[vc_row][vc_column][vc_custom_heading text=“Sicherheit mit Siegel“ font_container=“tag:h1|font_size:48|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1692862208809{margin-top: -25px !important;}“][vc_custom_heading text=“Die Rolle von Zertifizierungen in der Cyberwelt“ font_container=“tag:h2|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1692862224147{padding-bottom: 10px !important;}“][vc_column_text]Alexander Häußler, TÜV SÜD

(Titelbild: © AdobeStock | 579161922 | mediaparts)[/vc_column_text][ultimate_spacer height=“15″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=“Kurz und Bündig“ font_container=“tag:h2|font_size:34|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1661761237969{margin-top: -25px !important;}“ el_class=“box-headline“][vc_row_inner el_class=“box-content-wrapper“][vc_column_inner][vc_column_text]Ob und auf welcher Basis die Cybersecurity eines Unternehmens zertifiziert wird, hängt von konkreten Anforderungen und Motiven ab. Eine freiwillige Zertifizierung ist sinnvoll, weil sie nachweislich die Cybersecurity von Unternehmen verbessert und das gegenüber Dritten dokumentiert. Dennoch bieten weder gesetzliche Vorgaben noch verpflichtende oder freiwillige Zertifizierungen einen absoluten Schutz vor Cyberangriffen.[/vc_column_text][/vc_column_inner][/vc_row_inner][ultimate_spacer height=“30″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][vc_custom_heading text=“Infobox“ font_container=“tag:h2|font_size:34|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1692863069335{margin-top: -25px !important;}“ el_class=“box-headline“][vc_column_text]Betreiber kritischer Infrastrukturen (KRITIS) müssen nach § 8a BSIG [2] und dem IT-Sig. 2.0 [3] nachweisen, dass ihre Cybersecurity auf dem Stand der Technik ist und ein System zur Angriffserkennung (SzA) eingeführt ist. Auch Sicherheitsaudits, Prüfungen oder Zertifizierungen sind vorgesehen. Als KRITIS gelten zum Beispiel Energie- und Wasserversorger, Telekommunikationsanbieter, aber auch Finanzdienstleister, Versicherungen, Transportanbieter oder Gesundheitsunternehmen, sobald Betriebsstörungen mehr als 500.000 Menschen betreffen.

Der erforderliche Nachweis kann zum Beispiel anhand der vom BSI anerkannten „Branchenspezifischen Sicherheitsstandards“ (B3S) geführt werden. Strom- und Gasnetzbetreiber müssen sich hingegen nach dem IT-Sicherheitskatalog der Bundesnetzagentur zertifizieren lassen.

Hinzu kommen Auflagen aus neuen EU-Richtlinien wie NIS2, die Cybersecurity-Mindeststandards für Unternehmen festlegt, die in Europa tätig sind. Als Nachfolgerin der bestehenden NIS-Richtlinie vergrößert sie den Geltungsbereich und verschärft die Pflichten für Unternehmen. Bis Oktober 2024 muss die Bundesregierung die Vorgaben in ein nationales Gesetz überführen.[/vc_column_text][/vc_column][/vc_row][vc_row css=“.vc_custom_1519752670572{margin-top: -10px !important;}“][vc_column][ultimate_spacer height=“30″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][vc_column_text]Cybersecurity-Zertifizierungen schaffen Transparenz und Vertrauen im Markt und bei der Kommunikation mit Kunden, Behörden und Versicherern. In Deutschland relevant sind vor allem die branchenübergreifende Norm ISO/IEC 27001, TISAX für die Automobilbranche sowie die Anforderungen an kritische Infrastrukturen. Die Motive, die Unternehmen für eine Zertifizierung haben, sollten allerdings frühzeitig geklärt werden.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]IT-Verantwortliche müssen immer schneller auf sich wandelnde Bedrohungslagen reagieren. Trotzdem priorisieren die Geschäftsleitungen die IT-Sicherheit oft nicht ausreichend, weshalb immer mehr Cyberangriffe erfolgreich sind. Die TÜV Cybersecurity Studie 2023 [1] hat ergeben, dass elf Prozent der befragten Unternehmen in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall hatten. Wer seine Infrastruktur gegen Angriffe abgesichert hat, dokumentiert den verbesserten Schutz zunehmend mit unabhängigen Zertifizierungen. Der Fokus und die Motive einer Zertifizierung unterscheiden sich jedoch je nach Branche und Unternehmensgröße.

Im Office-Umfeld geht es vornehmlich um Security, also um den Schutz von Daten vor unerlaubtem Zugriff, Verändern oder Löschen. Bei kritischen Infrastrukturen, der Prozessindustrie oder im Produktionsumfeld wird Security zusätzlich sicherheitsrelevant. Safety umfasst den Schutz von Menschen, Sachwerten und der Umwelt vor Auswirkungen des Anlagenbetriebs. Das können durch Cyberangriffe provozierte Störfälle bei der Energie- oder Wasserversorgung sein oder manipulierte Produkte wie Lebensmittel. Wo Angriffe besonders große Auswirkungen haben, existieren für den Nachweis von Cybersecurity-Maßnahmen teilweise sogar gesetzliche Pflichten.

spezifische Zertifizierungen dienen kann. TISAX für die Automobilbranche oder das IT-Sicherheitsgesetz für kritische Infrastrukturen liefern hier den Rahmen. Die ISO/IEC 27001 empfiehlt sich auch für Zulieferer von KRITIS-Betreibern (siehe Infobox und Abb. 1) – da auch die Supply Chain immer mehr in den Blickpunkt rückt.

