ISO, TISAX UND CO: WARUM ZERTIFIZIERUNGEN SCHÄDLICH FÜR DIE IT-SICHERHEIT SEIN KÖNNEN

„Wir sind zertifiziert und dachten, unsere IT sei sicher“ hören wir im Alltag immer wieder, wenn Unternehmen Opfer eines erfolgreichen Hackerangriffs wurden. Verschlüsselte Systeme trotz TISAX, ISO 27001, NIS2 oder anderer Zertifikate, wie ist das möglich? In diesem Blogpost berichten wir von unseren Erfahrungen bei Notfalleinsätzen in der IT-Sicherheit und zeigen auf, wann Zertifikate zu falscher Sicherheit führen können.

Normen wie ISO und TISAX stellen anerkannte Richtlinien dar. Sie sollen die Datensicherheit und Informationsintegrität gewährleisten. Dadurch können Unternehmen jeder Größe das Vertrauen von Kunden und Partnern stärken. Diese vermeintliche Sicherheit kommt zu ihrem Preis, denn Zertifikate sind häufig teuer und bedeuten einen großen Aufwand. Trotzdem sagen sie wenig über die IT-Sicherheit eines Unternehmens aus – das zeigt unsere Erfahrung im Alltag. In einigen Fällen kann es sogar sinnvoller sein, sich nicht zertifizieren zu lassen (dazu später mehr).

Vorteile von Zertifizierungen für die IT-Sicherheit eines Unternehmens

Zertifizierungen wie ISO oder TISAX gelten in der Branche als Gütesiegel, die vertrauenswürdige Standards für Informationssicherheit und Datenschutz setzen. Einer der konkreten Vorteile ist, dass sie Unternehmen einen klaren Rahmen bieten, innerhalb dessen sie ihre IT-Sicherheitsprozesse etablieren und verbessern können.

Dies führt zu einer erhöhten Vertrauenswürdigkeit gegenüber Kunden und Geschäftspartnern, die sicher sein können, dass ihre Daten gemäß international anerkannten Standards behandelt werden.

Zudem ermöglichen diese Zertifizierungen einen Wettbewerbsvorteil auf dem Markt, indem sie aufzeigen, dass ein Unternehmen ernsthaft in die Sicherheit seiner Informationssysteme investiert hat. In einigen Branchen, wie der Automobilindustrie, ist der Zugang zum Markt eng mit Zertifizierungen wie TISAX verknüpft. Große Unternehmen und Hersteller fordern von ihren Zulieferern und Partnern oftmals den Nachweis dieser Standards, um sicherzustellen, dass sensible Informationen entlang der gesamten Lieferkette geschützt sind.

Zudem bieten Zertifikate einen strukturierten Rahmen, um gesetzliche Anforderungen nachweislich zu integrieren und umzusetzen, was das Risiko rechtlicher Konsequenzen minimiert.

Mögliche Nachteile von Zertifizierungen für Unternehmen

Die Implementierung und Zertifizierung nach ISO 27001 oder TISAX ist ressourcenintensiv und erfordert eine beträchtliche Investition an Zeit, personellen Ressourcen und finanziellen Mitteln. Besonders für kleinere Unternehmen können die umfangreichen Anforderungen und die notwendige Dokumentation eine erhebliche Herausforderung darstellen. Die Komplexität dieser Standards macht es nicht immer leicht, die nötigen Prozesse einzuführen und aufrechtzuerhalten, was zusätzlichen Aufwand erfordert. Auch nach der erstmaligen Zertifizierung muss das Unternehmen kontinuierlich Zeit und Ressourcen investieren, da diese Zertifizierungen regelmäßig erneuert und auditiert werden müssen.

Eine Gefahr ist, dass sich Unternehmen zu sehr auf die Erfüllung spezifischer Anforderungen konzentrieren, anstatt einen ganzheitlichen Ansatz zur IT-Sicherheit zu verfolgen. Dies könnte zu einer falschen Sicherheit führen, bei der wichtige, nicht durch die Zertifizierung abgedeckte Aspekte vernachlässigt werden.

Was viele übersehen: Angreifer interessieren sich nicht für Zertifikate. Sie benötigen nur ein Schlupfloch, um in ihr IT-System einzudringen.

