Informationssicherheit für den Bausektor
Wichtige Perspektiven unseres Experten
Mit der Verlagerung von Datenmanagement und Datensammlung ins Internet nimmt die Bedrohung durch Sicherheitsverletzungen zu, die Unternehmen nachhaltig beeinträchtigen können.
Der Bausektor verzeichnet einen Anstieg von 800% bei Datenverstößen. Die Einführung einer Digitalisierungsstrategie ist für Organisationen, die Erfolg in ihrem gesamten Baulebenszyklus anstreben, nicht mehr nur „nice to have.“
Wir haben Dr. Ralf Hundhammer darum gebeten, seine Überlegungen zu einer Reihe von Fragen zum Thema Informationssicherheit darzulegen. Ralf blickt auf mehr als 20 Jahre Erfahrung in diesem Bereich zurück und hat wertvolle Erkenntnisse gesammelt.
F: Wenn Ihr Unternehmen mit dem Thema Informationssicherheit noch nicht vertraut wäre, wie würden Sie anfangen, Ihre Daten zu schützen und eine Informationssicherheitsstrategie einzurichten?
A: Eine Sicherheitsstrategie einzuführen ist keine leichte Aufgabe. Aber wie jeder Prozess kann auch dieser in kleine Schritte unterteilt werden, die sich zu einem großen Ganzen zusammensetzen. Zuerst ist es wichtig, einen Schritt zurückzugehen und die Daten kennenzulernen. Man muss verstehen, warum sie da sind und warum sie benötigt werden. Ist es wirklich nötig, diese Daten zu verarbeiten? Können sie verschlüsselt werden? Dies sind nur einige Fragen, über die man nachdenken muss. Wenn Sie verstehen, welche Daten in Ihrem Unternehmen verarbeitet werden, können Sie und Ihr Sicherheitsteam die entsprechenden Risiken bewerten und die Daten angemessen schützen.
Für das Sicherheitsteam ist eine kontinuierliche Weiterbildung extrem wichtig, damit es immer auf dem neuesten Stand ist. Regelmäßig kommen neue Bedrohungen auf und das Team muss sich dessen bewusst sein. Sie sollten viel Energie in die Entwicklung Ihres Sicherheitsteams investieren, da eine Datenschutzverletzung deutlich teurer wird. Das Gleiche gilt für das gesamte Personal: Das gesamte Unternehmen muss potenzielle Bedrohungen bewerten können, egal ob durch die regelmäßige Simulation von Phishing-Angriffen oder durch die regelmäßige Änderung von Kennwörtern. Denken Sie dabei auch an den physischen Raum. Bei Thinkproject leben wir z. B. die Politik des aufgeräumten Schreibtischs (clear desk policy) und des papierlosen Büros. Damit sind weniger Informationen offen zugänglich.
Wenn Sie diese Aspekte berücksichtigt haben, kommt der Rest häufig ganz von allein. Erstellen Sie eindeutige Informationssicherheitsrichtlinien, arbeiten Sie mit strengen Authentifzierungsmethoden und stellen Sie sicher, dass alles jederzeit aktualisiert wird. Bereiten Sie einen Vorfallreaktionsplan vor, führen Sie Audits durch und bauen Sie eine fundierte Wissensbasis auf, um eine Akkreditierung zu erhalten, anhand derer Ihre Kunden erkennen, dass Sie ein sicherheitsbewusstes Unternehmen sind.
F: Cyberangriffe werden immer ausgereifter. Was ist Ihrer Meinung nach das größte Risiko und wie sollte die AECO-Branche damit umgehen?
A: Eine der größten Sorgen sind potenzielle Angriffe auf wichtige Infrastruktur und sensible Projektdaten. Mit der Verbreitung von integrierten Systemen, Cloud-Plattformen und Internet of Things (IoT)-Geräten hat sich die Reichweite von Angriffen massiv vergrößert. Wenn Organisationen eine starke technische Abwehr mit geschulten Mitarbeitern kombinieren, können sie Cyberrisiken wirksam mindern und ihre kritischen Assets schützen.
In dem Maße, wie sich die Technologie weiterentwickelt, werden auch die Angriffe immer ausgeklügelter. Ihr ISMS muss regelmäßig überprüft werden und ausreichend flexibel sein, um an immer fortgeschrittenere Attacken angepasst zu werden. Es ist ein ständiger Balanceakt: Das Unternehmen muss anpassungsfähig sein und gleichzeitig eine strenge Roadmap einhalten, die das gesamte Unternehmen kennt.
Organisationen müssen die Zusammenarbeit und die Freigabe von Informationen zwischen Unternehmen priorisieren und mit Experten für Cybersicherheit zusammenarbeiten, damit die Branche dauerhaft so gut informiert ist wie nur möglich. Wenn alle zusammenarbeiten, können die Risiken minimiert werden, vor allem vor dem Hintergrund der vielen wertvolle Erfahrungen, die Unternehmen gesammelt haben.
F: Welche bewährten Praktiken wendet Thinkproject an, um seine Kunden zu schützen?
A: Informationssicherheit nehmen wir schon seit der Gründung unseres Geschäft sehr ernst. Als deutsches Unternehmen mit Sitz in Europa sind wir in puncto Informationssicherheit besonders gut ausgewiesen! Unser Compliance-Team unternimmt alles, was möglich ist, um sicherzustellen, dass alle Mitarbeiter regelmäßige Schulungen zu DGVO, ISMS und unseren Notfallplänen erhalten.
Wir sind stolz, robuste Maßnahmen zu haben, mit denen wir die Sicherheit unserer Kunden-, Mitarbeiter- und Geschäftsdaten gewährleisten. In der praktischen Übersicht können Sie sehen, welche Maßnahmen wir ergriffen haben und wie diese regelmäßig bewertet und aktualisiert werden.