Warum der Mittelstand jetzt über Cyber Security nachdenken sollte:

  • Cyber Security betrifft alle Unternehmensarten, aber besonders auch den Mittelstand. Datenschutz und der Schutz kritischer Infrastrukturen (KRITIS) sind zentrale Zukunftsthemen – auch für mittelständische Unternehmen.
  • IT und Digitalisierung durchdringen alle Bereiche mittelständischer Unternehmen. Das macht den Schutz von Daten und Systemen zu einer zentralen Aufgabe der Geschäftsführung – auch im Mittelstand.
  • Das BSI und die IT-Sicherheitsgesetze (Dachgesetz und Version 2.0) geben den Rahmen für gelungene und rechtssichere Cyber Security vor.


Grant Thornton ist autorisierter Partner (Advanced Persistent Threat, APT-Response-Dienstleister) des Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Cyber Angriffen.

„Wir helfen Ihnen, Ihr Unternehmen und Ihre Unternehmenswerte zu schützen. In Fragen Ihrer Cyber-Sicherheit können unsere erfahrenen Teams in jedem Fall helfen.“  

Dr. Florian Scheriau, Partner und Leiter des Bereichs Cyber Security bei Grant Thornton Deutschland 

Quick Check: Testen Sie Ihre Sicherheit!

Erfahren Sie mit unserem Quick Check, wo Sie stehen und wie Sie jetzt Ihre Cyber Security erhöhen sollten!

a

Cyber Security 2024 – Maßnahmen, die wirklich etwas bringen

Wir sind für Sie da, bei

  • der Umsetzung gesetzlicher Anforderungen
  • der Analyse Ihrer Bestands-IT-Infrastruktur
  • der Sicherung Ihrer Unternehmenswerte vor digitalen Angriffen
  • dem Eintreten eines Ernstfalls
  • der Reanimation und der ständigen Pflege Ihrer Lernkurve im Bereich Cyber-Sicherheit
Identifikation

Wir erstellen eine Ist-Analyse und liefern eine Risiko-Bewertung durch folgende Tools:

  • Cyber Security Health Check: Standardisierter Ansatz, um Sicherheitsmaßnahmen zu bewerten. Der Check beruht auf der ISO/IEC 27001 Norm.
  • IT-Risk Assessment: IT-Sicherheitsrisikobewertung bei denen wir Vermögenswerte, Daten und Informationssysteme Ihres Unternehmens unter die Lupe nehmen und analysieren, welche möglichen Folgen die Gefährdung Ihrer Systeme hätte.
  • Legal-Basic Assessment: Analyse potentieller rechtlicher Auswirkungen und Prozessrisiken für Ihr Unternehmen. 
Prävention

Wir bieten Ihnen die Implementation von konkreten Sicherheitsmaßnahmen als präventiven Schutz Ihres Unternehmens durch folgende Möglichkeiten:

  • Cyber Defence Center: Wir überwachen bei Bedarf 24/7 Ihre IT!
  • Penetration- und Vulnerability-Tests: Wir testen regelmäßig konkret Ihre Widerstandsfähigkeit im Bereich Ihrer Cyber Security.
  • Informationssicherheitsmanagementsysteme/ISMS: Wir definieren und überprüfen regelmäßig Ihre Richtlinien, Verfahren und Verantwortlichkeiten zur Sicherung Ihrer Informationssicherheit im Unternehmen.
  • NIST Cybersecurity Framework 2.0: Ganzheitlicher Ansatz, der zur Verbesserung des Risikomanagements und Erhöhung der Cybersicherheit führt.
  • Digital Operational Resilience Act/DORA: Umsetzung der daraus für Ihr Unternehmen resultierenden Verpflichtungen zur Harmonisierung der Cyber Security europaweit im Finanzsektor.
Reaktion

