Auf die Notwendigkeit von sicheren Informationen und Daten möchten wir hier nicht eingehen. Dafür aber auf die Bedrohung von Informationen. Die Bedrohung kommt aus zwei Richtungen:
- Die Bedrohung durch irrtümlichen Verlust, Veränderung, Blockade oder Verwechslung oder Verstoß gegen Gesetze und Verordnungen (z.B. Datenschutz). Dieses ist der einfachere, harmlosere Fall der Bedrohung, aber kann auch schwere Konsequenzen haben, resultierend aus unzureichender Organisation, Gleichgültigkeit oder Unkenntnis.
- Die Bedrohung durch beabsichtigte Veränderung, Blockade oder Diebstahl, resultierend aus dem Ziel an Ihr Wissen oder Ihr Geld zu gelangen, Ihnen Schaden zuzufügen und Ihre Wettbewerbsfähigkeit zu reduzieren. Hierzu gehören Industriespionage, Sabotage und das weite Feld der Cyberkriminalität mit Stichwörtern wie Phishing, Man in the Middle, Ransomware, DDoS-Angriffe, Hacker-Infiltration, Trojaner Malware, etc.
Das Informationssicherheitsrisiko reicht von etwas Mehraufwand bis zu hohen wirtschaftlichen Schäden, Vertragsstrafen und Gesetzesverstößen und Existenzbedrohung.
Gegen dieses Risiko gibt es – wie bei allen Risiken - zwei Handlungsmöglichkeiten: Prävention und Versichern. Und wenn das Risiko doch eingetreten sein sollte, einen Plan B zu haben.
Grundlage für jede vernünftige Prävention ist ein gutes Informationssicherheitsmanagementsystem (ISMS), am besten gemäß eines anerkannten Regelwerkes wie ISO 27001, BSI, TISAX oder VdS 10000.Und wenn Sie sich versichern möchten (Cyberversicherung) werden Sie auch ein geeignetes solides ISMS benötigen. Sie werden ja auch kaum eine günstige Feuerversicherung finden, wenn Sie keine Brandprävention betreiben. Bestandteil oder Ergänzung eines guten ISMS ist ein Betriebliches Kontinuitätsmanagement (Business Contuinity Management), damit es im Risikofall möglichst schnell und gut weitergeht.
