Ingrid Schaumüller-Bichl, renommierte IT-Security-Expertin der FH OÖ und Leiterin des OCG-Arbeitskreises IT-Security, spricht im Interview über aktuelle Bedrohungen und empfiehlt Schutzmaßnahmen wie die ISO/IEC 27001 Zertifizierung. [...]
Stichwort Bedrohungen: WannaCry war in aller Munde, Ransomware Attacken mehren sich. Wie sehen Sie diese Entwicklung und wie können sich Unternehmen davor schützen?
Wir sehen nicht nur eine Zunahme in der Zahl der Angriffe, sondern auch eine vermehrte Personalisierung von Angriffen, etwa von Phishing-Attacken, die immer stärker auf ein bestimmtes Zielobjekt zugeschnitten werden, sowie Targeted Attacks bzw. Advanced Persistent Threats, kurz APTs. Zur Gewährleistung von Sicherheit braucht es immer einen Mix aus technischen, organisatorischen und personellen Maßnahmen. Technische Sicherheitsmaßnahmen wie Virenschutz, Zwei-Faktor-Authentisierung, Verschlüsselung oder elektronische Signaturen sollten heute eigentlich schon Standard sein. Wichtig ist es auch, in punkto Schutz immer up to date zu bleiben, so werden etwa AI-basierte Methoden zur raschen Erkennung neuer Angriffe eingesetzt. Und schließlich braucht es auch verstärkte Awareness-Maßnahmen, denn die besten technischen Sicherheitsmaßnahmen nützen nichts, wenn nicht jeder einzelne Mitarbeiter sicherheitsbewusst handelt.
Inwiefern werden Bedrohungen zunehmen, was erwarten Sie für das kommende Jahr 2018?
Wir erleben heute schon eine Zunahme von weltweiten Cyberangriffen auf Konzerne und Netzwerke, und es ist zu erwarten, dass sich dieser Trend verstärken wird, auch auf staatlicher und gesellschaftlicher Ebene. Ich stimme EU-Präsident Juncker zu, der kürzlich in seiner »State of the Union Address 2017« sagte: »Cyber-Attacken können für die Stabilität der Demokratie und Wirtschaft gefährlicher sein als Gewehre und Panzer. Cyber-Angriffe kennen keine Grenzen und niemand ist dagegen immun.«
Es gibt ja verschiedenste Normen und Zertifizierungen für IT-Security und BCM (Business Continuity Management). Welche davon empfehlen Sie Unternehmen?
Generell halte ich Normen und Zertifizierungen für ganz wichtige Instrumente zur Professionalisierung und Qualitätssicherung in einem Sektor. Im Information-Security-Bereich hat sich zweifellos ISO/IEC 27001 als der internationale Standard etabliert. Ergänzend zu den Basisanforderungen gibt es in der »ISO/IEC 27001 Familie« sektorspezifische Standards, die wertvolle Vorgaben für spezifische Anwendungen oder Bereiche geben, wie etwa ISO/IEC 27018 zum Thema datenschutzrechtliche Anforderungen für Cloud-Dienstleister. Im Business Continuity Management ist ISO 22301 das Pendant zu ISO/IEC 27001, wenn auch noch nicht so verbreitet.
Im Datenschutzbereich fördert die EU ausdrücklich den Einsatz von datenschutzspezifischen Zertifizierungen und Gütesiegeln. In diesem Zusammenhang finde ich besonders die derzeit laufenden Arbeiten an einem neuen ISO-Standard, nämlich ISO/IEC 27552, interessant. Dabei handelt es sich um eine Erweiterung und Ergänzung der ISO/IEC 27001 um Datenschutz-Management und datenschutzspezifische Controls.
Im Mai 2018 tritt die neue DSGVO in Kraft. Was sind aus Ihrer Sicht hier die wichtigsten Neuerungen und wie müssen sich Unternehmen vorbereiten?
Die DSGVO stellt einen wichtigen Schritt in der Modernisierung des europäischen Datenschutzrechts dar. Sie bringt neben der Ausweitung der Rechte der Betroffenen und der Pflichten der Verantwortlichen sowie einer massiven Verschärfung von Geldbußen vor allem auch eine erhöhte Selbstverantwortung der betroffenen Institutionen. Mit der DSGVO kommen auch eine ganze Reihe neuer technischer und organisatorischer Anforderungen auf Unternehmen, Behörden und andere Institutionen zu. Informationssicherheit bekommt einen noch größeren Stellenwert. Es besteht kein Grund zur Panik, aber jede Organisation sollte dringend ihre Hausaufgaben in Angriff nehmen. Dazu gehören die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, die Anpassung der internen Prozesse im Unternehmen an die DSGVO – beispielsweise für Auskunftserteilungen oder Data Breach Notification – und die Prüfung von Verträgen, Anwendungen sowie Webseiten auf Konformität mit der DSGVO. Im Sicherheitsbereich werden vor allem die Risikoabschätzung und die durchgängige Dokumentation der Sicherheitsmaßnahmen wichtig sein.
Welchen Nutzen haben Unternehmen von einer ISO/IEC 27001 Zertifizierung, die ja von der Österreichischen Computer Gesellschaft (OCG) aktuell angeboten wird?
Zunächst werden damit intern im Unternehmen Abläufe verbessert, damit wird eine optimierte IT- und Informationssicherheit realisiert. Nach außen bedeutet ein Zertifikat ein wichtiges Zeichen gegenüber Partnern und Kunden in Bezug auf Vertrauenswürdigkeit und Qualität. Wichtig ist: Die ISO/IEC 27001 Zertifizierung macht nicht nur für große Unternehmen, sondern auch für kleinere Organisationen Sinn. Die Maßnahmen müssen immer risikogerecht und angemessen sein, das heisst sie können entsprechend für kleine Unternehmen angepasst werden.
Be the first to comment