Schlagwortarchiv für: KMU

In diesem Beitrag soll es um die Bedeutung und Auswirkungen des Digital Services Act (DSA) und des Digital Markets Act (DMA) der Europäischen Union (EU) gehen. Die beiden Gesetze wurden eingeführt, um die Aktivitäten von Anbietern digitaler Dienste zu regulieren und den Verbraucherinnen und Verbrauchern Schutz und Rechtssicherheit zu bieten. Der Beitrag wird die Hauptziele und Bestimmungen dieser Gesetze erläutern und auf ihre Bedeutung für die digitale Wirtschaft in Europa eingehen.

Digital Services Act (DSA)

Der Digital Service Act (DSA) ist eines der bedeutendsten digitalpolitischen Regelwerke in Europa. Er hat das Ziel, grundlegende Regeln für das Marktverhalten von digitalen Dienstanbietern festzulegen und den Verbrauchern Rechtsschutzmöglichkeiten zu geben.
Als EU-Verordnung wird der DSA ab dem 17. Februar 2024 unmittelbar für alle Unternehmen gelten, die ihre Vermittlungsdienste innerhalb der EU anbieten.

Was regelt der DSA?

Regulierung der Aktivitäten von Anbietern digitaler Dienste: Der DSA soll grundlegende Regeln für das Marktverhalten von Anbietern digitaler Dienste innerhalb der EU festlegen.

Rechtsschutz für Verbraucher: Der DSA zielt darauf ab, Verbraucher Rechtsschutzmöglichkeiten zur Verfügung zu stellen, insbesondere in Bezug auf den Schutz vor illegalen Inhalten und die Förderung von Transparenz.

Verantwortung der Unternehmen: Unternehmen werden stärker in die Verantwortung genommen, um gegen illegale Inhalte vorzugehen und für mehr Transparenz zu sorgen, um die Sicherheit der Verbraucher zu gewährleisten.

Schaffung eines sicheren Online-Umfelds: Digitale Dienstanbieter sollen für ein Online-Umfeld sorgen, in dem Verbraucher sicher online einkaufen können und ihre Meinungen, im Rahmen der Meinungsfreiheit, frei äußern zu können.

Evaluierung und nationale Umsetzung: Der Erfolg des DSA wird bis Anfang 2027 evaluiert. Nationale Umsetzungen, wie das Digitale-Dienste-Gesetz (DDG) in Deutschland, haben die EU-Verordnung (DSA) in nationales Recht überführt und spezifische Durchführungsmechanismen festgelegt.

Für wen ist der DSA relevant?

  • Online-Diensteanbieter: Der DSA betrifft direkt Online-Diensteanbieter, einschließlich sozialer Medien, Online-Marktplätze, Suchmaschinen und anderer Plattformen, die Dienste in der EU anbieten.
  • Verbraucher: Verbraucher profitieren von den Bestimmungen des DSA, die darauf abzielen, die Transparenz, Sicherheit und Verantwortlichkeit digitaler Dienstleistungen zu erhöhen und den Schutz vor schädlichen Inhalten zu verbessern.
  • Kleine und mittlere Unternehmen (KMU): KMU, die Online-Dienste anbieten oder von diesen abhängig sind, sind ebenfalls betroffen, da der DSA auch Regeln für die Interaktion zwischen Plattformen und Unternehmen einführt und fairere Bedingungen für KMU sicherstellen soll.
  • Regulierungsbehörden: Regulierungsbehörden in der EU, einschließlich nationaler Aufsichtsbehörden, spielen eine wichtige Rolle bei der Umsetzung und Durchsetzung des DSA.
  • Datenschutz- und Verbraucherschutzorganisationen: Organisationen, die sich für Datenschutz und Verbraucherrechte einsetzen, verfolgen den DSA aufmerksam und können sich aktiv an der Gestaltung und Überwachung seiner Umsetzung beteiligen.

