Um ein hohes Schutzniveau in der Informationssicherheit zu erreichen, setzen Unternehmen auf verschiedene technische und organisatorische Ma\u00dfnahmen. Diese sind zweifelsohne wichtig, jedoch allein genommen nicht richtig effektiv. Was fehlt, ist eine Strategie \u2013 ein Leitfaden, der vorgibt, wie getroffene Vorkehrungen gezielt betrieben und eingesetzt werden. Genau deshalb dreht sich unser heutiger Beitrag um die Cyber-Security-Strategie. Sie erfahren, was sich hinter einer solchen Strategie verbirgt, wozu sie dient und wie Sie vorgehen k\u00f6nnen, um Ihre individuelle Cyber-Security-Strategie zu entwerfen. Beispielhaft schauen wir uns zudem die Cybersicherheitsstrategie an, die die Bundesregierung beschlossen hat.<\/p>\n
Das Ma\u00df an Informationssicherheit in Organisationen h\u00e4ngt nicht nur von Vorkehrungen ab, die getroffen wurden, sondern auch von der Einsatz-Strategie. Um ein hohes Ma\u00df an Informationssicherheit nicht nur zu erreichen, sondern auch zu halten, bedarf es eines Plans, der detailliert beschreibt, wie IT-relevante Ressourcen (\u201eIT-Assets\u201c) in den kommenden drei bis f\u00fcnf Jahren gesch\u00fctzt werden. Diesen Plan bezeichnet man als Cyber-Security-Strategie.<\/p>\n
Die Cyber-Security-Strategie erlaubt also das Vorausplanen des Schutzes von IT-Assets. Nun ist jedoch kaum ein Bereich schnelllebiger als die IT \u2013 und deshalb ist es wichtig, die Cyber-Security-Strategie in regelm\u00e4\u00dfigen Intervallen auf Aktualit\u00e4t zu pr\u00fcfen. Je nach Branche, in der Ihre Organisation t\u00e4tig ist, sind die Intervalle mal k\u00fcrzer, mal l\u00e4nger; in der Praxis hat sich eine Pr\u00fcfung einmal j\u00e4hrlich oft als sinnvoll erwiesen. Achten Sie also darauf, einen Workflow zu etablieren, der regelm\u00e4\u00dfige Pr\u00fcfungen Ihrer Cyber-Security-Strategie integriert.<\/p>\n
Nun ist eine solche Strategie eine Art Grob-Fahrplan. Sie kennen Technologien oder Angriffsszenarien, die in f\u00fcnf Jahren entwickelt sein werden, heute nat\u00fcrlich noch nicht. Das hat zur Folge, dass Ihre Cyber-Security-Strategie nicht darauf ausgelegt ist, perfekt zu sein. Vielmehr erstellen Sie mit Ihrer Strategie fundierte Annahmen dar\u00fcber, was aus Ihrer heutigen Sicht m\u00f6glich und was zu tun ist. Um IT-Assets optimal zu sch\u00fctzen, kann es helfen, von einer reaktiven zu einer proaktiven Strategie zu wechseln: Fokussieren Sie sich idealerweise darauf, sicherheitsrelevante Vorf\u00e4lle zu verhindern, anstatt auf die Ma\u00dfnahmen, die nach Vorf\u00e4llen stattfinden sollten.<\/p>\n
Wie bereits herauszulesen war, geh\u00f6rt es zu den Zielen einer Cyber-Security-Strategie, IT-Assets proaktiv zu sch\u00fctzen. Insgesamt m\u00f6chten Organisationen, die eine Cyber-Security-Strategie implementieren, ihre Cyber-Resilienz erh\u00f6hen. Das bedeutet: Man m\u00f6chte sich auf schadhafte Cybervorf\u00e4lle einstellen k\u00f6nnen und ihnen entgegenwirken, unabh\u00e4ngig davon, aus welchem Angriffsvektor sie stammen.<\/p>\n
Im Bereich der Cyber-Resilienz werden vier Dimensionen unterschieden. Man k\u00f6nnte auch von vier Zielen sprechen, die verfolgt werden, wenn die Cyber-Resilienz erh\u00f6ht wird:<\/p>\n
Eine Cyber-Security-Strategie hilft dabei, rechtzeitig verhindern zu k\u00f6nnen, dass aus kleinen Vorkommnissen massive Vorf\u00e4lle entstehen. Sie unterst\u00fctzt au\u00dferdem dabei, Bedrohungen rechtzeitig zu erkennen. Sinnvoll kann es sein, sich durch die mediale Berichterstattung zu w\u00fchlen, um von Opfern von Attacken lernen zu k\u00f6nnen. Wie Heise beispielsweise \u00fcber den Emotet-Befall aufkl\u00e4rt<\/a>, so berichten diverse andere Opfer von weiteren Attacken.<\/p>\n Bevor wir auf die einzelnen Schritte zu sprechen kommen, die notwendig sind, um Ihre eigene Cyber-Security-Strategie zu erstellen, erhalten Sie noch einen Tipp: Schauen Sie sich bestehende Leitf\u00e4den zur Cybersicherheit an. Viele Unternehmen publizieren ihre Leitf\u00e4den aus Marketing-Gr\u00fcnden auf ihren Websites. Lassen Sie sich von diesen Leitf\u00e4den inspirieren \u2013 Sie m\u00fcssen das Rad nicht neu erfinden. Um nun Ihre eigene Cyber-Security-Strategie erstellen zu k\u00f6nnen, sind folgende Schritte notwendig:<\/p>\n Dass die strategische Ausrichtung der Cybersecurity nicht nur Sache in Unternehmen ist, zeigt die Bundesregierung, die am 08.09.2021 die \u201eCybersicherheitsstrategie f\u00fcr Deutschland 2021\u201c beschlossen hatte<\/a>. Damit hat die Bundesregierung den strategischen Rahmen f\u00fcr ihr Handeln in der Cybersicherheit f\u00fcr die kommenden f\u00fcnf Jahre festgelegt. In den Prozess der Evaluierung und Fortschreibung, der zwischen Juni 2020 und August 2021 stattfand, nahmen mehr als 70 Akteure aus Wissenschaft, Wirtschaft, Staat und Gesellschaft aktiv teil. Der aktiv gestaltete Charakter der Cyber-Security-Strategie des Bundes soll dazu dienen, ein zielgerichtetes und abgestimmtes Zusammenwirken s\u00e4mtlicher Akteure zu erreichen.<\/p>\n Die Bundesregierung und viele Unternehmen machen es vor: Es lohnt sich, eine Cyber-Security-Strategie zu entwickeln und diese umzusetzen. Wichtig ist dabei, zu begreifen, dass eine solche Strategie ein fortlaufender Prozess ist: In regelm\u00e4\u00dfigen Intervallen sind die festgelegten Ma\u00dfnahmen und Ziele auf Aktualit\u00e4t zu pr\u00fcfen. Auch der Reifegrad der umgesetzten Ma\u00dfnahmen muss kontinuierlich \u00fcberwacht und immer wieder neu auf den Pr\u00fcfstand gestellt werden. Neben Ihren technischen Ma\u00dfnahmen und trainierten \u201eHuman Firewalls\u201c<\/a> ist die Cyber-Security-Strategie unabdingbar f\u00fcr ein hohes Ma\u00df an Informationssicherheit.<\/p>\nSchritte zur eigenen Cyber-Security-Strategie<\/h3>\n
\n
Cyber-Security-Strategie der Bundesregierung<\/h3>\n
Cyber-Security-Strategie als Prozess begreifen<\/h2>\n