Anzeige

Cyber Security

Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. 

Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. 

Was ist ein Selbstaudit und warum ist es notwendig?

Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben: 

  • Sicherheitsstandards festzulegen: Anhand eines Selbstaudits können Sie entscheiden, welche Sicherheitsgrundsätze Sie verfolgen und wie diese im Unternehmen kommuniziert werden (sollen).
     
  • Regeln zu entsprechen und Vorschriften zu folgen: Ihr Audit zeigt, ob die implementierten Cybersicherheitslösungen nicht nur den eigenen Standards, sondern auch allen verbindlichen externen Vorschriften entsprechen.
     
  • Lücken zu schließen: Ein gründliches Audit legt eventuelle Lücken in den Sicherheitsmaßnahmen offen. Sie haben die Möglichkeit, korrigierend einzugreifen, um das aktuelle System zu optimieren und die grundsätzliche Leistungsfähigkeit der bestehenden Systeme zu ermitteln. 

Selbstaudits sind aus zwei Gründen sinnvoll. Man verschafft sich ein besseres Bild darüber, ob die aktuelle Cyberinfrastruktur effizient arbeitet, und man sie nutzen, um sich auf ein professionelles externes Audit vorzubereiten.

Laut Forbes.com gab es in den ersten sechs Monaten 2019 mehr als 3.800 öffentlich bekannt gewordene Sicherheitsverletzungen, bei denen 4,1 Milliarden kompromittierte Datensätze offengelegt wurden. Wer mindestens einmal pro Quartal ein umfassendes Cybersicherheitsaudit durchführt senkt dieses Risiko. 

Ein gründliches Cybersicherheitsaudit durchführen: Extern versus intern

Es gibt unterschiedliche Möglichkeiten, die benötigten Daten zusammenzutragen. Zunächst muss man entscheiden, ob man ein internes oder externes Audit durchführen möchten. Externe Auditoren bringen ein breites Spektrum an Wissen und Erfahrung ein. Das versetzt sie in die Lage, Sicherheitsmängel und -verletzungen in einer Cyberinfrastruktur zu identifizieren.

Das größte Problem ist jedoch die Tatsache, dass externe Auditoren eine Menge Geld verlangen und einen Experten mit den erforderlichen Qualifikationen und Fachkenntnissen zu finden ist alles andere als einfach. Der Erfolg eines Audits hängt stark davon ab, wie gut ein Unternehmen mit dem betreffenden Auditor kommuniziert. Kann der Auditor nicht auf die Datenarten zugreifen, die er (sofort) benötigt, dauert das Audit länger, verursacht mehr Kosten und führt möglicherweise zu falschen Ergebnissen.

Diese Faktoren machen externe Audits eher zu einem Luxus als zu einer Notwendigkeit, weshalb sie von großen Unternehmen häufiger als laufende Ausgaben betrachtet werden.

Alternativ sind dazu sind interne Audits gerade für die meisten kleinen und mittleren Unternehmen eine sehr viel realistischere Option. Sie kennen die Unternehmensprozesse und können die benötigten Daten zusammentragen, ohne die Arbeitsabläufe zu stören. Das muss ein externer Auditor erste herausfinden, bevor er mit seiner eigentlichen Tätigkeit beginnen kann. 

5 Fragen, die Sie in Ihr Cybersicherheitsaudit einbeziehen sollten

Ein internes Audit mag arbeitsintensiv und komplex klingen mag, in Wirklichkeit ist es nichts anderes als Ziele und KPIs festzustellen und sicherzustellen, dass die Unternehmensrichtlinien auf diese Ziele ausgerichtet sind. Das erreichen Sie ganz einfach, wenn Sie folgende Fragen beantworten:

Welches sind unsere Sicherheitsparameter?

Gemäß den Praktiken der DSGVO ist jedes Unternehmen, das mit EU-Bürgern zu tun hat, gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der für die Überwachung aller externen und internen Daten verantwortlich ist. Wen auch immer Sie für diese Aufgabe auswählen, Sie/er sollte eine zentrale Rolle bei Ihrem Audit spielen.

Ihre erste Aufgabe wird es sein, zu entscheiden, was ein Risiko für Ihre tägliche Geschäftsabwicklung darstellt. Dazu sollten Sie Liste Ihrer Assets/Systeme erstellen, die zu einer der folgenden Kategorien zählen:

  • Computerausrüstung
  • Sensible Informationen (sowohl Unternehmens als auch Kundendaten)
  • Alles Wichtige, das Zeit oder Geld bei der Wiederherstellung kostet, wenn etwas schief gehen sollte

Dann müssen Sie zusammen mit Ihrem Datenschutzbeauftragten entscheiden, wie weit Ihre Sicherheitsparameter reichen.

Das sind im Wesentlichen zwei Gruppen:

  • Dinge, die in das Audit einbezogen sind
  • Dinge, die nicht in das Audit einbezogen sind

Man kann nicht alle Assets gleichermaßen in den Mittelpunkt eines Audits stellen, sondern ermitteln, welches die wichtigsten sind und sich von diesem Ausgangspunkt vorarbeiten. 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Security Dialog
Jul 14, 2020

Security Job Nr. 1: Der Risikodialog im Unternehmen

Das größte Problem innerhalb der Informationssicherheit liegt nicht darin, die Angreifer…
Bergtour
Mai 26, 2020

Die Tour auf den „Vulnerability Management Mountain“

Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit…
Uwe Gries von Stormshield
Mai 15, 2020

Wie man Cybersicherheitsstrategien erfolgreich umsetzt

Uwe Gries, Country Manager DACH bei Stormshield, über das Management von Gefahren, die…

Weitere Artikel

Cloud Security

Securepoint bietet Backup-Lösung in der deutschen Cloud

Der IT-Sicherheitshersteller Securepoint hat zum 01. Dezember 2020 den Start einer cloudbasierten Datensicherung angekündigt, die von Systemhäusern einfach in ihre Services integriert werden kann.
Cybersecurity

Synopsys zum Bitkom-Leitfaden zur Software-Sicherheit

Der Branchenverband Bitkom hat kürzlich einen neuen Leitfaden zum Thema Softwaresicherheit verfasst. „Die Digitalisierungsprozesse in Wirtschaft und Gesellschaft führen dazu, dass Software und softwarebasierte Produkte zunehmend allgengewärtig sind.
Cybersecurity

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7 Millionen Euro – mit steigender Tendenz. Die meisten Unternehmen haben die Zeichen der Zeit erkannt und investieren vermehrt in Hardware, Software und Services zur…
Cyber Security

Richtiger Umgang mit einem IT-Sicherheitsvorfall

Sicherheitsvorfälle können schwerwiegende Auswirkungen auf Unternehmen haben und hohe organisatorische und finanzielle Schäden verursachen. Um die Auswirkung zu minimieren, sind gute Prozesse und Verfahren zur schnellen und effizienten Behandlung zwingend…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!