Digitale-Dienste-Gesetz (DDG)

Der Digital Service Act ist am 16. November 2022 in Kraft getreten und ist seit dem 17. Februar 2024 vollumfassend anwendbar. Die Bundesregierung hat das Digitale-Dienste-Gesetz (DDG) auf den Weg gebracht, um die nationalen Vorschriften auf Bundes- und Länderebene an die neuen europarechtlichen Vorgaben anzupassen. Der Gesetzgebungsprozess zum DDG dauert noch an. Mit dem neuen Gesetz kann aber im Verlauf des Frühjahrs gerechnet werden.

Es konkretisiert die Zuständigkeiten der Behörden in Deutschland zur Durchsetzung des DSA. Gemäß dem Gesetzentwurf soll die Bundesnetzagentur die Aufsicht über die Anbieter übernehmen und eng mit Aufsichtsbehörden in Brüssel und anderen EU-Mitgliedsstaaten zusammenarbeiten. Das Gesetz sieht Buß- und Zwangsgelder vor, die bis zu sechs Prozent des Jahresumsatzes der Plattformbetreiber betragen können.

Mit Inkrafttreten des DDG wird das Telemediengesetz (TMG) aufgehoben. Soweit die Bestimmungen des TMG nunmehr nicht bereits vom DSA umfasst sind, werden sie in das DDG überführt. Ein Bespiel: Die Impressumspflicht wird sich zukünftig aus § 5 DDG ergeben.

Digital Markets Act (DMA)

Parallel dazu konzentriert sich der Digital Markets Act (DMA) auf das Verhalten großer zentraler Plattformdienste, die als “Gatekeeper” agieren. Diese von der EU-Kommission benannten Plattformdienste (bisher u. a. Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Samsung) gelten für gewerbliche Nutzer als wichtiges Zugangstor zu Endnutzern.

Der Digital Markets Act (DMA) legt eine Reihe von Verhaltenspflichten fest, die von den als Gatekeeper identifizierten großen Digitalkonzernen befolgt werden müssen. Diese Pflichten beziehen sich insbesondere auf den Zugang und die Verwendung von Daten, die Interoperabilität und die Vermeidung von Bevorzugung eigener Dienste.

Einige der festgelegten Verpflichtungen umfassen:

  • Einschränkungen bei der Verwendung von personenbezogenen Daten ohne Einwilligung des Endnutzers.
  • Die Gewährleistung, dass Geschäftskunden ihre Produkte oder Dienstleistungen zu anderen Konditionen und Preisen auf Drittplattformen oder eigenen Online-Vertriebskanälen anbieten können.
  • Das Verbot, bestimmte eigene Dienstleistungen zu bündeln.
  • Die Förderung der Interoperabilität mit Drittanwendungen und die Bereitstellung einfacher Deinstallationsmöglichkeiten von Software-Anwendungen auf ihrem Betriebssystem.
  • Die Vermeidung der Bevorzugung eigener Dienstleistungen und Produkte gegenüber ähnlichen Dienstleistungen oder Produkten Dritter.

Diese Verhaltenspflichten werden durch erweiterte Ermittlungs- und Entscheidungsbefugnisse der EU-Kommission, sowie erweiterte Anzeigepflichten bei bestimmten Zusammenschlüssen unterstützt, die über das bisherige Fusionskontrollregime hinausgehen. Bei Verstößen gegen diese Pflichten können den Gatekeepern Bußgelder von bis zu 10 Prozent ihres weltweiten Jahresumsatzes drohen, im Wiederholungsfall sogar bis zu 20 Prozent.

Für wen ist der DMA relevant?

