„Darauf ist nicht jedes Unternehmen eingestellt“, sagt Jens Bothe, Director Global Consulting bei der OTRS AG, führender Anbieter von Lösungen zum Prozess- und Kommunikationsmanagement. „Aktuelle Vorfälle wie der Cyber-Angriff auf bundesdeutsche Regierungsnetze zu Beginn dieses Jahres haben bewiesen, wie verletzlich IT-Infrastrukturen sein können. Die EU-Datenschutz-Grundverordnung reagiert darauf und fordert eine zeitnahe Meldung von sicherheitsrelevanten Vorfällen. Deswegen wird es für Unternehmen unerlässlich, IT-Sicherheitsvorfälle zu erfassen und rechtssicher zu dokumentieren.“
Die OTRS AG gibt dafür als langjähriger Experte im Sicherheitsumfeld folgende Empfehlungen:
Pragmatisch einsteigen
Die meisten großen Unternehmen haben bereits definierte Prozesse und Cyber Defense- Teams im Einsatz. Viele kleine und mittlere Unternehmen müssen ihre Strategien hier aber noch ausarbeiten. Es empfiehlt sich, „klein“ anzufangen: Eine Meldestelle für sicherheitsrelevante Vorfälle ist ebenso sinnvoll wie ein dedizierter Ansprechpartner oder ein Team, das für sicherheitsrelevante Ereignisse zuständig ist. Durch die zentrale Dokumentation behalten alle einen klaren Blick.
Erfahrene Experten hinzuziehen
Neben der neuen EU-Datenschutz-Grundverordnung gelten für kritische Branchen, wie Finanzdienstleister, weitere rechtliche Regelungen für Datenschutz und IT-Sicherheitsprozesse. Nicht immer haben Unternehmen die Zeit, alle Regelungen auf die eigene Relevanz zu prüfen. Deswegen sollten sie nicht zögern, auch externe erfahrene Experten hinzuzuziehen sowie Leitfäden und anerkannte Standards wie ISA/IEC-Reihe 27000 zu nutzen.
Klare Definition von IT-Sicherheitsprozessen
Für alle Unternehmen gilt es, klare Prozesse und Verantwortlichkeiten für den Umgang mit sicherheitsrelevanten Ereignissen zu schaffen. Folgende Fragestellungen sollten dabei mitbedacht werden: Wann spricht man überhaupt von einem sicherheitsrelevanten Vorfall? Wann genau muss dieser gemeldet werden? Welche Daten oder Abläufe gilt es besonders zu schützen? Wie hoch kann der potentielle Schaden sein? Wer muss oder darf über einen Vorfall informiert werden? In welcher Reihenfolge und in welchem Zeitfenster muss die Kommunikation erfolgen?
Prozesse digital und zentral festhalten
Um die Sicherheitsereignisse sicher zu dokumentieren und die dazugehörige Information entsprechend zu unterstützen, bieten sich spezialisierte Systeme wie zum Beispiel STORM der OTRS AG an. Sie fungieren als technisches Rückgrat der IT-Sicherheitsprozesse, unterstützen die Kommunikation zu einem Vorfall und speichern diese revisionssicher. Sie machen es möglich, spezifische Prozesse für die Bedrohungsszenarien zu definieren, Anwendern rollenbasierte Freigaben zu erteilen und ermöglichen die verschlüsselte Kommunikation zwischen klar authentifizierten Nutzern.
IT-Sicherheit als kontinuierlicher Prozess
Einmal installiert, werden die IT-Sicherheitsprozesse zum alltäglichen Teil der Unternehmensabläufe. Trotzdem muss bedacht werden, dass sich die Vorschriften, Prozesse und Anforderungen immer wieder verändern können. Deshalb sollten Unternehmen hier immer wieder auf dem aktuellen Stand bleiben. Wenn sie ihr eigenes Know-how verbessern und IT-Sicherheitsteams aufbauen wollen, sollten sie sich mit anderen Sicherheitsverantwortlichen vernetzen und im kontinuierlichen Dialog bleiben.
Mehr Informationen dazu, wie OTRS Unternehmenssicherheit strukturieren kann, finden sich hier.
Die OTRS AG ist der weltweit größte Dienstleister für die Service Management Suite OTRS und bietet Unternehmen aller Größen flexible Lösungen zum Prozess- und Kommunikationsmanagement, um Zeit und Geld zu sparen. Zu ihren Kunden zählen unter anderem Lufthansa, Airbus, IBM, Porsche, Siemens, Bayer Pharma AG, BSI (Bundesamt für Sicherheit in der Informationstechnik), Max-Planck-Institut, Toyota, Huawei, Hapag Lloyd und Banco do Brazil (Bank of Brazil). Mehr als 170.000 Unternehmen weltweit nutzen OTRS, darunter über 40 Prozent der DAX 30-Unternehmen. OTRS ist in 38 Sprachen verfügbar. Das Unternehmen besteht aus der OTRS AG und ihren fünf Töchtern OTRS Inc. (USA), OTRS S.A. de C.V. (Mexiko), OTRS ASIA Pte. Ltd. (Singapur), OTRS Asia Ltd. (Hongkong) und OTRS Do Brasil Soluções Ltda. (Brasilien). Die OTRS AG ist im Basic Board der Frankfurter Wertpapierbörse gelistet. Weitere Informationen unter: www.otrs.com
OTRS AG
Zimmersmühlenweg 11
61440 Oberursel
Telefon: +49 (6172) 681988-0
Telefax: +49 (9421) 56818-18
http://www.otrs.com
Global PR Manager
Telefon: +49 (6172) 681988-43
Fax: +49 (9421) 56818-18
E-Mail: saskia.staehle-thamm@otrs.com