Whitepaper:
Reifegradmodelle als Tools zur Krisenprävention
Infoletter #15
Infoletter #15
Die Corona-Pandemie hat deutlich gezeigt, dass es der deutschen Wirtschaft gerade in Krisensituationen schwer fällt, angemessene unternehmerische Antworten auf unsere globalisierte und zunehmend unbeständige Welt zu finden. Viele Entscheider mussten aufgrund fehlender Notfallpläne Ad-Hoc-Maßnahmen umsetzen. Anforderungen an die Cybersicherheit wurden deshalb niedriger priorisiert oder vollständig ignoriert.
Damit Sie für die nächste Krise besser gerüstet sind, stellen wir Ihnen in unserem aktuellen Infoletter mit dem Whitepaper Reifegradmodelle für die Cybersicherheit Ihres Unternehmens eine Methode zur Verfügung, mit der Sie Ihre Prozesse evaluieren und Maßnahmen zur Verbesserung entwickeln können. Zudem diskutieren wir die Notwendigkeit eines grundsätzlichen Paradigmenwechsels und nehmen eine Einordnung von Reifegradmodellen in einen globalen organisatorischen Kontext vor.
Wir wünschen Ihnen viel Spaß beim Lesen unseres aktuellen Infoletters.
Herzlichst,
Timm Börgers, Carsten Marmulla & Jan Sudmeyer
Geschäftsführer carmasec GmbH & Co. KG
Modelle zur Bestimmung und Steigerung des Reifegrads werden vor allem im angelsächsischen Raum schon jahrelang in der Unternehmensführung und -steuerung eingesetzt. Sie dienen zum einen der Evaluation gegenwärtiger Fähigkeiten, Ressourcen und vorhandener Infrastruktur, zum anderen bieten sie Rahmenrichtlinien zur Entwicklung individueller Maßnahmenpläne, um Reifestufen von Prozessen in Unternehmen und Institutionen weiter zu steigern. Hinsichtlich der Einschätzung und Steigerung von IT-Sicherheit wird oftmals ein spezielles Cybersecurity Maturity Model (CMM) eingesetzt, das den entsprechenden Referenzrahmen für die Reifegradmessung von Cybersicherheits-Prozessen vorgibt.
In unserem Whitepaper Reifegradmodelle für die Cybersicherheit Ihres Unternehmens: Referenzrahmen für Handlungs-, Planungs- und Budgetsicherheit erläutern wir zunächst die Funktionalität von Reifegradmodellen und betrachten Vorteile wie die bessere Planbarkeit von Ressourcen und Budgets, die sich aus der Anwendung eines solchen Ansatzes für ein Unternehmen ergeben. Wir stellen des Weiteren einige ausgewählte Modelle aus den USA und Großbritannien vor und erläutern explizit das Community Cybersecurity Management Model (CCMM), welches beispielsweise in der US-amerikanischen Energiewirtschaft Anwendung findet. Im nächsten Schritt adaptieren wir das bewährte Modell auf die Anforderungen deutscher Unternehmen und versetzen Sie so in die Lage, Ihre unternehmensinternen Prozesse der Cybersicherheit hinsichtlich des Reifegrades zu beurteilen und zu optimieren.
Zum Whitepaper Reifegradmodelle für die Cybersicherheit Ihres Unternehmens
Autor: Jan Sudmeyer
Das VUCA-Akronym zum besseren Verständnis einer modernen Welt
Unternehmen, die heutzutage einen nachhaltig hohen Cybersicherheitsstandard aufrecht halten wollen, müssen ihre Organisationskultur und ihre Prozesse schnell und ohne großen Aufwand verändern und sich den sich stets ändernden Rahmenbedingungen anpassen können. Für ein besseres Verständnis empfehlen wir das VUCA-Akronym. VUCA steht für volatility (Unbeständigkeit), uncertainty (Unsicherheit), complexity (Komplexität) und ambiguity (Uneindeutigkeit). Ein Unternehmen, das eine unbeständige, unsichere, komplexe und mehrdeutige Welt als Paradigma akzeptiert, entwickelt den Willen zur steten Veränderung und Anpassung.
Die Corona-Situation hat deutlich gezeigt, dass ein Paradigmenwechsel notwendig ist. Viele Unternehmen waren auf eine Pandemie nicht vorbereitet und haben mit ad hoc getroffenen Maßnahmen reagieren müssen. Hierbei wurden Sicherheitsanforderungen oftmals gelockert oder sogar ignoriert.
Reifegradmodelle sind ein erster Schritt zur aktiven Handlungsfähigkeit
Damit Unternehmen zukünftig besser auf Krisensituationen vorbereitet sind, benötigen sie einen systematischen und strukturierten Ansatz. Reifegradmodelle wie das Cyber Security Maturity Model von carmasec bieten hier Orientierung und können als erster Schritt eingesetzt werden. Sie ermöglichen Unternehmen die Reifegrad-Bestimmung der eigenen Security-Prozesse. Zudem definieren sie Rahmenrichtlinien für eine hilfreiche methodische Weiterentwicklung der Cybersicherheits-Maßnahmen im Unternehmen.