Wir helfen Ihnen im Fall eines Cyber-Angriffes, umgehend die richtigen und notwendigen Maßnahmen zu ergreifen. So schützen wir Ihre Unternehmenswerte, helfen Ihnen bei der Erfüllung Ihrer Meldepflichten und halten Sie durchgehend einsatzfähig durch folgende Maßnahmen:

  • Cyber Incident Response: Mit uns sofort alle richtigen Maßnahmen im Fall eines Cyber-Angriffs ergreifen!
  • digital-forensische Untersuchungen: Wir helfen Ihnen, Datendiebstahl beweissicher nachzuweisen.
  • eDiscovery & Managed Document Review: Wir nutzen für Sie elektronische Ermittlungsmethoden als rechtssicheres Beweisfundament
  • Datenschutzrechtliche Beratung
Wiederherstellung

Vermeiden Sie Unternehmensstillstand und Ausfälle nach einem Cyber-Angriff und evaluieren Sie! Wir helfen Ihnen, Ihre Systeme so schnell wie möglich wieder herzustellen und arbeiten mit Ihnen daran, Ihre Systeme ständig zu verbessern.

  • Disaster Recovery: Analyse des Cyber-Angriffs.
  • Krisenmanagement: Überprüfung bestehender Abläufe, ggf. Verbesserung.
  • IT-Gutachten: als Grundlage für potentielle Haftungsansprüche.
  • IT, IP und Datenschutzberatung.

Fast 80 Prozent aller Unternehmen haben in den letzten zwölf Monaten einen oder mehrere Cyberangriffe registriert

Nur 23 Prozent können belegen, dass es im vergangenen Jahr keinen registrierten Angriff auf ihre IT gab. Bei rund 18 Prozent gibt es praktisch jeden Monat mindestens eine IT-Attacke.

Rund jedes vierte Unternehmen misst keine Daten zu Cyberattacken – ein Indiz für Scheinsicherheit.
(Quelle: Studie Grant Thornton)

Was ist Cyber Security?

Cyber Security umfasst Technologien, Praktiken und Maßnahmen, die auf IT-Ebene das Unternehmen schützen. Informationen und Daten sind das wesentliche Kapital des Mittelstands. Durch Cyber-Security-Maßnahmen schützen mittelständische Unternehmen also ihre Unternehmenswerte. Dazu gehören Klassiker wie Firewalls und Antivirenprogramme, aber auch die regelmäßige Schulung von Mitarbeitenden dahingehend, wie IT und Daten zu nutzen sind. Für den Ernstfall braucht es außerdem einen klaren Notfallplan. Wer hat wann, was zu tun, wenn es zu einem Cyber-Angriff kommt? Wer ist wie zu informieren?

Das Dachgesetz und die Änderungen durch Version 2.0 des IT-Sicherheitsgesetzes vom BSI liefern die Richtlinien und gesetzliche Grundlagen zum Thema Cyber Security. Besonderes Augenmerk liegt auf den kritischen Infrastrukturen, für die die Abkürzung KRITIS steht. Als Definition der kritischen Infrastruktur gilt die wichtige Bedeutung für das staatliche Gemeinwesen. Fallen diese Unternehmen aus, hat das Auswirkungen auf die öffentliche Sicherheit. Welche Sektoren und Unternehmen auf der KRITIS-Liste stehen, hängt also davon ab, wie wichtig sie für das öffentliche Leben sind.

Sprechen Sie uns an!