Voraussetzung für eine freiwillige Zertifizierung ist, dass das Unternehmen eine hohe Eigenmotivation hat, die zugehörigen Ressourcen dafür dauerhaft bereitzustellen. Wer nur die Außenwirkung im Blick hat, scheitert mitunter bei der Zertifizierung oder profitiert nicht in vollem Umfang von ihrem Nutzen.[/vc_column_text][vc_custom_heading text=“Risiken minimieren, Vorteile ausschöpfen“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Wer zertifiziert ist, hat seine Cybersecurity-Risiken nachweislich im Blick. Geschäftsgeheimnisse werden abgesichert und das Schutzniveau für sensible oder personenbezogene Daten wird erhöht. Das begrenzt die Eintrittswahrscheinlichkeit und das Schadensausmaß von Sicherheitsvorfällen. Die Kosten von Produktionsausfällen, etwaigem Schadensersatz oder verlorenem Kundenvertrauen sind in der Regel wesentlich höher als die Kosten für Cybersecurity-Maßnahmen und eine Zertifizierung.
Eine Zertifizierung unterstützt auch klare Abläufe, Entscheidungsketten und Befugnisse sowie die „Rückendeckung“ von Vorgesetzen. Das wird zum Beispiel bei einem Sicherheitsvorfall an einem Wochenende wichtig. Wer hat Rufbereitschaft, und wer muss wann informiert werden? Wer darf entscheiden, ob die Produktion ausgesetzt werden muss, um eine Verbreitung von Schadsoftware einzudämmen, oder ob es wichtiger ist, die Produktion weiterlaufen zu lassen, um hohe Folgeschäden zu vermeiden?
Ein Zertifikat kann zudem Wettbewerbsvorteile bieten, weil es die Einhaltung internationaler Standards dokumentiert, mit der Kunden und Lieferanten schneller Vertrauen fassen. Zusätzlich ermöglicht es mitunter günstigere Konditionen bei Versicherungen und verbessert fallweise die eigene Position in einem etwaigen Rechtsstreit.[/vc_column_text][vc_custom_heading text=“Erfolgsschlüssel für die Umsetzung“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Für die Vorbereitung, Durchführung und Nachbereitung eines Audits gilt: Statt schematisch vorzugehen, ist es zielführender, den Mitarbeitenden zunächst die Anforderungen zu erläutern und sie selbst geeignete Maßnahmen vorschlagen zu lassen. Das erleichtert die Integration in bestehende Prozesse und minimiert den Zusatzaufwand. Ist für eine neue Sicherheitsfreigabe oder den Zugriff auf bestimmte Daten tatsächlich ein weiteres Formular nötig? Oder genügt es, Bestehendes sinnvoll zu erweitern? Wenn die Mitarbeitenden die Strukturen mitentwickeln, können sie diese wirksamer pflegen und aufrechterhalten. Die Zusammenarbeit über Abteilungsgrenzen hinweg ist dabei unerlässlich.

Wer sich auf ein Audit vorbereitet, sollte zunächst klären, was besonders schützenswert ist. Auch müssen der Nutzen und die Kosten gegeneinander abgewogen werden. Mitarbeitende und Securityverantwortliche haben teils gegenläufige Prioritäten. Wie wichtig ist beispielsweise die schnelle Verfügbarkeit von Daten gegenüber einer komplexen Verschlüsselung? Hat ein Notarzt Zeit für eine Zwei-Faktor-Authentifizierung oder ein 20-stelliges Passwort? Eventuell führen auch alternative Maßnahmen zur Zielerreichung, etwa durch eine wirksame Zugangsbeschränkung zu bestimmten Räumen.

Technische Maßnahmen allein reichen allerdings nicht aus, da es immer wieder zu unvorhersehbaren Entwicklungen oder neuen Sicherheitslücken kommen kann. Entscheidend ist, dass die Geschäftsführung die Prozesse initiiert und diese von allen Mitarbeitenden dauerhaft gelebt werden. Eine kontinuierliche Verbesserung und kritisches Hinterfragen des Erreichten nach dem sich wiederholenden Plan-Do-Check-Act-Verfahren gehören dazu.[/vc_column_text][vc_single_image image=“33337″ img_size=“large“ add_caption=“yes“][vc_custom_heading text=“Die ISO/IEC 27001 als Startpunkt“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Unabhängig davon, ob Unternehmen eine spezifische oder eine allgemeine Zertifizierung anstreben: Ein Informationssicherheits-Managementsystem (ISMS) ist ein solides Fundament. Die ISO/IEC 27001 definiert dafür die Rahmenbedingungen. Ein ISMS basiert auf der Identifikation von wesentlichen betrieblichen – auch personenbezogenen – Informationen, der Definition von Schutzmaßnahmen und der kontinuierlichen Anpassung an die sich stetig wandelnde Bedrohungslage.

