Anzeige

Cyber Security

Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. 

Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. 

Was ist ein Selbstaudit und warum ist es notwendig?

Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben: 

  • Sicherheitsstandards festzulegen: Anhand eines Selbstaudits können Sie entscheiden, welche Sicherheitsgrundsätze Sie verfolgen und wie diese im Unternehmen kommuniziert werden (sollen).
     
  • Regeln zu entsprechen und Vorschriften zu folgen: Ihr Audit zeigt, ob die implementierten Cybersicherheitslösungen nicht nur den eigenen Standards, sondern auch allen verbindlichen externen Vorschriften entsprechen.
     
  • Lücken zu schließen: Ein gründliches Audit legt eventuelle Lücken in den Sicherheitsmaßnahmen offen. Sie haben die Möglichkeit, korrigierend einzugreifen, um das aktuelle System zu optimieren und die grundsätzliche Leistungsfähigkeit der bestehenden Systeme zu ermitteln. 

Selbstaudits sind aus zwei Gründen sinnvoll. Man verschafft sich ein besseres Bild darüber, ob die aktuelle Cyberinfrastruktur effizient arbeitet, und man sie nutzen, um sich auf ein professionelles externes Audit vorzubereiten.

Laut Forbes.com gab es in den ersten sechs Monaten 2019 mehr als 3.800 öffentlich bekannt gewordene Sicherheitsverletzungen, bei denen 4,1 Milliarden kompromittierte Datensätze offengelegt wurden. Wer mindestens einmal pro Quartal ein umfassendes Cybersicherheitsaudit durchführt senkt dieses Risiko. 

Ein gründliches Cybersicherheitsaudit durchführen: Extern versus intern

Es gibt unterschiedliche Möglichkeiten, die benötigten Daten zusammenzutragen. Zunächst muss man entscheiden, ob man ein internes oder externes Audit durchführen möchten. Externe Auditoren bringen ein breites Spektrum an Wissen und Erfahrung ein. Das versetzt sie in die Lage, Sicherheitsmängel und -verletzungen in einer Cyberinfrastruktur zu identifizieren.

Das größte Problem ist jedoch die Tatsache, dass externe Auditoren eine Menge Geld verlangen und einen Experten mit den erforderlichen Qualifikationen und Fachkenntnissen zu finden ist alles andere als einfach. Der Erfolg eines Audits hängt stark davon ab, wie gut ein Unternehmen mit dem betreffenden Auditor kommuniziert. Kann der Auditor nicht auf die Datenarten zugreifen, die er (sofort) benötigt, dauert das Audit länger, verursacht mehr Kosten und führt möglicherweise zu falschen Ergebnissen.

Diese Faktoren machen externe Audits eher zu einem Luxus als zu einer Notwendigkeit, weshalb sie von großen Unternehmen häufiger als laufende Ausgaben betrachtet werden.

Alternativ sind dazu sind interne Audits gerade für die meisten kleinen und mittleren Unternehmen eine sehr viel realistischere Option. Sie kennen die Unternehmensprozesse und können die benötigten Daten zusammentragen, ohne die Arbeitsabläufe zu stören. Das muss ein externer Auditor erste herausfinden, bevor er mit seiner eigentlichen Tätigkeit beginnen kann. 

5 Fragen, die Sie in Ihr Cybersicherheitsaudit einbeziehen sollten

Ein internes Audit mag arbeitsintensiv und komplex klingen mag, in Wirklichkeit ist es nichts anderes als Ziele und KPIs festzustellen und sicherzustellen, dass die Unternehmensrichtlinien auf diese Ziele ausgerichtet sind. Das erreichen Sie ganz einfach, wenn Sie folgende Fragen beantworten:

Welches sind unsere Sicherheitsparameter?

Gemäß den Praktiken der DSGVO ist jedes Unternehmen, das mit EU-Bürgern zu tun hat, gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der für die Überwachung aller externen und internen Daten verantwortlich ist. Wen auch immer Sie für diese Aufgabe auswählen, Sie/er sollte eine zentrale Rolle bei Ihrem Audit spielen.

Ihre erste Aufgabe wird es sein, zu entscheiden, was ein Risiko für Ihre tägliche Geschäftsabwicklung darstellt. Dazu sollten Sie Liste Ihrer Assets/Systeme erstellen, die zu einer der folgenden Kategorien zählen:

  • Computerausrüstung
  • Sensible Informationen (sowohl Unternehmens als auch Kundendaten)
  • Alles Wichtige, das Zeit oder Geld bei der Wiederherstellung kostet, wenn etwas schief gehen sollte

Dann müssen Sie zusammen mit Ihrem Datenschutzbeauftragten entscheiden, wie weit Ihre Sicherheitsparameter reichen.

Das sind im Wesentlichen zwei Gruppen:

  • Dinge, die in das Audit einbezogen sind
  • Dinge, die nicht in das Audit einbezogen sind

Man kann nicht alle Assets gleichermaßen in den Mittelpunkt eines Audits stellen, sondern ermitteln, welches die wichtigsten sind und sich von diesem Ausgangspunkt vorarbeiten. 


Artikel zu diesem Thema

Security Dialog
Jul 14, 2020

Security Job Nr. 1: Der Risikodialog im Unternehmen

Das größte Problem innerhalb der Informationssicherheit liegt nicht darin, die Angreifer…
Bergtour
Mai 26, 2020

Die Tour auf den „Vulnerability Management Mountain“

Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit…
Uwe Gries von Stormshield
Mai 15, 2020

Wie man Cybersicherheitsstrategien erfolgreich umsetzt

Uwe Gries, Country Manager DACH bei Stormshield, über das Management von Gefahren, die…

Weitere Artikel

Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.
Cyber Security

Cyberangriffe nehmen zu: Was IT-Sicherheit mit Corona-Maßnahmen gemeinsam hat

Cyberangriffe sind während der Corona-Pandemie gestiegen. Angreifer nutzen unter anderem Sicherheitsschwachstellen im Home-Office aus, warnt der Spezialist für Unternehmensresilienz CARMAO GmbH.
Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.