Referenzen

Cyber Security für Krankenhäuser

Cyber Security für Krankenhäuser

Auftrag:
Auftraggeber war ein Kreisklinikum mit besonderen Anforderungen an den Datenschutz und Cyber Security.
Aufgabe:
Aufbau und Implementation eines Informationssicherheitsmanagementsystem (ISMS) gemäß dem branchenspezifischen Sicherheitsstandard (B3S) für Krankenhäuser.
Ansatz:
Schrittweises Projektmanagement bestehend aus: - Definition aller Aufgaben auf Grundlagen des Informationsverbunds für die kritischen Dienstleistungen, - Analyse der Anforderungen und Risiken, - Durchführung eines Cyber-Health-Checks. - detaillierte Bewertung der bereits bestehenden Maßnahmen der Informationssicherheit und IT-Infrastruktur.
Ergebnis:
Verbesserte Sicherheit und Integrität der sensiblen Daten im Klinikum, sowie gestärktes Vertrauen der Patienten in die institutionelle Sicherheitspraxis. Maximale Sensibilisierung der Mitarbeiterinnen und Mitarbeiter und Installation eins Risikobehandlungsplans/Notfallplans.

Ausbau bestehender Cyber Security auf Basis des BSI IT-Grundschutzes

Ausbau bestehender Cyber Security auf Basis des BSI IT-Grundschutzes

Auftrag:
Auftraggeber war eine öffentliche Hochschule des Bundeslandes NRW
Aufgabe:
Unterstützung bei der Basis- bzw. Standardabsicherung nach der Methodik des BSI IT-Grundschutzes.
Ansatz:
Die IT-Infrastruktur der Hochschule war komplex und gewachsen. Sie unterteilte in die Verwaltungs-IT der zentralen Hochschulverwaltung (ZHV) und die Uni-weite IT-Landschaft für den wissenschaftlichen Betrieb (Hochschul-IT). Wir realisierten das Projektmanagement und folgende Schritte: - Durchführung von IT-Grundschutz Checks zur Identifikation offener Punkte und Maßnahmen, - die Reifegradanalyse nach CMMI-Methodik zur Bestimmung des Status Quo und - die Definition aller Maßnahmen zur Erreichung des Zielzustands. Die Einordnung in die BSI IT-Grundschutz-Taxonomie, gefolgt von einer Schutzbedarfsfeststellung der identifizierten Objekte, erfolgte zudem.
Ergebnis:
Durch diese umfassenden Maßnahmen trug Grant Thornton maßgeblich dazu bei, die Hochschule auf dem Weg zur ISO 27001 Zertifizierung auf Basis des BSI IT-Grundschutzes zu unterstützen.

Durchführung von internen ISO 27001 Cyber Security Audits

Durchführung von internen ISO 27001 Cyber Security Audits

Auftrag:
Auftraggeber war Europas führendes regionales Koordinierungszentrum für Stromübertragungsnetzbetreiber (ÜNB).
Aufgabe:
Anpassung der Cyber Security an die Vorgaben der europäischen Dachorganisation.
Ansatz:
- Durchführung von Audit Preparation Workshops und Festlegung aller Maßnahmen - Abstimmung der Maßnahmen mit allen involvierten Dienstleistern - Planung und Durchführung eines internen ISMS-Audits (ISO 27001) - Überprüfung und Bewertung bereitgestellter Dokumentationen von Dienstleistern - Durchführung von Dienstleisteraudits bei dem Betreiber kritischer Infrastrukturen im Energiesektor.
Ergebnis:
Erstellung von Audit-Berichten, die nachfolgend als primärer Nachweis für die Einhaltung der Vorgaben der Dachorganisation dienten. Aufgrund der umfassenden Maßnahmen wurden die technischen und organisatorischen Sicherheitsaspekte der kritischen Infrastruktur überprüft, bewertet und kontinuierlich verbessert.

Warum ist Cyber Security Sache der Geschäftsführung?

Angriffe auf IT-Systeme von Unternehmen können existenzbedrohlich sein. Der Schutz gegen Cyberangriffe steht also im Verantwortungsbereich der Geschäftsführung. Oft fehlen hier allerdings noch Erfahrungswerte, Know-how und IT-Affinität. Das führt zu Fehlentscheidungen. Mögliche Folgen liegen für kaufmännische Geschäftsführer dann im Vorwurf der Sorgfaltspflichtverletzung, der mit persönlichem Haftungsrisiko in Verbindung steht.

