“
GK: "Bei einer Reifegradanalyse erheben wir, wie gut ein Unternehmen aktuell geschützt ist und wie man diese Sicherheit steigern sollte. Das Kundenunternehmen muss vorab keine Vorbereitungen treffen: Wir von ANLX stellen in gemeinsamen Meetings diverse Fragen, dieser Prozess dauert ca. vier halbe Tage. Anhand der Antworten unseres Kunden werden Soll-/Ist-Vergleiche aufgestellt. Wir betrachten die technische Seite, z. B. den Schutz vor Schad-Software, Patch-Konzepte oder Backup-Abhärtung. Die organisatorischen Fragen beziehen sich beispielsweise auf Awareness Trainings, interne sowie externe Richtlinien und das Notfallmanagement.
Am Ende erstellen wir ein Spinnendiagramm, in dem das aktuelle Sicherheitslevel in den verschiedensten Bereichen grafisch dargestellt wird. Daran lässt sich ablesen, welche Maßnahmen mit welcher Priorität ergriffen werden sollten. Sehr häufig werden gleich nach den ersten Terminen Quickwins umgesetzt.“
GK: "Viele denken, sie hätten alles getan, um sich gegen Angriffe zu schützen und sie wären sicher aufgestellt. Eine Reifegradanalyse kann da zu echten Aha-Erlebnissen und zu der Erkenntnis führen, dass doch Handlungsbedarf besteht. Man gewinnt einen Vorsprung gegenüber Cyberkriminellen, wenn man seine Schwachstellen vor ihnen erkennt. Es lässt sich festlegen, welche Maßnahmen kritisch sind und sofort ergriffen werden müssen und welche weniger kritisch sind und damit erst im Laufe eines Jahres umgesetzt werden können. Zudem bekommt man eine Grundlage, auf die man aufbauen kann, wenn man beispielsweise eine Zertifizierung machen oder einen Nachweis erbringen muss.“
GK: "Die Reifegradanalyse befasst sich mit den wichtigsten Punkten der IT-Sicherheit. Dafür orientieren wir uns an den Inhalten der europäischen NIS-Richtlinie sowie an unserer jahrelangen Expertise. Es werden also grundsätzliche Kapitel eines Informationssicherheitsmanagements (ISMS) auf Umsetzung geprüft. Die Analyse ersetzt aber nicht die detaillierte Prüfung einzelner Systeme und Dokumente auf deren Wirksamkeit. Das steht nochmal auf einem anderen Blatt und sollte von Unternehmen ebenfalls ernstgenommen werden.“
Nähere Informationen erhalten Sie in unserem NIS2 Webinar: JETZT AUFZEICHNUNG ANFORDERN