  • Große Digitalkonzerne (Gatekeeper): Der DMA betrifft insbesondere große Digitalkonzerne wie Google, Facebook, Amazon und andere, die als Gatekeeper fungieren und eine beträchtliche Marktmacht haben.
  • Kleine und mittlere Unternehmen (KMU): KMU, die von den Plattformen der Gatekeeper abhängig sind, profitieren von den Regelungen des DMA, da diese sicherstellen sollen, dass sie faireren Zugang zu den Plattformen erhalten und sich besser entwickeln können.
  • Verbraucher: Verbraucher können ebenfalls von den Bestimmungen des DMA profitieren, da diese darauf abzielen, faire Wettbewerbsbedingungen und einen besseren Schutz für Verbraucher auf digitalen Märkten zu gewährleisten.
  • Verbände und Organisationen: Der DMA erleichtert Verbänden und Organisationen Klagen gegen Gatekeeper, um deren Verhalten zu überprüfen und faire Bedingungen sicherzustellen.
  • EU-Kommission und nationale Kartellbehörden: Die EU-Kommission und nationale Kartellbehörden spielen eine wichtige Rolle bei der Durchsetzung und Überwachung der Bestimmungen des DMA.

Fazit

Die Digitalisierung prägt unsere Arbeitsweise, Kommunikation und Konsumgewohnheiten grundlegend. Die EU-Gesetze Digital Markets Act (DMA), Digital Services Act (DSA) und das deutsche Digitale Dienste Gesetz (DDG) sind essenzielle Instrumente, um einen fairen, transparenten und sicheren digitalen Raum zu schaffen. Sie setzen klare Regeln für digitale Dienstanbieter und bieten Verbrauchern Schutz und Rechtssicherheit. Die effektive Umsetzung und Durchsetzung dieser Gesetze ist entscheidend, um das Vertrauen der Verbraucher in die digitale Wirtschaft zu stärken und eine nachhaltige digitale Zukunft zu gewährleisten.

Die Evaluierung des DSA bis Anfang 2027 wird sicherstellen, dass die Verordnung ihre Ziele erfüllt und bei Bedarf Anpassungen vorgenommen werden können. Insgesamt markieren der DSA und der DMA wichtige Schritte zur Regulierung digitaler Dienste, fördern ein ausgewogenes Verhältnis zwischen Innovation, Wettbewerb und Verbraucherschutz und legen die Grundlagen für eine florierende digitale Wirtschaft in Europa.

Die EU reagiert mit diesen Maßnahmen auf die Herausforderungen der Digitalisierung und etabliert klare Regeln für die digitale Wirtschaft. Kontinuierliche Evaluation und Anpassungen sind erforderlich, um mit den sich ständig wandelnden Technologien und Bedürfnissen Schritt zu halten.

 

Foto: istockphoto.com/the-lightwriter

In der heutigen Wirtschaft ist Nachhaltigkeit mehr als nur ein vorübergehender Trend – sie ist ein zentraler Aspekt, der die Dynamik der Geschäftswelt nachhaltig verändert. Immer mehr Unternehmen erkennen die Bedeutung von ökologischer, sozialer und wirtschaftlicher Verantwortung. Sie suchen aktiv nach Wegen, um nachhaltiger zu agieren und ihre Geschäftspraktiken im Einklang mit den Prinzipien der Nachhaltigkeit zu gestalten. In diesem Transformationsprozess spielt iAP eine entscheidende Rolle als verlässlicher Partner für Unternehmen, die ihre Nachhaltigkeitsziele erfolgreich umsetzen möchten.

Die Transformation zu nachhaltigen Geschäftsmodellen

Die Umstellung auf nachhaltige Geschäftsmodelle ist ein entscheidender und oft komplexer Schritt. iAP unterstützt Unternehmen dabei, gezielte Maßnahmen zu identifizieren und zu priorisieren. Ziel ist es, nachhaltige Geschäftsprozesse zu entwickeln und erfolgreich umzusetzen. Dabei berücksichtigt iAP die individuellen Anforderungen jedes Unternehmens sorgfältig, um maßgeschneiderte Lösungen anzubieten.