Auch die ISO/IEC 27001 selbst unterliegt einer gewissen Dynamik, um auf sich ändernde Gegebenheiten zu reagieren. Die letzte solche Anpassung wurde 2022 abgeschlossen. Auch dies zeigt, dass es bei einem ISMS darauf ankommt, auf Veränderungen zu reagieren.

Neben der übergreifenden ISO/IEC 27001 und spezifischen Anforderungen für kritische Infrastrukturen (siehe Infobox) existiert für Deutschland eine branchenseitige Regulierung mit weitreichender Bedeutung. Das ist TISAX für die Automobilindustrie, die einen erheblichen Anteil am Bruttoinlandsprodukt hat. Der Trusted Information Security Assessment Exchange (TISAX) ist ein Austauschmechanismus für Prüfergebnisse. Entwickelt hat den Standard der Verband der Automobilindustrie (VDA) in Zusammenarbeit mit der European Network Exchange Association (ENX).

TISAX zielt speziell auf den Schutz von Daten in der Automobilbranche ab. Um Mehrfachprüfungen zu vermeiden, wurde hierzu ein Portal geschaffen in welchem geprüfte Unternehmen ihre Ergebnisse mit anderen auf einfache Art teilen können. Dieses geschlossene Ökosystem schafft Transparenz, Vergleichbarkeit und spart Zeit. Studien zeigen, dass TISAX nachweislich Lieferketten stärkt und Produktionsausfälle verringert.[/vc_column_text][vc_custom_heading text=“Was die ISO/IEC 27001 und TISAX unterscheidet“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“][vc_column_text]Während die ISO/IEC 27001 ein internationaler branchenübergreifender Standard ist, fokussiert TISAX die Autobranche. TISAX geht inhaltlich über die ISO/IEC 27001 hinaus und umfasst spezifischere Anforderungen wie etwa den Prototypenschutz. Bei einem TISAX-Assessment aufgedeckte Abweichungen müssen innerhalb weniger Monate bearbeitet werden, und die Ergebnisse gelten für drei Jahre. Die ISO/IEC 27001 gibt den Unternehmen mehr Flexibilität zur Anpassung an Unternehmensspezifika und Anforderungen von Stakeholdern. Die Einhaltung der Anforderungen und eigenen Vorgaben wird dabei jährlich geprüft.

Ob und auf welcher Basis die Cybersecurity eines Unternehmens zertifiziert werden soll, hängt von den konkreten Anforderungen und Motiven ab. Bei gesetzlichen oder branchenspezifischen Regulierungen ist sie obligatorisch. Eine freiwillige Zertifizierung ist sinnvoll, weil sie nachweislich die Cybersecurity von Unternehmen verbessert und das gegenüber Dritten dokumentiert. Doch eins sollte klar sein: Weder gesetzliche Vorgaben noch verpflichtende oder freiwillige Zertifizierungen bieten absoluten Schutz vor Angriffen. Denn die Bedrohungslage ändert sich schneller als der gesetzliche und normative Rahmen.[/vc_column_text][ult_createlink title=“Zu den Literaturangaben“ btn_link=“url:https%3A%2F%2Fbit.ly%2F44DtsB8|target:_blank“][/vc_column][/vc_row][vc_row][vc_column][ult_dualbutton btn_hover_style=“Style 2″ btn_border_style=“solid“ btn_color_border=“#ffffff“ btn_border_size=“2″ btn_alignment=“left“ dual_resp=“off“ button1_text=“Einzelheft kaufen“ icon_link=“url:https%3A%2F%2Fwww.im-io.de%2Fproduct%2Fmetaverse%2F|title:Metaverse%2C%20NFTs%20%26%20Cryptos|target:_blank“ btn1_background_color=“#f3f3f3″ btn1_bghovercolor=“#f07d00″ icon=“Defaults-book“ icon_size=“22″ icon_color=“#f07d00″ icon_hover_color=“#ffffff“ button2_text=“Jetzt abonnieren“ btn_icon_link=“url:https%3A%2F%2Fwww.aws-institut.de%2Fim-io%2Fabo%2F|title:Abo||“ btn2_background_color=“#f3f3f3″ btn2_bghovercolor=“#f07d00″ btn_icon=“Defaults-chevron-right“ btn_icon_size=“22″ btn_icon_color=“#f07d00″ btn_iconhover_color=“#ffffff“ divider_text=“oder“ divider_text_color=“#f07d00″ divider_bg_color=“#ffffff“ btn1_text_color=“#f07d00″ btn1_text_hovercolor=“#ffffff“ btn2_text_color=“#f07d00″ btn2_text_hovercolor=“#ffffff“ title_font_size=“desktop:20px;“ btn_border_radius=“30″ title_line_ht=“desktop:22px;“ btn_width=“280″][/vc_column][/vc_row]