Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

ISO27001

Sicherheit gewinnen, flexibel bleiben

Mit seinen ‚Hidden Champions‘ gilt der Mittelstand als Stütze der deutschen Wirtschaft. Dabei haben Hacker die Mittelständler schon längst über gezielte Angriffe oder breit gestreute Schadprogramme wie Ransomware ins Visier genommen. Mit einer DIN27001-Zertifizierung kann man es den Angreifern jedoch ganz schön schwer machen.

ISO27001 Zertifizierung

Bild: Rhein S.Q.M. GmbH

Informationssicherheit geht weit über IT-Themen hinaus. Aber natürlich ist die EDV-Sicherheit eines der ganz großen Themen für Unternehmen – nicht zuletzt aufgrund der jüngsten Cyberattacken, durch die über Sicherheitslücken beispielsweise in nicht gepatchten Windows-Versionen Ransomware in Unternehmensnetzwerke eingeschleust wurde. Die Cyber-Kriminalität hat damit einen Level erreicht, bei dem sie nicht nur ‘die Großen’ trifft, sondern potenziell jedes KMU gefährdet.

IT-gestützte Produktion

Man kann davon ausgehen, dass mindestens 90 Prozent der produzierenden Unternehmen heute mit IT-gestützter Fertigung arbeiten. Verbesserte Abläufe und optimierte Produktionsplanung sind zwei der Vorteile. Industrie 4.0 heißt dann aber auch: Sobald IT-Systeme ausfallen, ist die Produktion unmittelbar betroffen. Ein Beispiel: Bei einem Maschinenbauer fällt aufgrund eines fehlerhaften Windows-Updates das ERP-System aus. Er muss für den kompletten Nachmittag seine 150 Mitarbeiter nach Hause schicken. Legt man einen internen Stundensatz von 50 Euro zugrunde, entstehen dem Unternehmen durch den Produktionsstillstand Kosten in Höhe von 30.000 Euro. Bei dieser Rechnung wurden mögliche Produktionsausfälle und daraus resultierende Forderungen von Kunden noch nicht einmal berücksichtigt. Die Haltung in manchen IT-Abteilungen, man könne dagegen sowieso nichts machen, zeugt von einem fehlenden Bewusstsein für die Gefahren und vor allem für die Größenordnung der finanziellen Schäden, die mangelhafte IT-Sicherheit nach sich ziehen können.

Schutzwälle errichten

Die Gefahr von Viren, Krypto-Trojanern und Co. kann man nie zu hundert Prozent ausschließen. Aber es lassen sich Vorkehrungen treffen, um den Schutz oft entscheidend zu verbessern. Im Bereich der Kommunikationstechnologien zählen dazu standardisierte Backup- und Updateprozesse sowie der festgelegte Umgang mit Patches, aber auch das Berechtigungsmanagement mit Zugangs-, Zutritts- und Zugriffskontrolle. Außerdem sollten Unternehmen jeden Mitarbeiter mit ins Boot nehmen – beispielsweise durch Awareness-Schulungen. Denn es muss gelingen, das Bewusstsein für das Thema IT-Sicherheit zu wecken und in den Köpfen zu verankern. Denn die Bedrohung der IT-Systeme ist kein vorübergehendes Phänomen, sondern wird zur Daueraufgabe.