Nachhaltigkeitsberatung und Begleitung von Zertifizierungsprozessen

Eine professionelle Nachhaltigkeitsberatung ist ein weiterer Schlüsselaspekt auf dem Weg zu mehr Nachhaltigkeit in der Wirtschaft. Ein transparenter Nachhaltigkeitsbericht schafft Vertrauen und Glaubwürdigkeit bei Kunden, Geschäftspartnern und Investoren. iAP begleitet Unternehmen von der Konzeption bis zur Umsetzung von Nachhaltigkeitsberichten und unterstützt bei der Erfüllung von Zertifizierungsprozessen wie dem Deutschen Nachhaltigkeitskodex (DNK). Dadurch erhalten Unternehmen nicht nur eine Bestätigung ihrer Bemühungen, sondern können diese auch effektiv nach außen kommunizieren.

Nachhaltig investieren und nachhaltig finanzieren

Ein weiterer zentraler Schritt in Richtung Nachhaltigkeit ist die Umstellung auf nachhaltige Investitions- und Finanzierungsstrategien. iAP arbeitet eng mit seinem Partner ECOVIS Hanseatische Mittelstandsbetreuung zusammen, um Unternehmen bei der Auswahl von Anlageinstrumenten und Finanzprodukten zu beraten, die den höchsten ökologischen, sozialen und wirtschaftlichen Standards entsprechen.

Förderprogramme und Beantragung von Beratungskosten-Zuschüssen

Die Finanzierung nachhaltiger Projekte kann eine Herausforderung darstellen. In Zusammenarbeit mit unserem Partner ECOVIS Hanseatische Mittelstandsberatung unterstützen wir Unternehmen bei der Beantragung von Förderprogrammen und Beratungskosten-Zuschüssen im Bereich Nachhaltigkeit. Dazu gehören beispielsweise das INQA-Coaching, das Förderprogramm “go digital” des Bundesministeriums für Wirtschaft und Energie sowie das BAFA-Förderprogramm.

INQA-Coaching

Das INQA-Coaching ist eine Initiative des Bundesministeriums für Arbeit und Soziales, die darauf abzielt, die Arbeitsbedingungen und -organisation von kleinen und mittelständischen Unternehmen zu verbessern. Ziel ist es, die Wettbewerbsfähigkeit und Zukunftsfähigkeit dieser Unternehmen zu stärken und gleichzeitig die Arbeitsbedingungen der Mitarbeiter zu optimieren. Durch gezielte Beratung und Coaching-Maßnahmen sollen innovative Lösungen entwickelt werden, um die Arbeitsqualität zu steigern und nachhaltige Veränderungen in den Betrieben zu fördern. Das INQA-Coaching trägt dazu bei, dass Unternehmen flexibler und resistenter gegenüber Veränderungen werden und ihre Mitarbeiter langfristig motiviert und qualifiziert bleiben.

Go digital

Das Förderprogramm “go digital” des Bundesministeriums für Wirtschaft und Energie unterstütztkleine und mittelständische Unternehmen bei der Digitalisierung. Ziel ist es, Firmen fit für die digitale Zukunft zu machen und ihre Wettbewerbsfähigkeit zu stärken. Das Programm bietet finanzielle Zuschüsse für Beratungsleistungen, um beispielsweise die Digitalisierung von Geschäftsprozessen, die Einführung neuer Software oder die Optimierung von Online-Marketingstrategien voranzutreiben. Unternehmen können durch “Go Digital” externe Experten beauftragen, um ihre Digitalisierungsstrategie zu entwickeln und umzusetzen, wodurch sie innovative Technologien effektiver nutzen und ihre Geschäftsabläufe modernisieren können.

BAFA-Förderung

Die BAFA-Förderung (Bundesamt für Wirtschaft und Ausfuhrkontrolle) unterstützt kleine und mittelständische Unternehmen bei der Durchführung von Energieberatungen. Das Programm soll Unternehmen helfen, ihre Energieeffizienz zu erhöhen und den Energieverbrauch zu senken. Durch die Förderung von Beratungen können Unternehmen professionelle Unterstützung in Anspruch nehmen, um energieeffiziente Maßnahmen zu identifizieren und umzusetzen. Die BAFA-Förderung ermöglicht somit eine gezielte Beratung, um betriebliche Abläufe zu optimieren, Kosten zu reduzieren und einen Beitrag zum Umweltschutz zu leisten.

