Cyberattacken auf Industrieunternehmen schaden oft nicht nur dem angegriffenen Unternehmen. Trifft es den Zulieferer wichtiger Teile oder den Logistikpartner, sind dadurch Geschäfts- oder Fertigungsprozesse empfindlich gestört. Eine vergleichbare Klassifizierung der IT-Sicherheit eines Partnerunternehmens, wie sie im Qualitäts-Management längst Standard ist, schafft Klarheit und schützt vor unangenehmen Überraschungen. Genau hier setzt Ratingcy an, ein neuer Geschäftsbereich des Hamburger IT-Sicherheitsspezialisten Secion. Das Angebot ist ab sofort europaweit verfügbar.

Viele Unternehmen lagern spezifische Prozesse wie die Produktion von Einzelteilen an Partner aus. Um den richtigen Partner zu finden, treiben sie dazu einen enormer Aufwand: Betriebswirtschaftliche Kennzahlen werden ausgetauscht und Wirtschaftsauskunfteien befragt, um die Bonität des Partners zu überprüfen. Im Qualitäts-Management sollen Zertifizierungen wie die ISO 9001 gleichbleibende Eigenschaften der Produkte garantieren. Auswahlkriterien wie Liquidität und Qualitäts-Management haben ihre Berechtigung, doch sie lassen eine entscheidende Komponente außer Acht: die Beurteilung der Cybersicherheitsfähigkeiten von Unternehmen. Was ist, wenn ein Cyberangriff zum Beispiel mit Ransomware die Produktion eines Partners lahmlegt?

„Für eine erfolgreiche Zusammenarbeit ist Vertrauen zu Geschäftspartnern eine wichtige Voraussetzung“, sagt Marcus Henschel, Geschäftsführer bei Secion. „Bei der Durchführung von IT-Security-Audits bemerken wir bei vielen Kunden eine Welle von Unsicherheit. Die lässt sich zum großen Teil auf die Häufung von ausgelösten Cyberattacken zurückführen. Immer mehr Unternehmen fragen sich, wie sie dieser Unsicherheit geeignet begegnen können.“ Für diese Fälle habe Secion das Angebot entwickelt. Ein Gütesiegel für IT-Sicherheit beseitige die Unsicherheit. Es zeigt auf Basis der Vergabe von Risk Scores den aktuellen Status der IT-Sicherheit von Unternehmen auf.

Ratingcy erstellt in einem zweistufigen Verfahren ein einheitliches und vergleichbares Cybersecurity-Rating. Zunächst findet dafür eine technische IT-Sicherheitsüberprüfung statt. Das heißt, alle vom Internet zugänglichen Dienste des Unternehmens werden vollautomatisch auf vorhandene Sicherheitslücken untersucht. Ratingcy sammelt die Schwachstellen und errechnet daraus einen Risk Score.

Der zweite Teil der Sicherheitsbewertung besteht aus einem organisatorischen Fragebogen. Er lehnt sich an die Vorgaben des IT-Grundschutzes sowie an die ISO-Norm 27001/2 an. Das Ziel dieses zweiten Schrittes ist die organisatorische Bewertung von implementierten Geschäfts- und IT-Sicherheitsprozessen.

In einem transparenten Verfahren erstellt Ratingcy aus beiden Teilergebnissen einen finalen Risk Score sowie ein Ergebnisdiagramm. Damit lasse sich für jedes Unternehmen die IT-Sicherheit eines potenziellen Partners im Vergleich zum Branchendurchschnitt erkennen. Dazu will der Anbieter auch konkrete Empfehlungen zur Verbesserung des Ratings ansprechen.

Weitere Informationen stehen unter www.ratingcy.com bereit.

Dr. Jörg Schröper ist Chefredakteur der LANline.