Unternehmenssicherheit wird gern mit dem Bild einer Burg beschrieben: Die Festung sei nur so fest wie der wackligste Stein – etwa ein Wachmann, der einnickt. Aber wie lässt sich verhindern, dass Fehler gravierende Folgen haben? Wie garantieren, dass die schützende Hecke undurchdringlich bleibt wie bei Dornröschen?
An der Spitze braucht es einen strategisch denkenden Leibgardisten. Doch er muss sich verlassen können auf das Material, die Mannschaften, die Abläufe, und er muss den Ernstfall zum Alltag machen.
SICHERHEIT MUSS EINE STRATEGIE SEIN
Die moderne Welt mit Cyberattacken gegen alles, was Unternehmen ausmacht, ist nicht weniger martialisch, die Bedrohungslage dafür dynamischer, komplexer und teurer. Daher müssen Firmen Sicherheit zur grundlegenden Strategie machen – wie ein klarsichtiger Burgherr. Der Ritter ganz oben heißt heute CISO, Chief Information Security Officer. Er muss technische, organisatorische und regulatorische Anforderungen zusammenführen und dabei das Management ebenso einbinden wie die Fachabteilungen. Grundlage dafür ist oft ein ISO-normiertes Informationssicherheits-Managementsystem, das Prozesse, Verantwortlichkeiten und Standards festlegt. Ein weiterer zentraler Baustein ist die Business Impact Analyse. Sie bewertet, welche Prozesse für die Firma kritisch sind, wie lange Ausfälle toleriert werden können und welche Wiederanlaufzeiten realistisch sind.
Parallel dazu gewinnt das Zero-Trust-Modell an Bedeutung. Es verzichtet auf die Vorstellung eines geschützten Umkreises, stattdessen arbeitet es mit der durchgängigen Verifizierung jedes Zugriffs, ob von innen oder von außen. Identitäten, Geräte und Datenflüsse werden kontinuierlich überprüft und nur bei klarer Authentifizierung freigegeben.
Zusätzliche Maßnahmen sind besonders im Bereich der Operational Technology notwendig. Es geht um die Härtung von Anlagen, die oft seit Jahrzehnten laufen und nie für vernetzte Umgebungen gedacht waren. Abhilfe schaffen Mechanismen wie Segmentierung, Patching-Strategien und die Überwachung von Anomalien.
SICHERHEIT TESTEN, ÜBEN, SIMULIEREN
Doch selbst die härtesten Systeme bieten keine Garantie, daher sind Backups nötig – die allerdings nur etwas taugen, wenn sie verschlüsselt, regelmäßig getestet und vor Manipulationen bewahrt werden.
Ebenso sensibel für Angriffe ist die Lieferkette, Unternehmen müssen daher Partner und Dienstleister auditieren, Risiken entlang der gesamten Wertschöpfungskette bewerten und Mindeststandards festlegen.
Und schließlich beruht Sicherheit auch auf Übung: Incident-Response-Pläne sollten nicht nur auf dem Papier existieren, sondern regelmäßig durchgespielt werden, von der IT bis zur Geschäftsführung. Tabletop-Übungen, Red-Team-Tests und simulationsbasierte Szenarien helfen, Schwachstellen in Abläufen und Kommunikation aufzudecken.
Die Vielzahl der Elemente zeigt: Sicherheit ist ein kontinuierlicher Prozess. Sie erfordert technische Schutzmaßnahmen, klare Verantwortlichkeiten, funktionierende Abläufe und regelmäßige Prüfung – egal, ob auf einer Burg oder in einem Unternehmen.