Umfassende Unterstützung bei der Umsetzung von Nachhaltigkeitsmaßnahmen

Zusammenfassend bietet Audit Professionals eine umfassende Unterstützung bei der Umsetzung von Nachhaltigkeit in der Wirtschaft. Von der Transformation zu nachhaltigen Geschäftsmodellen über die Begleitung von Zertifizierungsprozessen bis zur Auswahl von nachhaltigen Investitions- und Finanzierungsstrategien bietet das Unternehmen ein breites Spektrum an Beratungsleistungen. Dabei geht der Service über die rein beratende Funktion hinaus, indem er auch die Beantragung von Fördermitteln durch Programme wie das INQA-Coaching, “go digital” und die BAFA-Förderung abdeckt.

Die Erfahrung und Expertise von Audit Professionals gewährleisten, dass Unternehmen nicht nur auf dem Weg zu mehr Nachhaltigkeit begleitet, sondern auch effektiv unterstützt werden. Weitere Informationen zu den Leistungen finden Sie auf ihrer Website unter https://audit-professionals.de/nachhaltigkeit/. Investieren Sie in eine nachhaltige Zukunft – mit iAP an Ihrer Seite.

Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise,
  • physische Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

Die stetig wachsende Bedrohung durch Cyberangriffe erfordert eine gezielte und gut durchdachte Herangehensweise an die Informationssicherheit in Unternehmen. In diesem Kontext stehen Organisationen und Geschäftsführer vor folgenden wichtigen Fragen:

  1. Ist unsere Organisation hinreichend gegen die zunehmende Bedrohung von Cyberangriffen abgesichert?

    Angesichts der sich ständig weiterentwickelnden Angriffsmethoden müssen Unternehmen sicherstellen, dass sie über wirksame Abwehrmaßnahmen und Sicherheitsvorkehrungen verfügen, um sich vor Cyberangriffen zu schützen.

  2. Sind uns unbekannte Schwachstellen in unserer IT-Infrastruktur bewusst, die unsere Geschäftsprozesse gefährden könnten oder ein erhebliches Risiko für unser Unternehmen darstellen?

    Oftmals sind Unternehmen sich nicht bewusst, dass ihre IT-Systeme Schwachstellen aufweisen, die von Angreifern ausgenutzt werden könnten. Identifikation und Behebung dieser Schwachstellen sind entscheidend.

  3. Wie können wir die Informationssicherheit in unserer Organisation auf den aktuellen Stand der Technik bringen, ohne zusätzliche Kosten zu verursachen?

    Die Aktualisierung und Verbesserung der Informationssicherheit erfordert Ressourcen, aber Unternehmen sind bestrebt, dies kosteneffizient zu tun, um ihr Budget nicht zu überdehnen.

Herausforderungen für KMU und mittelständische Unternehmen (KMU)

Kleinere und mittelständische Unternehmen stehen bei der Informationssicherheit oft vor besonderen Herausforderungen. Diese Unternehmen haben in der Regel nicht die personellen Kapazitäten, um die erforderlichen Sicherheitsmaßnahmen intern durchzuführen, und verfügen möglicherweise nicht über die notwendige Expertise im Bereich IT-Sicherheit. Darüber hinaus sind ihre Budgets häufig begrenzt.

Die Lösung: Security Operation Center (SOC) und Cyber Defense Center (CDC)

Ein erfolgversprechender Lösungsansatz besteht in der Auslagerung von Aufgaben im Bereich Informationssicherheit an spezialisierte externe Dienstleister. Hier kommen Security Operation Center (SOC) und Cyber Defense Center (CDC) ins Spiel.