Nachhaltige Cybersicherheit erfordert einen ganzheitlichen systemischen Ansatz
Für die nachhaltige Etablierung von Cybersicherheit und die Sicherung des langfristigen Geschäftserfolgs muss Security allerdings aus einer systemischen Perspektive betrachtet werden. Hierfür wird ein ganzheitlicher Ansatz wie der der Cyber-Resilienz benötigt, in dem Unternehmen aus einer globalen Perspektive betrachtet werden und der alle Prozesse vor, während und nach einer Krisensituation einbezieht. Die carmasec erarbeitet hierzu aktuell einen Methodenkasten, der Unternehmen zukünftig unterstützen und begleiten soll. Diesen werden wir Ihnen in unserem nächsten Infoletter vorstellen.
Jan Sudmeyer ist Managing Partner und Senior Trusted Advisor der carmasec GmbH & Co. KG. Der Experte für Cybersicherheit verantwortet den Bereich des Security-Projektmanagements und hat in der Corona-Situation mittelständische Unternehmen bei der Umsetzung eines Notfallmanagements zur Gewährleistung des weiteren Geschäftsbetriebs beraten und begleitet.
Kontaktieren Sie Jan Sudmeyer auf LinkedIn und kommen Sie ins Gespräch
Der 6. „friends of carmasec“ Stammtisch, unser Meetup für Cybersicherheits-Experten und Interessierte, fand am 06.08.2020 im Startplatz in Köln statt. Nach einer kurzen Bürobesichtigung wechselten wir in den gastronomischen Außenbereich und nutzten das gute Wetter für intensive Gespräche und Diskussionen. Wir bedanken uns noch einmal für die rege Teilnahme und die spannenden Gespräche. Alle Besucherinnen und Besucher sind natürlich wieder herzlich zum nächsten Stammtisch eingeladen, der voraussichtlich im Oktober stattfinden wird.
carmasec hat sich in den letzten Monaten personell verstärkt. Wir freuen uns, drei neue Kollegen zu begrüßen.
Patrick Brooks, Senior Security Consultant
Patrick Brooks, studierter Wirtschaftsinformatiker, stieß im Juli 2020 zu carmasec. Der Senior Security Consultant begeistert sich bereits seit seinem Studium für den Themenkomplex der Cybersicherheit. Gegen Ende seines Studiums fokussierte der Security-Spezialist die Schwerpunkte IT-Management und IT-Governance, Risk & Compliance. Er spezialisierte sich unter anderem auf Compliance-Anforderungen im Rahmen des Cloud Computings in kleinen und mittelständischen Unternehmen. Der Experte für Cybersicherheit ist zertifizierter Berater für ITIL, PRINCE 2 und die ISO-Richtlinie 27001.
Nach mehreren Stationen in der Security-Beratung wird er bei carmasec ein Kundenprojekt bei einem großen Versicherer übernehmen. Hier zeichnet er für das Testbenutzermanagement verantwortlich. Zudem betreut er die interne Innovationsplattform und unterstützt bei Projektmanagement-Themen.
Robert Heinlein, Senior Security Consultant/Cyber Security Engineer
Robert Heinlein, ebenfalls seit Juli 2020 bei carmasec als Senior Security Consultant tätig, hat sich schon während sein Informationstechnik-Studiums regelmäßig mit Themen der Informationssicherheit auseinandergesetzt. Parallel zum Master-Studium beriet er als Ingenieur freiberuflich in IT-Projekten. Seine berufliche Karriere startete Robert Heinlein als IT-Security-Consultant. Der Spezialist für Informationssicherheit ist zertifizierter Berater für ISO 27001, ITIL und PRINCE 2. Aufgrund seines Faibles für Security Automation wird er bei carmasec neben der Betreuung von Kundenprojekten die interne Produktentwicklung als Cyber-Security-Ingenieur vorantreiben.
Cybersicherheit sei, so Robert Heinlein, ein massiv unterschätztes Thema mit großen gesellschaftlichen Auswirkungen. „Ich wollte schon immer die Welt durch, mit und trotz Technik besser machen“, begründet der Ingenieur seinen Wechsel zu carmasec.
Robin Südkamp, Auszubildender/Dualer Student der Fachrichtung „Wirtschaftsinformatik“ an der FHDW
Robin Südkamp, seit August 2020 bei carmasec, ist der erste Auszubildende der Beratungsboutique für Cybersicherheit. Aufgrund der Kooperation mit der Fachhochschule für Wirtschaft (FHDW) in Bergisch Gladbach bietet carmasec dualen Studenten die Möglichkeit, Projekterfahrungen zu sammeln und Themen mitzugestalten.
Robin Südkamp entschied sich aufgrund der Unternehmensgröße für carmasec als ausbildendes Unternehmen. „Hier nimmt sich ein Geschäftsführer regelmäßig Zeit, mir Zusammenhänge im Bereich der Cybersicherheit zu erklären“, begründet der Student den Schritt, „das hätte ich so nicht erwartet.“
Aktuell unterstützt Robin Südkamp die Beratungsboutique bei internen Projekten und arbeitet neue Prozesse aus. Zudem versucht sich der Student an einem Security-Capture the Flag, einer Disziplin für Hacker, in der auch Meisterschaften ausgetragen werden.
Informationen zu offenen Stellen und unseren Bewerbungsprozess finden Sie auf unserem Karriereportal