31. Cyber-Sicherheits-Check

Eine spannende Frage ist und bleibt, warum Unternehmen für Cybersicherheit motiviert werden. Bei vielen Unternehmen ist Compliance eine große Triebfeder. Sie werden zum Beispiel durch gesetzliche Vorgaben gezwungen, sich an Standards zu halten. Für andere Unternehmen wiederum gelten Vorgaben ihrer Großkunden in der Lieferkette. Auch hier wird die Einhaltung spezifischer Standards meist erzwungen. Wie ist es jedoch bei Unternehmen, die keine konkreten Vorgaben haben? Diese haben häufig kein Informationssicherheitsmanagementsystem (ISMS) vorzuweisen. Sie kennen den Zustand ihrer Cybersicherheit nicht. Meist aufgeschreckt durch Presseberichte oder gar Ereignisse im eigenen Haus rufen diese Unternehmen und Organisationen bei einem Berater an. Häufig haben die Unternehmer oder deren IT-Leiter (ein IT-Sicherheitsbeauftragter oder gar Informationssicherheitsbeauftragter ist dort sehr selten zu finden) bereits von Penetrationstests gehört. Für die Fragestellung „wie sicher bin ich denn eigentlich?“ ist ein Penetrationstest jedoch denkbar ungeeignet. Insbesondere bei Unternehmen, die über ihre Prozesse nicht Bescheid wissen. Alternativ wäre ein Audit nach zum Beispiel ISO 27001 oder gar BSI-Grundschutz denkbar. Allerdings würden diese Audits allein schon an fehlenden formalen Dokumenten scheitern. Eine Aussage zur Cyber-Sicherheit ist auch hier nicht von einem durchaus umfänglichen Projekt zu erwarten. Einen pragmatischen Ansatz für Unternehmen ohne definierte Sicherheitsprozesse nach einem spezifischen Standard bietet der „Cyber-Sicherheits-Check“.