6 Schritte, wie Sie mit Grant Thornton die Anforderungen im Bereich Cyber Security meistern können

Gemeinsam stellen wir fest, wie gut Ihr Unternehmen im Bereich Cyber Security aufgestellt ist und wo noch Handlungsbedarf besteht.

Gehört Ihr Unternehmen zu den Lieferanten kritischer Infrastruktur? Bestehen also Melde- oder Zertifizierungspflichten?

Gemeinsam entwickeln wir eine Cyber-Security-Strategie. Welchen Ergänzungen braucht es, Sie auch für die Zukunft gut aufzustellen. Der KRITIS-Status wird dabei berücksichtigt.

Cyber Security kann nur gelingen, wenn Mitarbeitende um die Gefahren wissen. Deshalb ist es wichtig, sie umfassend und regelmäßig zu schulen.

Notfallplan erarbeiten, Ansprechpartner definieren und ggf. in Schulungen den Ernstfall simulieren.

Tritt der Schadensfall ein, kümmern wir uns gemeinsam um die Abwendung der akuten Gefahrensituation und um die Wiedererlangung der Cyber Security.

IT-Sicherheit und Cyber Security: Cyberrisiken im Mittelstand effektiv behandeln

Cyber Security wird immer wichtiger. Expertinnen und Experten stellen heute nicht mehr die Frage, ob Unternehmen Opfer eines Angriffs werden, sondern nur noch die Frage nach dem Wann. Dem gilt es vorzubeugen und notwendige Maßnahmen zu ergreifen. Das BSI hat mit dem IT-Sicherheitsgesetz die Rahmenbedingungen abgesteckt. Aber auch im Schadenfall ist es nicht zu spät. Die Expertinnen und Experten von Grant Thornton stehen Ihnen jederzeit zur Seite – präventiv sowie im akuten Fall.

Ihr Kontakt zu uns

FAQ Cyber Security

Wieso brauchen Unternehmen Cyber Security?
Cyber Security ist entscheidend, um Unternehmensinformationen vor unbefugtem Zugriff durch Dritte zu schützen. Persönliche und geschäftliche Daten sind wertvoll. Durch Maßnahmen zur Cyber Security wird sichergestellt, dass ihre wertvollen Daten nicht durch Cyberangriffe verloren gehen oder gestohlen werden. Cyber Security zahlt auf folgende Aspekte der Unternehmenssicherheit ein:
  • Identitätsschutz,
  • Schutz vor finanziellen Verlusten,
  • Schutz vor Rufschäden,
  • Wahrung der Privatsphäre – der Kundschaft sowie der Mitarbeiterinnen und Mitarbeiter Ihres Unternehmens,
  • Sicherung geschäftskritischer Informationen,
  • Einhaltung gesetzlicher Vorschriften (Compliance) und nicht zuletzt zum
  • Schutz vor Cyberangriffen.
Unternehmen stehen heute unter massivem Druck in Sachen Cyber Security. Dabei spielt die Unternehmensgröße immer weniger eine Rolle – es kann jeden treffen. Daten und der Ruf eines Unternehmens sind wertvoll. Die Sicherung ist Managementaufgabe mit hoher Priorität.

Was kostet Cyber Security?

Die Kosten für Cyber Security sind pauschal nicht zu benennen. Sie hängen von der Größe des Unternehmens und der Anzahl an Mitarbeitenden ab. Auch das Geschäftsmodell, die Branche oder der digitalen Status quo spielen eine Rolle.

Die Kosten werden durch den Umfang der Sicherheitsmaßnahmen, interne wie externe Personalkosten, Technologiekosten für Soft- und Hardwarelösungen, gesetzlich vorgeschriebene Compliance-Anforderungen an die Branche (siehe auch KRITIS-Anforderungen), die Risikomanagementstrategie des Unternehmens, die Schulung und Sensibilisierung der Mitarbeiterinnen und Mitarbeiter sowie Maßnahmen zur Erkennung von Zwischenfällen beeinflusst.