ANZEIGE

Prozesse für den Wandel

Die Absicherung der IT ist ein zentrales Instrument, um die Stärken des deutschen Mittelstandes zu bewahren. Zu diesen Stärken zählt zum Beispiel die Flexibilität, mit der Unternehmen auf neue Kundenwünsche reagieren. Änderungen in der Produktion werden häufig nicht nur schnell, sondern gar ad hoc umgesetzt. Dann bleibt allerdings oft keine Zeit, die Änderungen ausführlich zu testen. Problematisch wird der fehlende Testdurchgang ohne offizielle Freigaben und kann zu Reklamationen von Kunden führen. In diesem Moment wird die eigentliche Stärke zur Gefahr. Denn Änderungen sind eines der größten und offensichtlichsten Risiken für ein Unternehmen. Dennoch wird gerade in kleinen und mittleren Unternehmen der Prozess des Änderungsmanagements, oder des Changemanagements, eher rudimentär gehandhabt. Dabei können hier standardisierte und automatisierte Prozesse sicherstellen, dass Änderungen am Produktivsystem klar definiert, gelenkt und freigegeben werden. Das beugt vielen Reklamationen vor. Nicht ohne Grund ist das Änderungsmanagement in der neuen ISO27001 sogar eine explizite Forderung mit eigenem Kapitel und spielt im Rahmen des risikobasierten Ansatzes eine zentrale Rolle. Wichtig dabei ist: Eine derartige Prozessstandardisierung soll nicht zum Verlust von Flexibilität führen, sondern die Stärken der Unternehmen sichern.

Dokumentieren sichert Wissen

Neben ihrer Stärke im Hinblick auf Flexibilität beziehungsweise Agilität sind die deutschen KMU oft Knowhow-Träger und zählen in Punkto Wissen und Erfahrung zu den Besten ihres Faches. Dieses Wissen gilt es daher zu sichern und immer aktuell zu halten, um für die Zukunft gerüstet zu sein. Gemeint ist eine sogenannte Dokumentationspflicht, die die Erwartungen an die Mitarbeiter erfassen und auch ein Bewusstsein für die Bedeutung von Wissen für den Geschäftserfolg schaffen soll. Größere Unternehmen stellt die Dokumentationspflicht meist nicht vor allzu große Probleme, während der Aufbau eines solchen Systems für KMU oft herausfordernd ist und ein solides Konzept benötigt. Doch diese Aspekte gehören auch zur Informationssicherheit und so greift die ISO27001 diese Punkte ebenfalls auf. Sie definiert, dass das „Wissen der Organisation“ gezielt aufgebaut werden muss und sicherzustellen ist, dass es an den richtigen Stellen vorhanden ist. Man könnte also sagen, dass sich mit einer ISO27001-Zertifizierung mehrere Fliegen mit einer Klappe schlagen lassen – Knowhow-Schutz und Wissenmanagement zählen dazu.

ISO27001 eine Option für KMU?

Standardisierung im Bereich Informationssicherheit bedeutet nicht zwingend eine ISO27001-Zertifizierung (zumindest, wenn man nicht zu den sogenannten Kritis-Betreibern gehört, die vom Gesetzgeber dazu verpflichtet wurden). Sie unterstützt aber bei der Auswahl und dem Betrieb von Komponenten, die den Stand der Technik widerspiegeln. Das hilft dabei, nichts Wesentliches zu vergessen. Und zum anderen stellt die Zertifizierung sicher, dass es eine regelmäßige Überprüfung gibt, um die Umsetzung der Prozesse zu verfolgen. Für eine Zertifizierung nach ISO27001 stehen – abhängig von der Größe des Unternehmens – allerdings externe Kosten von 30.000 Euro bis 70.000 Euro im Raum. Allein die Zertifizierungskosten von akkreditierten Zertifizierungsgesellschaften schlagen hier mit 5.000 bis 7.000 Euro zu Buche. Das sind handfeste Werte, während die Gefahren durch mangelhafte Informationssicherheit gerade für KMU oft deutlich weniger greifbar sind. Organisationen, die noch nicht direkt betroffen waren, scheuen daher oftmals die Investition in eine rein präventive Maßnahme – schließlich gibt es im Betriebsalltag viele andere Themen auf der Tagesordnung. Dabei macht die eingangs angeführte Rechnung deutlich, dass Schäden die Zertifizierungskosten schnell um ein Vielfaches übersteigen können.


