Wir verwenden auf unserer Website Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Um Ihnen ein komfortables Online-Erlebnis zu ermöglichen und unsere Kommunikation zu verbessern, klicken Sie auf „ALLE AKZEPTIEREN“. Damit stimmen Sie der Verarbeitung und der Weitergabe Ihrer Daten an unsere Partner für soziale Medien, Werbung und Analysen zu. Sie können Ihre Einwilligungen jederzeit in den Einstellungen widerrufen.
Datenschutzerklärung | Impressum
Datenschutz-Einstellungen

Cyber-Sicherheit darf keine Sekunde pausieren

17. März 2025 Audit

Cyber-Bedrohungen erlangen in digital vernetzten Lieferketten ein immer kritischeres Ausmaß. Schutzkonzepte werden dringlich, die über den gesamten Unternehmenskontext einen Schirm aufspannen. In der Praxis hat sich das Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022 bewährt. Ab 31. Oktober 2025 müssen alle bestehenden Zertifikate auf die aktuelle Version der Norm umgestellt sein.

Betriebsunterbrechungen, Spionage und der Verlust sensibler Daten durch Cyber-Attacken waren auf dem Davoser Weltwirtschaftsforum 2025 viel diskutierte Risiken. Gerade die Informationssysteme in Lieferketten seien durch die neuen geopolitischen Konflikte, durch Handelskriege und hybride Bedrohungen noch angreifbarer. Der in Davos vorgestellte Global Cybersecurity Report 2025 macht außerdem auf die steigenden Qualifikationslücken in den Betrieben aufmerksam. Organisationen fehlten immer häufiger Know-how und Personal, um mit geeigneten Sicherheitsmaßnahmen der digitalen Komplexität und den steigenden Anforderungen in der Wertschöpfungskette begegnen zu können.

Methoden von Cyber-Kriminellen

Die Kritikalität der Fähigkeitslücken in Organisationen steigt, je weiter sich auch die mit künstlicher Intelligenz integrierten Standardanwendungen für Text-, Bild- oder Datenanalysen verbreiten. Cyber-Kriminelle sind in der Lage, mit KI-Modellen noch zielgerichteter und automatisiert Schwachstellen aufzuspüren. So können sich auch Manipulationen schneller verbreiten.
Beispielsweise greifen Supply Chain Attacken Schnittstellen von IT-Dienstleistern an, um über deren Wartungs- oder Update-Services, die Kundenrechner in Lieferketten mit Schadprogrammen zu infizieren. Solche Attacken ereigneten sich auch im Sommer 2024. Sie nutzten die schwerwiegenden Folgen einer Softwarepanne aus. Zunächst hatte ein fehlerhaftes Update bei CrowdStrike, einem internationalen Dienstleister für Cyber-Sicherheit, den bisher größten weltweiten IT-Ausfall ausgelöst. Betroffen waren Fluggesellschaften, Flughäfen, Krankenhäuser, große Einzelhandelsketten und Medienhäuser.
Die mit der Softwarepanne verbundenen Sicherheitslücken und Ausfallzeiten hatten sofort neue Cyberbedrohungen nach sich gezogen. Als direkte Reaktion brachten Kriminelle angebliche Dienstprogramme zur automatisierten Wiederherstellung des fehlerhaften Updates in den Umlauf, um über eine Supply Chain Attacke schließlich Trojaner in die Systeme einzuschleusen. Nach Angaben des Versicherers Parametrix hätten sich die finanziellen Verluste der allein in den USA betroffenen Unternehmen auf 5,4 Milliarden Dollar addiert.

