Awa­re­ness Tipps

Die gute Nach­richt: Wer ein „Inte­grier­tes Manage­ment­sys­tem“ (IMS) auf­baut, kann all die­se Anfor­de­run­gen bün­deln – inklu­si­ve der Aspek­te zur Infor­ma­ti­ons­si­cher­heit – statt sie ein­zeln zu mana­gen. Anselm DIETZ erklärt die High Level Struc­tu­re (HLS) der ISO Nor­men und wie sich meh­re­re Nor­men und Stan­dards in einem Manage­ment­sys­tem ver­wal­ten lassen. 

Der Begriff Cyber­hy­gie­ne ver­bin­det die für uns selbst­ver­ständ­li­che Hygie­ne mit der gefähr­li­cher wer­den­den Cyber­um­welt. Genau wie regel­mä­ßi­ges Hän­de­wa­schen Krank­hei­ten ver­hin­dert, ver­hin­dern die­se täg­li­chen, rou­ti­ne­mä­ßi­gen IT-Pro­zes­se “Infek­tio­nen” der Infra­struk­tur. Sie sind das Fun­da­ment, auf dem jede wei­ter­füh­ren­de Sicher­heits­stra­te­gie aufbaut.

Erfolg­rei­che Cyber­an­grif­fe sind heut­zu­ta­ge häu­fig nicht auf soge­nann­te „Zero-Day“-Schwachstellen zurück­zu­füh­ren, son­dern resul­tie­ren oft­mals aus unzu­rei­chend abge­si­cher­ten Stan­dard­kon­fi­gu­ra­tio­nen, ins­be­son­de­re im Bereich von Acti­ve Direc­to­ry (AD) und Micro­soft 365 (M365). Angrif­fe begin­nen in der Regel am Win­dows-Cli­ent – bei­spiels­wei­se durch Phis­hing, gestoh­le­ne Zugangs­da­ten oder durch die Über­nah­me von Sit­zun­gen. Die Angrei­fer bewe­gen sich anschlie­ßend schritt­wei­se vom Cli­ent über AD zu M365, bis die IT-Sys­te­me eines Unter­neh­mens umfas­send kom­pro­mit­tiert sind.

In einem ISMS nach ISO 27001:2022 oder NIS‑2 ist die Wirk­sam­keits­prü­fung kein ein­ma­li­ges Ereig­nis, son­dern ein inte­gra­ler Bestand­teil des gesam­ten Manage­ment­sys­tems. Das Ziel ist es, sicher­zu­stel­len, dass die imple­men­tier­ten Maß­nah­men (Con­trols) tat­säch­lich das tun, was sie sol­len: Risi­ken reduzieren.