Allerdings zeigt die Erfahrung, dass die Kosten für die Prävention und Cyber Security immer geringer sind als die Kosten, die ein Schadensfall verursachen kann.

Wie kann ich mein Unternehmen im Bereich Cyber Security kostengünstig aufstellen?

Um Ihr Unternehmen kostengünstig im Bereich Cyber Security aufzustellen, können Sie zunächst auf Open-Source-Sicherheitslösungen zurückgreifen. Wichtig ist dabei, dass Ihre Mitarbeiter in Ihrem Sicherheitsbewusstsein beschult werden. Ihre Mitarbeiter sind oft die erste Verteidigungslinie. Außerdem empfehlen wir Ihnen, regelmäßige Sicherheitsüberprüfungen zu automatisieren und auf präventive Maßnahmen wie regelmäßige Software-Updates und Patch-Management zu setzen. Priorisieren Sie Systeme, beispielweise jene, die personenbezogene Daten beinhalten und schützen Sie sie mit höchster Priorität.

Jetzt Kontakt aufnehmen

Wo fange ich mit Cyber Security an und worauf müssen Unternehmen achten?

Wir empfehlen mit einer umfassenden Erhebung des Status quo und einer Risikobewertung. So können Sie die Schwachstellen in Ihrer digitalen Infrastruktur identifizieren. Fokussieren Sie sich auf Ihre wichtigsten Assets und Informationen und implementieren Sie klare Sicherheitsrichtlinien. Schulen Sie Ihre Mitarbeiter regelmäßig. Ein Notfallwiederherstellungsplan (Desaster Recovery) sollte ebenfalls priorisiert werden, um im Falle eines Cyberangriffs schnell handeln zu können. Auch Cyber Security-Versicherungen können einen zusätzlichen Schutz bieten. Wir bewerten gerne die Voraussetzungen und die Wirksamkeit einer solchen Versicherung für Ihr Unternehmen.

Jetzt Kontakt aufnehmen

Welche konkreten Maßnahmen schützen vor Cyberangriffen?

Um hier eine seriöse Empfehlung abgeben zu können, müssen wir als erstes herausfinden, welche Systeme im Einsatz sind. Eine gesamtheitliche Erfassung der IT-Infrastruktur mit anschließender Risikobewertung und Behandlung ist Voraussetzung. Auch KRITIS-Richtlinien sind zu beachten und Fragen zu beantworten, wie: Gehört Ihr Unternehmen zu den Lieferanten kritischer Infrastruktur? Bestehen also Melde- oder Zertifizierungspflichten? Ein Notfallplan, der Ansprechpartner definiert und ggf. in simulierte Ernstfall-Schulungen inkludiert (Penetration Test, Schwachstellenscans), wird von uns empfohlen.

Jetzt Kontakt aufnehmen

Gibt es bestimmte regulatorischen Anforderungen in die Cyber Security, meines Unternehmens?

Gesetze, wie die Datenschutz-Grundverordnung (DSGVO) und die Geschäftsführerhaftung sind für Unternehmen und das Management relevant. Auch branchenspezifische regulatorischen Anforderungen wie beispielsweise ISO/IEC 27001, KRITIS, MaRisk, VAG, TISAX, BSI-Gesetz), müssen beachtet werden.

Jetzt Kontakt aufnehmen

Was ist ein Cyber Security Consultant?

Als Cyber Security Consultant (deutsch: Cybersicherheitsberater) bezeichnet man eine Expertin oder einen Experten für die Entwicklung, Implementierung und Aufrechterhaltung wirksamer Cyber-Security-Maßnahmen in Unternehmen. Ihre oder seine Aufgabe besteht darin, Informationssysteme, Netzwerke und Daten vor Gefahren im virtuellen Raum zu schützen.