Cyber-Schwachstellen weiten sich aus

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden 2023 täglich etwa 80 neue Schwachstellen bekannt, die weltweit in IT-Systemen oder Softwareanwendungen zirkulieren – Tendenz steigend. Angriffsflächen böten insbesondere Perimeter-Systeme wie Firewalls, VPNs sowie öffentliche Cloud-Infrastrukturen, heißt es im Lagebericht 2024 des BSI zur IT-Sicherheit in Deutschland. Mittlerweile richteten sich massenhaft Erpressungsversuche gegen kleine und mittlere Unternehmen, nachdem über Sicherheitslücken in der Technik oder Organisation erfolgreich Ransomware in die IT-Systeme gelangen konnte.
Quelle: BSI (Auszug), Die Lage der IT-Sicherheit in Deutschland 2024

Das ISMS als ganzheitliches Schutzkonzept

Nicht nur sensible Produktionsdaten oder personenbezogene Daten von Dritten gilt es zu schützen. Das Ausmaß potenzieller Datenmissbräuche, wie z.B. Phishing-Attacken über gefälschte Kommunikationsdaten, ist derart vielfältig, dass einzelne Maßnahmen kein dauerhaftes Schutzniveau mehr bieten können.
Vielmehr muss die gesamte Organisationsstruktur einbezogen werden, mit allen für das Geschäftsmodell kritischen Abläufen und Verantwortlichkeiten. Ein solches ganzheitliches Schutzkonzept bietet das Informationssicherheits-Managementsystem (ISMS) auf Basis der praxiserprobten internationalen Norm ISO/IEC 27001:2022. Mit dem Prinzip der fortlaufenden Verbesserung können Unternehmen dauerhaft eine verbesserte Widerstandskraft gegenüber Cyberbedrohungen aufbauen.

Die Anwendbarkeitserklärung

Unternehmen, die sich auf den Weg zur Zertifizierung ihres ISMS machen, erhalten mit der Anwendbarkeitserklärung (Statement of Applicability, SoA) eine zentrales Steuerungsinstrument. Darin werden die auf Grundlage der Risikoanalyse ergriffenen Maßnahmen (Controls) aufgeführt und als Best Practice-Ansatz mit den Maßnahmen aus dem Anhang A abgeglichen. So zählt die SoA zu den Dokumenten, die eine externe Auditorin oder ein externer Auditor sehen möchte, um sich einen ersten Eindruck zu verschaffen.
Ein weiterer Kernbestandteil der Zertifizierung ist die Inventarisierung sämtlicher kritischer Assets. Diese Bestandsaufnahme greift über den gesamten Unternehmenskontext – über die Produktionssysteme, Betriebsstätten, Geschäftsabläufe und Lieferbeziehungen. Der Begriff Asset ist gegenüber der steuerrechtlichen Bedeutung sehr viel weitreichender. Beim ISMS sind sämtliche Bestandteile und Einrichtungen gemeint, die für das Geschäftsmodell des Unternehmens von Wert sind.
Es wird deutlich, dass weder die SoA noch die Inventarisierung in der Hand nur weniger Personen im Unternehmen liegen kann. Ebenso würde ein zu enger Fokus, nur auf die Hard- und Software, der Sicherungssysteme zu kurz greifen. Vielmehr sind alle primären und sekundären Assets zu berücksichtigen, die je nach potenziellem Schaden und Eintrittswahrscheinlichkeit in Schutzklassen eingeteilt werden (Risikomatrix). Zu dem primären Assets zählen die wichtigsten Informationswerte, wie das spezifische Know-how zur Erstellung der Services oder Produkte, Geschäftsbeziehungen sowie Kundendaten. Die sekundären Assets leiten sich aus der technischen Infrastruktur ab.