Ein SOC/CDC ist ein auf Informationssicherheit spezialisierter Dienstleister, der in die IT-Infrastruktur des Unternehmens integriert ist und eine Art Sicherheitsleitstelle darstellt. Es bietet eine breite Palette von Sicherheitsdiensten, die normalerweise von der internen IT-Abteilung wahrgenommen würden:

  • Überwachung der IT-Sicherheit: Ein SOC/CDC überwacht kontinuierlich die IT-Infrastruktur des Unternehmens auf Anzeichen von Bedrohungen.
  • Proaktive Bedrohungsbewertung durch Threat Intelligence: Mithilfe von Bedrohungsdaten und -analysen bewertet ein SOC/CDC proaktiv potenzielle Risiken.
  • Identifizierung und Beseitigung von Schwachstellen: Schwachstellen in IT-Systemen und -Prozessen werden identifiziert und behoben.
  • Erkennung und Meldung von Cyberangriffen: Ein SOC/CDC erkennt und meldet Cyberangriffe und unterstützt bei der Einleitung von Gegenmaßnahmen.
  • Abwehrmaßnahmen und Schadensbegrenzung: Im Falle eines Angriffs werden sofortige Abwehrmaßnahmen ergriffen, um den Schaden zu minimieren.
  • Kundenspezifische Unterstützung und Sicherheitsberichterstattung: Der Dienstleister bietet maßgeschneiderte Unterstützung und erstellt Sicherheitsberichte für das Unternehmen.

In einem SOC/CDC arbeiten rund um die Uhr hochspezialisierte Cybersecurity-Experten, darunter Security-Architekten, Analysten und Forensiker. Diese Experten überwachen in Echtzeit sicherheitsrelevante Informationen und reagieren unverzüglich auf Anomalien. Die Arbeitsweise zeichnet sich durch den Einsatz von optimierten Tools, eine hohe Automatisierung der Analysen und eine effiziente Teamstruktur aus.

Maßgeschneiderte Sicherheitslösungen

Je nach den spezifischen Anforderungen eines Unternehmens können verschiedene Service-Modelle für die Zusammenarbeit mit einem SOC/CDC definiert werden. Dies ermöglicht eine flexible Auslagerung von Sicherheitsaufgaben, die auf die individuellen Anforderungen des Unternehmens zugeschnitten sind. Die Vorteile der Nutzung eines SOC/CDC liegen auf der Hand:

  • Schnelle und effektive Reaktion: Automatisierung und Fachexperten ermöglichen eine schnelle Reaktion auf Bedrohungen.
  • Schutz vor aktuellen Bedrohungen: Durch den Zugang zu Threat Intelligence sind Unternehmen immer auf dem neuesten Stand.
  • Kontinuierliche Dokumentation und Nachverfolgbarkeit: Alle Sicherheitsmaßnahmen und Ereignisse werden dokumentiert und können nachverfolgt werden.
  • Kein Aufbau interner IT-Sicherheitskapazitäten erforderlich: Die Auslagerung an einen SOC/CDC eliminiert den Bedarf an zusätzlichen internen Ressourcen.
  • Ganzheitliche Sicherheitslösungen: Ein SOC/CDC kann maßgeschneiderte Sicherheitslösungen anbieten, die auf die spezifischen Anforderungen eines Unternehmens zugeschnitten sind.
  • Nachweis der Einhaltung gesetzlicher Vorgaben und Compliance: Die Zusammenarbeit mit einem SOC/CDC stellt sicher, dass alle gesetzlichen Anforderungen und Compliance-Vorschriften erfüllt sind.

Eine optimale Lösung für KMU und mittelständische Unternehmen (KMU)

Die Auslagerung von IT-Sicherheitsaufgaben an einen externen Dienstleister bietet kleinen Unternehmen und KMU die Möglichkeit, ein hohes Sicherheitsniveau auf dem aktuellen Stand der Technik zu erreichen, ohne zusätzliches Personal oder Expertise intern aufbauen zu müssen. Dies ermöglicht diesen Unternehmen, sich auf ihr Kerngeschäft zu konzentrieren, während ihre IT-Sicherheit in den kompetenten Händen eines SOC/CDC liegt.

Cyber-Risiken stellen KMU (Kleine Mittelständische Unternehmen) vor eine große Herausforderung. Die Auswirkungen nehmen zu. Für die Geschäftsführung muss diese Tatsache als ein Risiko mit höchster Priorität angesehen werden.