Das könnte Sie auch interessieren:

Harting und Expleo haben im Rahmen der SPS 2019 in Nürnberg eine Kooperationsvereinbarung geschlossen. Vorstandsvorsitzender Philip Harting und Peter Seidenschwang, Head of Industry bei Expleo Germany, unterzeichneten die Vereinbarung, mit der beide Parteien die langfristige Zusammenarbeit im Bereich datengesteuerter Dienste und IoT-Lösungen für Industriekunden bekräftigen.‣ weiterlesen

Laut einer Accenture-Studie können Unternehmen, die in die Skalierung von Technologieinnovationen investieren, mehr als doppelt so hohe Umsatzwachstumsraten erzielen. Dies betrifft in der Studie lediglich zehn Prozent der befragten Unternehmen.‣ weiterlesen

Mit steigender Auftragszahl stieß das ERP-System der ITV GmbH an seine Grenzen. Viele Prozesse erforderten zudem noch viel Handarbeit, etwa beim Einpflegen von Daten. Diese dokumentenbasierten Prozesse sollten mit einer Branchenlösung künftig digital ablaufen.‣ weiterlesen

Digitalgestützte Assistenzsysteme gewinnen in Fabriken an Bedeutung. Gerade komplexe Fertigungsaufgaben lassen sich so schnell, mit weniger Fehlern und von geringer qualifizierten Mitarbeitern ausüben. Für eine Studie haben 144 Produktionsverantwortliche darüber gesprochen, wie es in ihren Werken um die digitale Assistenz bestellt ist.‣ weiterlesen

Laut aktueller Zahlen des ZEW — Leibniz-Zentrum für Europäische Wirtschaftsforschung, blickt die Deutsche Wirtschaft zuversichtlicher in die Zukunft, als noch Ende des vergangenen Jahres. Im Vergleich zum Dezember stieg der Wert der Konjunkturerwartungen um 16 Punkte.‣ weiterlesen

Um Mobilität in Zeiten von Verstädterung, Ressourcenknappheit und Klimawandel zukunftsfest zu machen, bündeln die Universität Stuttgart und das Karlsruher Institut für Technologie (KIT) ihre Forschungskompetenzen im Innovationscampus ‘Mobilität der Zukunft‘ (ICM).‣ weiterlesen

Viele Unternehmen haben das Thema Kundenbeziehungsmanagement auf ihrer digitalen Agenda. Und es geht voran, gerade im Maschinen- und Anlagenbau. Eine aktuelle Umfrage zeigt aber auch, woran es auf dem Weg zur 360°-Kundensicht noch hakt.‣ weiterlesen

Mixaco stellt Industriemischer für Chemikalien, Farben und Kunststoffe her. Jetzt hat die Firma ihr Angebot um eine IoT-Lösung erweitert, mit der Anlagenbetreiber die Leistung ihrer Maschinen online überwachen und sie vorausschauend warten können. In Verbindung mit anderen Bausteinen der IoT-Plattform sind aber noch viel mehr Anwendungen möglich.‣ weiterlesen

Im 23. Global CEO Survey von PWC rechnet mehr als die Hälfte der 1.581 befragten CEOs mit einem Rückgang des Weltwirtschaftswachstums. Auf lange Sicht zeigen sich die Befragten jedoch optimistischer.‣ weiterlesen

Weit mehr als 200 Aussteller auf werden auf der All About Automation im am 4. und 5. März am Bodensee erwartet. Bei der aktuellen Auflage sind die Themen Robotik und MRK zunehmend stark vertreten.‣ weiterlesen

Trendthemen wie künstliche Intelligenz oder Nachhaltigkeit haben Auswirkungen auf die gesamte Supply Chain. Auf der diesjährigen Logimat, die vom 10. bis zum 12. März in Stuttgart stattfindet, zeigen mehr als 1.650 Aussteller, wo die Reise in der Intralogistik in den nächsten Jahren hingehen könnte.‣ weiterlesen

Anzeige
Anzeige
Anzeige