Interne Audits sind das Maß aller Dinge

Die betrieblichen Datenrisiken zu erkennen, regelmäßig zu überprüfen und die Angemessenheit und Wirksamkeit der ergriffenen Maßnahmen zu bewerten, ist eine Führungsaufgabe, die sich über die gesamte Organisation erstrecken muss.
Gerade die versteckten Sicherheitsrisiken (Silent Cyber) einer Organisation in der Lieferkette fortlaufend zu bewerten und anzupassen, ist eine Gemeinschaftsaufgabe über alle Unternehmensfunktionen hinweg. Deshalb startet die eigentliche Arbeit in den internen Audits. Ob die erarbeiteten Maßnahmen und Prozesse tatsächlich den Anforderungen eines ganzheitlichen Informationssicherheits-Managementsystems standhalten, bewerten die externen Auditoren in der Erst-Zertifizierung.
Bei späteren Überwachungsaudits, im Nachlauf der Erst-Zertifizierung, ist häufig zu sehen, dass das Managementsystem zwar weiterentwickelt wurde. Doch nach drei Jahren stellt sich bei der Re-Zertifizierung oft heraus, dass die Schutzziele und Maßnahmen nicht mehr in angemessener Weise weiter bewertet sowie an aktuelle Markt- und Kundenanforderungen angepasst wurden. Re-Zertifizierungsaudits können daher aufwändig werden, vor allem wenn die bislang mit der Zertifizierung befassten Schlüsselpersonen nicht mehr im Unternehmen sind.
Entscheidend ist, dass Unternehmen ihr ISMS über das gesamte Jahr auf Stand halten. Letztlich gelingt dies nur über regelmäßige interne Audits – und nicht nur durch ein Zertifizierungsaudit. Bei Veränderungen der Prozesslandschaft oder neuen Cyber-Bedrohungen müssen eine Neubewertung der Risikolage erfolgen und die Regeln gegebenenfalls angepasst und in der Organisation kommuniziert werden. Die Wirksamkeit wird dann wieder in den internen Audits geprüft. Diese vorausschauende Sicherheitskultur ist das Fundament eines ISMS.

Maßnahmen für eine robuste Cyber-Sicherheit

Welche Sicherheitsanforderungen stehen mit der revidierten ISO 27001:2022 zusätzlich im Fokus? Sie richten sich in erster Linie auf das Risikobewusstsein und die organisatorischen Abläufe. Annex A der Norm enthält 93 Referenzmaßnahmen (zuvor 114 Maßnahmen) zu organisatorischen, personenbezogenen, physischen und technischen Kategorien. Im Kern geht es um die Vertraulichkeit, Integrität und Verfügbarkeit sämtlicher Informationswerte. Dazu zählen die Prozesse der Datenverarbeitung, Geschäftsabläufe, das Wissensmanagement und Know-how der Mitarbeitenden bis hin zur Absicherung der physischen und virtuellen Standorte und Arbeitsplätze.
Um auch auf neue digitale Entwicklungen wie die Nutzung von Cloud-Diensten zu reagieren, wurden in der Normenrevision noch folgende Maßnahmen aufgenommen:
  • Informationen über die Bedrohungslage
  • Informationssicherheit für die Nutzung von Cloud-Diensten
  • IKT-Bereitschaft für Business Continuity, Wiederherstellungsmaßnahmen
  • Physische Sicherheitsüberwachung, Einbruchalarmierung
  • Anonymisierung, Pseudonymisierung von Daten
  • Verhinderung von Datenlecks
  • Proaktives Monitoring von abweichenden Aktivitäten
  • Webfilterung, Entfernen gefährlicher Internetseiten, die Malware verbreiten
  • Sicheres Coding, Beseitigung von Schwachstellen für Angriffe
  • Konfigurationsmanagement mit korrekten Einstellungen der Sicherheitsmaßnahmen
  • Löschung von Informationen in Übereinstimmung mit DSGVO und GDPR

Fazit

Mit fortschreitender digitaler Vernetzung und Automatisierung nehmen die Gefahren durch manipulierte oder abfließende Daten rasant zu. Das integrierte Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022 ist in disruptiven Zeiten vor allem deshalb ein robustes Konzept, weil technische und organisatorische Maßnahmen ineinandergreifen. Unternehmen, die mit einem ISMS ihre Prozesse systematisch auf die Cyber-Risiken im gesamten Unternehmens- und Lieferkontext ausrichten und fortlaufend überprüfen, bauen dauerhaft ihre Widerstandsfähigkeit aus. Der Zertifizierungsprozess macht dann die internen Anstrengungen hinsichtlich interner Prozesse zum Umgang mit Cyber-Gefahren nach außen hin sichtbar.
Alle Artikel anzeigen