Ransomware-Angriffe, bei denen Unternehmen von ihren Computersystemen „lahmgelegt“ werden, haben dramatisch zugenommen und sich im ersten Halbjahr 2021 fast verdoppelt, während das durchschnittliche Lösegeld, um aus dem Dilemma zu entkommen, um 82 % gestiegen ist.  Weltweit werden Unternehmen jeder Größe und Art von kriminellen Ransomware angegriffen. Diese Angriffe führen oft zum Stillstand des Geschäftsbetriebs. Die Wiederherstellung braucht Zeit, wird teuer, führt zu Imageverlust und kann den Geschäftsbetrieb stören oder gar aufhalten.

Beispielsweise musste JBS, das weltweit größte Fleischverarbeitungsunternehmen, ein Lösegeld in Höhe von 11 Millionen US-Dollar zahlen, um wieder Zugriff auf seine Daten und Systeme zu erhalten. Ransomware führte beim norwegischen Energietechnologieunternehmen Volue zu Stilllegungen von Wasser- und Wasseraufbereitungsanlagen, von denen 85 % der norwegischen Bevölkerung betroffen waren. Transnet, ein südafrikanische Hafenbetreiber, war ebenfalls von Ransomware betroffen, was zu Störungen und Verzögerungen in einem der wichtigsten Häfen Südafrikas führte. In Deutschland führten Angriffe auf Krankenhäuser zu Netzwerkproblemen und tagelangen Ausfällen an der Uni-Klinik Düsseldorf oder im Klinikum Neuss. In Krankenhäuser der USA sollen in den ersten sechs Monaten 2021 Netzwerke aufgrund von Ransomware getrennt worden sein – entweder durch eigene Maßnahmen, um eine Sicherheitsverletzung zu vermeiden, oder weil sie durch eine schwere Malware-Infektion dazu gezwungen wurden.

Das Problem bei KMU ist, im Gegensatz zu großen Unternehmen, dass sie keine Abteilungen für Cybersicherheit verfügen. Demnach reagieren sie oftmals erst nach einem Angriff, was für viele mittelständische Unternehmen das Geschäft einfach lahmlegen kann.

Ein besonders besorgniserregender Trend ist, dass Kriminelle Cyberangriffe derart Gestalt annehmen, was früher staatlichen Akteuren vorbehalten war. Dies kommt vor allem bei sogenannten „Supply Chain Angriffen“ vor, welche die Lieferkette betreffen. Dabei werden unbekannten Fehler in der Technologie von Unternehmen ausgenutzt, die Kunden des Unternehmens infizieren und traditionelle Abwehrmaßnahmen wie Antivirensoftware dabei umgehen.

Cyber Technologien werden von Staaten ausgenutzt, um hauptsächlich Wirtschaftsspionage und Diebstahl von geistigem Eigentum zu betreiben. Die Cyberoperationen der Staaten hat sich seit 2017 verdoppelt, wobei ein Drittel dieser Angriffe offenbar auf Unternehmen abzielen. Eines der bekanntesten Beispiele aus jüngster Zeit war der russische Angriff auf das US-amerikanische Technologieunternehmen SolarWinds, das Sicherheitslücken in vertrauenswürdigen Technologieprodukten ausgenutzt hat.

Der Mittelstand ist der Motor unserer Gesellschaft und leider auch der wunde Punkt. Umso wichtiger ist, dass die Geschäftsführung das Risiko erkennt und ein gutes Verständnis dafür entwickelt, was er schützen muss und wie viel Risiko er eingehen möchte.

Wichtig für die Einschätzung ist eine unabhängige Bewertung des Cyber-Risikoprofils und der Wirksamkeit der aktuellen Cyber-Sicherheitsvorkehrungen im Unternehmen. Auf dieser Grundlage sollten KMU in ein Cyber-Verbesserungsprogramm investieren und sicherstellen, dass sie Zugang zu den benötigten Cyber-Kompetenzen haben, einschließlich unabhängiger Expertenberatung durch Dritte.