Bei der Auswahl von Cyber Security Consultants sollten Sie darauf achten, dass sie technisch auf dem aktuellen Stand sind. Das Internet ist schnelllebig und Hackerinnen und Hacker weltweit sind dynamisch – Cyber-Security-Expertinnen und -Experten müssen das auch sein, um wirksam zu arbeiten.

Jetzt Kontakt aufnehmen

Ist Cyber Security auch IT-Sicherheit?

Die Begriffe Cyber Security und IT-Sicherheit werden oft synonym gebraucht. Allerdings bestehen zwischen beiden Begriffen kleine Unterschiede. IT-Sicherheit schließt physische Maßnahmen mit ein, die vor Datenverlust schützen. Hier geht es auch um Zugangskontrolle und Sicherheitsrichtlinien – online wie offline. Cyber Security bezieht sich vor allem auf Angriffe von außen durch Hackerinnen und Hacker oder Malware.

In Unternehmen braucht sowohl IT-Sicherheit als auch Cyber Security ihren Platz und muss konstant aktuell gehalten werden.

Jetzt Kontakt aufnehmen

Warum arbeiten Unternehmen intensiv an ihrer Cybersicherheit?

Heute ist Cyber Security ein entscheidender Bestandteil unternehmerischer Sicherheitsmaßnahmen. Sie gehört heute dazu wie die Alarmanlage auf dem Firmengelände und ist das Resultat zunehmender Digitalisierung. Sie dient

  • dem Schutz vor finanziellen Verlusten,
  • der Sicherung geschäftskritischer Informationen (wie u. a. auch geistigem Eigentum),
  • der Wahrung des Rufes,
  • der Einhaltung gesetzlicher Vorschriften,
  • der Verhinderung von Betriebsunterbrechungen
  • dem Schutz vor Daten- und Identitätsdiebstahl und
  • der Prävention von Datenschutzverletzungen.

Die digitale Vernetzung macht es nötig, Unternehmen auch im virtuellen Raum zu schützen und abzusichern. Cyberangriffe sind heute Alltag und betreffen nicht länger nur internationale Großkonzerne, sondern Unternehmen jeder Größenordnung. Auf dem Spiel stehen Daten von Kundinnen und Kunden, geistiges Eigentum und nicht zuletzt der Ruf des Unternehmens.

Jetzt Kontakt aufnehmen

Warum ist Cyber Security wichtig?

Cyber Security gehört heute zu den grundlegenden Schutzmaßnahmen von Unternehmen. Sie schützt vor Cyberangriffen, finanziellem und Datenverlust, gewährleistet die Geschäftskontinuität und die Sicherheit persönlicher Daten. Sie wahrt den Ruf des Unternehmens und die Einhaltung gesetzlicher Vorschriften. Besonders entscheidend ist Cyber Security für Unternehmen der kritischen Infrastruktur (KRITIS). Bei ihnen besteht ein öffentliches Interesse für Cyber Security. Die Anforderungen an sie sind hier besonders hoch.

Jetzt Kontakt aufnehmen

Nehmen Sie unverbindlich Kontakt auf

Sollten Sie Fragen haben, Beratung wünschen oder akut betroffen sein, sprechen Sie uns an. Unsere Expertinnen und Experten stehen mit allen notwendigen Kompetenzen sofort für Sie bereit.

Notfallnummer bei Cyberangriffen  

Wir unterstützen Sie 24 Stunden am Tag bei einem Cyber Angriff. Sie erreichen uns unter:

0800 1701000

Wir sind ausgezeichnet.

Und darauf sind wir stolz. Und klar – es freut uns genauso, dass unsere Mandantinnen und Mandanten uns bestens bewerten. Wir arbeiten hart dafür, dass das auch so bleibt. Versprochen!



Siegel_MANAGER_MAGAZIN_2022.jpg