Effizienter Schutz vor Cyberrisiken erfordert, nebst technischen Abwehrmassnahmen, die Implementierung strukturierter Sicherheits-Prozesse. Auch in KMUs ist gemäss Fachleuten die Einführung eines Informationssicherheits-Managementsystems (ISMS) angezeigt.
Gerade kleinere KMU scheuen aus Kostengründen oft Investitionen in die IT-Sicherheit und sind dadurch ungenügend geschützt. Angreifer haben deshalb ein leichtes Spiel − egal, ob sie Datendiebstahl, die Einschleusung von Ransomware oder eine DDoS-Attacke im Sinn haben. Gerne wird in diesem Zusammenhang zudem vergessen, dass Schweizer Unternehmen für bestimmte Verstösse gegen die Datenschutz-Grundverordnung (DSGVO) haften.
Für Experten ist klar, dass Unternehmen, die sich effizient gegen Cyber-Bedrohungen schützen wollen, eine effiziente Informationssicherheitsstrategie sowie ein Informationssicherheits-Managementsystem (ISMS) benötigen. Die Basis muss eine strukturierte Herangehensweise sein, welche der eigenen Geschäftsstruktur entspricht. Zudem ist es wesentlich, dass sich die Geschäftsleitung von Beginn an hinter die Strategie stellt und intern die nötigen Qualifikationen vorhanden sind, um sie umzusetzen.
Sicherheitsmassnahmen als Wettbewerbsfaktor
Für eine effiziente Sicherheitsstrategie und die Implementierung einer ISMS ist darüber hinaus eine ganzheitliche Risikobetrachtung unverzichtbar. Denn eines steht laut Spezialisten fest: ohne umfassende Risikoanalyse und -bewertung sind Sicherheitsmassnahmen wenig effektiv. Auch muss evaluiert werden, ob der betriebene Sicherheitsaufwand und mögliche Schäden in einem richtigen Verhältnis zueinander stehen.
Allerdings darf dabei nicht ausser Acht gelassen werden, dass Sicherheitsmassnahmen nicht nur Kosten und Aufwand bedeuten. Gerade für KMUs, die als Lieferanten Aufgaben für Organisationen oder Behörden übernehmen, sind sie nämlich auch eine Chance. Denn Unternehmen, die nachweislich gut geschützt sind, haben bessere Chancen, als Zulieferer berücksichtigt zu werden – insbesondere, wenn es um kritische Dienstleistungen und Infrastrukturen geht. IT-Sicherheit wird damit immer mehr zu einem Wettbewerbsfaktor.
ISO-Zertifizierungen als Grundlage – auch für die igeeks AG
Nebst internen Compliance-Vorgaben bietet sich ein ISO-Zertifikat als Basis für die Einführung eines Informationssicherheits-Systems an. In Frage kommen dabei Zertifikate gemäss den ISO-Normen 27001 und 20000. Während ISO 27001 vor allem das Thema IT-Sicherheit betrifft, umfasst der, auf der IT Infrastructure Library (ITIL) basierende Standard ISO 20000 auch Management-Prozesse.
Auch die igeeks AG ist gemäss dieser beiden Normen zertifiziert. Beim Entscheid für die Zertifizierung hat für uns, nebst sicherheitstechnischen Überlegungen, auch die Wettbewerbsfähigkeit eine Rolle gespielt. Weil viele grössere Unternehmen von ihren Lieferanten eine Zertifizierung verlangen, vergrössert sich für uns damit der potenzielle Kundenkreis.