Wie sieht die Zukunft für Cyber-​​Sicherheit im Mittelstand aus? Der Mittelstand, insbesondere Wachstumsunternehmen, werden bei ihrer Expansion potenziell reale Angriffsziele. KMU müssen in Sachen Cyber-Sicherheit mehr Engagement zeigen, um die Herausforderungen effektiv und zeitnah zu bewältigen. Das Risiko Management System (RMS) mit all seinen Prozessen muss neu überdacht und implementiert werden. Die Verankerung einer Sicherheitskultur im Unternehmen ist der beste Schutz vor Cyberbedrohungen und diese muss von oben, Top-Down vorgelebt werden.

Der unbefugte Zugriff auf Ihre Daten kann verheerende Folgen haben. Neben einem Reputationsschaden gehen finanzielle und rechtliche Schäden einher. Datenverletzungen pro Angriff können schnell in die Millionen gehen. Wenn ein Incident vertrauliche Informationen enthält, kann dies Ihrem Unternehmen finanziellen Schaden zufügen. Independent Consulting + Audit Professionals GmbH hat sich mit Cybersicherheit intensiv beschäftigt und versteht die Herausforderung, vor der sich viele kleine und mittelständische Unternehmen sehen, um realistische und wirksame Schutzmaßnahmen zu etablieren.

Mit unseren Cybersicherheits-Dienstleistungen können Sie die Informationen und Informationssysteme Ihres Unternehmens vor unbefugtem Zugriff, Verwendung, Offenlegung, Unterbrechung, Änderung oder Zerstörung schützen und deren Verfügbarkeit, Vertraulichkeit und Integrität sicherstellen. Unser Beratungsansatz ermöglicht es, IT-Investitionen an Ihre Geschäftsanforderungen anzupassen. Nur durch ein ausgeglichenes Verhältnis zwischen adäquaten Investitionen zur Informationssicherheit und einem Verständnis für akzeptable Risiken ergibt sich der Mehrwert, den die Informationssicherheit bieten kann.

Wir arbeiten eng mit Ihnen zusammen, um das gesamte Ausmaß Ihres Cyber-Risikos zu verstehen, angefangen bei den spezifischen Risikofaktoren Ihrer Branche, bis hin zu den spezifischen Sicherheitsrichtlinien, die Sie eingeführt haben.

Independent Consulting +Audit Professionals bietet eine breite Palette von Funktionen für Cybersicherheitsrisiken und -bewertungen. Wir unterstützen Sie bei allen Governance und Compliance Anforderungen.

Darüber hinaus unterstützen wir Sie bei der Entwicklung oder Verbesserung vorhandener Richtlinien, Verfahren und Kontrollen. Wir überprüfen vorhandene Gerätekonfigurationen und ermitteln für Sie die wirtschaftlichen Auswirkungen Ihres aktuellen Cybersicherheitsrisikos.  Bei der Bewertungsmethodik bedienen wir uns Standardrahmen wie ISO, COBIT, NIST, ITIL und COSO oder wir verfolgen spezifischen Anforderungen ihres Unternehmens.

Folgende Dienstleistungen bieten wir diesbezüglich an:

  • Überprüfung des Sicherheitskonzepts
  • Sanierung der Infrastruktur
  • Bewertung der Cyber-Risiken
  • Penetrationstests, Schwachstellenbewertungen
  • Bewertung von Webanwendungen und Webdiensten
  • Bewertung von Mobilanwendungen
  • Social Engineering- und Facility-Breach-Übungen IT-Risikobewertungen
  • IT-Audit- und Compliance
  • Entwicklung von Cybersicherheitsstrategien und Architektur Cybersecurity Awareness und Education
  • Incident Response
  • Unterstützung für digitale Forensik

 

Durch unseren ganzheitlichen Ansatz im Rahmen der Cybersicherheit tragen wir dazu bei, dass sich Ihr Unternehmen gegenüber den Risiken des digitalen Zeitalters gewappnet ist.