Ist ein Audit zur Informations-Sicherheit ein Stress – oder eine Chance, die aktuelle Gefährdungslage zu reflektieren und Sicherheits-Massnahmen proaktiv zu verbessern? Immerhin: Es geht nicht nur um das Bestehen einer Prüfung, sondern um eine solide Basis für künftigen Erfolg.
SSI Schäfer hat hier einschlägige Erfahrungen. Schliesslich arbeiten die Intralogistik-Experten mit wertvollen Vermögenswerten - sei es im Umgang mit physischem Inventar, der Verwaltung automatisierter Systeme oder der Überwachung von Daten im Zusammenhang mit Logistikprozessen. Um sicherzustellen, dass alles geschützt ist, würde man nicht nur die Eingangstür abschliessen, sondern auch Sicherheitskameras installieren, den Zugang zu sensiblen Bereichen einschränken und kontinuierlich nach potenziellen Bedrohungen Ausschau halten. Dieser mehrschichtige Ansatz zur physischen Sicherheit ist auch in der Informationssicherheit von zentraler Bedeutung. SSI Schäfer setzt auf präventive sowie detektive Kontrollen entlang seiner Prozesse, um Bedrohungen durch Hacker frühzeitig zu erkennen und abzuwehren.
K.Kysela
Eine wichtige Norm zur Strukturierung dieses Ansatzes, sagen Sari Leino, seit August 2022 als Information Security Manager im Group Information Security Team und Karola Kysela seit Oktober 2024 Information Security Manager bei SSI Schäfer, ist die ISO/IEC 27001, die einen klaren Rahmen für ein Informationssicherheitsmanagementsystem (ISMS) biete.
Zugriffskontrolle
Einer der ersten Bereiche, die von den Prüfern untersucht werden, ist die Zugriffskontrolle: Wer hat die Berechtigung, auf kritische Systeme zuzugreifen? Zwei grundlegende Prinzipien sind dabei besonders wichtig:
- - Mitarbeitende erhalten nur Zugriff auf Informationen, die sie zur Erfüllung ihrer Aufgaben benötigen.
- - «Segregation of Duties»-Prinzip: Kritische Funktionen werden getrennt – z. B. darf eine Person Lieferantendaten ändern, aber keine Zahlungen autorisieren.
Durch den zusätzlichen Einsatz von Multi-Faktor-Authentifizierung (MFA) verwendet der Nutzer nicht nur ein Passwort, sondern auch mindestens einen weiteren Faktor, wie beispielsweise einen Software-Token auf dem Smartphone. MFA ist mittlerweile auch im privaten Bereich unerlässlich. Der Einsatz zusätzlicher Apps oder SMS-Codes bei alltäglichen Anwendungen wie Online-Banking, Social-Media-Apps oder E-Mail-Programmen erschwert es unbefugten Dritten, auf Konten zuzugreifen.
S. Leino
Neben der «digitalen Zugriffskontrolle» gibt es auch die physische Zugangskontrolle, die allen aus dem beruflichen Alltag bekannt ist. Mit Hilfe von Zugangskarten und Schlüsseln wird der gesicherte Zutritt zu Räumen und Gebäuden ermöglicht. Besucher werden über Besucherprotokolle ein- und ausgecheckt, und Gäste dürfen sich nur in Begleitung in den Räumlichkeiten aufhalten. Die Kombination aller Massnahmen ergibt einen «mehrschichtigen» Sicherheitsansatz.
Einen Schritt voraus
Bei einer Prüfung der Informationssicherheit wird nicht nur beurteilt, wo man heute steht, sondern auch, wie gut man auf die Bedrohungen von morgen vorbereitet ist. Aus diesem Grund legen die Prüfer besonderen Wert auf Software-Updates und Patch-Management. Cyberkriminelle sind ständig auf der Suche nach Schwachstellen in veralteten Systemen, und eine ungepatchte Softwarelücke kann das schwächste Glied in einer ansonsten starken Verteidigung darstellen. Bei Eines der häufigsten «roten Fähnchen» bei Audits ist den Expertinnen zufolge nicht eine Systemschwachstelle, sondern das mangelnde Bewusstsein der Mitarbeitenden. Social-Engineering-Angriffe, Phishing-E-Mails und schwache Passwörter gehören nach wie vor zu den häufigsten Ursachen für Sicherheitsverletzungen.
Regelmässige Phishing-Simulationen und Schulungen zum Sicherheitsbewusstsein befähigen die Mitarbeitenden, Bedrohungen frühzeitig zu erkennen und gezielt darauf zu reagieren. Bei SSI Schäfer wurde ein umfassendes Online-Schulungsprogramm implementiert, um das Bewusstsein für Cybersicherheit bei den Mitarbeitern zu stärken.
Nicht nur «verschlüsseln»
Die Datensicherheit ist ein weiterer wichtiger Schwerpunkt bei Audits. Die Prüfer achten darauf, wie Daten klassifiziert, gespeichert und übertragen werden. Werden Backups sicher verwaltet? Sind sensible Kundendaten vor unberechtigtem Zugriff geschützt? Sind die Daten verschlüsselt? Die ISO/IEC 27001 lege den Schwerpunkt auf einen ganzheitlichen Ansatz für die Datensicherheit von Verschlüsselungsprotokollen bis hin zur sicheren Speicherung und Entsorgung sensibler Informationen. Eine umfassende Datenschutzstrategie muss sicherstellen, dass selbst im Falle einer Sicherheitsverletzung wichtige Informationen weiterhin geschützt bleiben.