Eine ISO 27001-Zertifizierung bestätigt zwar, dass bestimmte Prozesse und Kontrollen vorhanden sind, sagt aber nichts über deren tatsächliche Effektivität aus. Für Außenstehende kann dies eine Herausforderung darstellen: Wenn etwa ein Unternehmen im Rahmen eines Business Continuity Management (BCM)-Systems die Resilienz seiner Zulieferer bewertet, könnte es sich auf ISO 27001 als Sicherheitsindikator verlassen.

In der Praxis kann jedoch selbst ein zertifiziertes Unternehmen durch einen gezielten Hackerangriff getroffen werden, falls es die Anforderungen nur oberflächlich oder im begrenzten Umfang umgesetzt hat. Eine Zertifizierung allein ist kein Garant für umfassende IT-Sicherheit.

Mehr Aufmerksamkeit auf IT-Sicherheit: zertifizierte Unternehmen tendenziell sicherer

Bei unseren Kunden beobachten wir immer wieder einen deutlichen Unterschied zwischen zertifizierten und nicht zertifizierten Unternehmen. Warum?

Bei nahezu allen ISO 27001-zertifizierten Kunden beobachten wir ein deutlich ausgeprägteres Verständnis für IT-Sicherheit. Dies zeigt sich in besser strukturierten Prozessen, klaren Sicherheitsrichtlinien und einer proaktiven Herangehensweise an mögliche Bedrohungen. Zudem sehen wir, dass Geschäftsführer von zertifizierten Unternehmen die Relevanz von IT-Sicherheit für das Unternehmen und die eigene, private Haftung verinnerlicht haben.

Allerdings ist zu beachten, dass es sich bei zertifizierten Unternehmen tendenziell um größere Organisationen handelt, die über mehr Kapazitäten und Ressourcen verfügen, um sich intensiv mit IT-Sicherheitsfragen auseinanderzusetzen. Größere Unternehmen haben nicht nur die Mittel, um die Anforderungen einer Zertifizierung zu erfüllen, sondern profitieren häufig davon, dass sie bereits über eine gewisse IT-Infrastruktur und ein grundlegendes Sicherheitsbewusstsein verfügen.

Fazit: Wann lohnt sich eine Zertifizierung?

Grundsätzlich raten wir nicht zwingend zu solchen Zertifizierungen. Ob sich eine Zertifizierung lohnt, hängt stark von den individuellen Unternehmenszielen und Anforderungen ab. Wir beraten hierzu regelmäßig Unternehmen.

Eine Zertifizierung wie ISO 27001 oder TISAX kann definitiv einen Wettbewerbsvorteil bieten, da sie das Vertrauen von Kunden und Partnern stärkt und ein positives Signal in Bezug auf IT-Sicherheit sendet. Dies kann ein entscheidender Faktor sein, um sich gegenüber Mitbewerbern durchzusetzen und neue Geschäftsmöglichkeiten zu erschließen.

Allerdings sind die notwendigen Investitionen – sowohl finanziell als auch zeitlich – nicht zu unterschätzen. Diese Ressourcen könnten in manchen Fällen auch direkt in sinnvolle Maßnahmen investiert werden, die einen konkreten Sicherheitsgewinn bedeuten. Die können technische Maßnahmen, Pentests und Mitarbeiterschulungen sein.

Letztlich ist es eine Abwägungssache: Wenn eine Zertifizierung dazu beiträgt, die Marktchancen zu erhöhen und mehr Umsatz zu generieren, kann sie eine lohnende Investition sein. Ist die Zertifizierung keine freiwillige Wahl, sondern eine Notwendigkeit, um überhaupt am Markt akzeptiert zu werden, erübrigt sich die Frage oft.

Dennoch empfehlen wir trotz einer Zertifizierung, das Thema IT-Sicherheit zusätzlich zu betrachten. Es benötigt eine ganzheitliche Betrachtung, wie unseren IT-Dauerschutz, um das eigene Unternehmen langfristig auf Hackerangriffe vorzubereiten und bei erfolgreichen Angriffen gezielt zu reagieren.