Anzeige

Cyber Security

Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. 

Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. 

Was ist ein Selbstaudit und warum ist es notwendig?

Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben: 

  • Sicherheitsstandards festzulegen: Anhand eines Selbstaudits können Sie entscheiden, welche Sicherheitsgrundsätze Sie verfolgen und wie diese im Unternehmen kommuniziert werden (sollen).
     
  • Regeln zu entsprechen und Vorschriften zu folgen: Ihr Audit zeigt, ob die implementierten Cybersicherheitslösungen nicht nur den eigenen Standards, sondern auch allen verbindlichen externen Vorschriften entsprechen.
     
  • Lücken zu schließen: Ein gründliches Audit legt eventuelle Lücken in den Sicherheitsmaßnahmen offen. Sie haben die Möglichkeit, korrigierend einzugreifen, um das aktuelle System zu optimieren und die grundsätzliche Leistungsfähigkeit der bestehenden Systeme zu ermitteln. 

Selbstaudits sind aus zwei Gründen sinnvoll. Man verschafft sich ein besseres Bild darüber, ob die aktuelle Cyberinfrastruktur effizient arbeitet, und man sie nutzen, um sich auf ein professionelles externes Audit vorzubereiten.

Laut Forbes.com gab es in den ersten sechs Monaten 2019 mehr als 3.800 öffentlich bekannt gewordene Sicherheitsverletzungen, bei denen 4,1 Milliarden kompromittierte Datensätze offengelegt wurden. Wer mindestens einmal pro Quartal ein umfassendes Cybersicherheitsaudit durchführt senkt dieses Risiko. 

Ein gründliches Cybersicherheitsaudit durchführen: Extern versus intern

Es gibt unterschiedliche Möglichkeiten, die benötigten Daten zusammenzutragen. Zunächst muss man entscheiden, ob man ein internes oder externes Audit durchführen möchten. Externe Auditoren bringen ein breites Spektrum an Wissen und Erfahrung ein. Das versetzt sie in die Lage, Sicherheitsmängel und -verletzungen in einer Cyberinfrastruktur zu identifizieren.

Das größte Problem ist jedoch die Tatsache, dass externe Auditoren eine Menge Geld verlangen und einen Experten mit den erforderlichen Qualifikationen und Fachkenntnissen zu finden ist alles andere als einfach. Der Erfolg eines Audits hängt stark davon ab, wie gut ein Unternehmen mit dem betreffenden Auditor kommuniziert. Kann der Auditor nicht auf die Datenarten zugreifen, die er (sofort) benötigt, dauert das Audit länger, verursacht mehr Kosten und führt möglicherweise zu falschen Ergebnissen.

Diese Faktoren machen externe Audits eher zu einem Luxus als zu einer Notwendigkeit, weshalb sie von großen Unternehmen häufiger als laufende Ausgaben betrachtet werden.

Alternativ sind dazu sind interne Audits gerade für die meisten kleinen und mittleren Unternehmen eine sehr viel realistischere Option. Sie kennen die Unternehmensprozesse und können die benötigten Daten zusammentragen, ohne die Arbeitsabläufe zu stören. Das muss ein externer Auditor erste herausfinden, bevor er mit seiner eigentlichen Tätigkeit beginnen kann. 

5 Fragen, die Sie in Ihr Cybersicherheitsaudit einbeziehen sollten

Ein internes Audit mag arbeitsintensiv und komplex klingen mag, in Wirklichkeit ist es nichts anderes als Ziele und KPIs festzustellen und sicherzustellen, dass die Unternehmensrichtlinien auf diese Ziele ausgerichtet sind. Das erreichen Sie ganz einfach, wenn Sie folgende Fragen beantworten:

Welches sind unsere Sicherheitsparameter?

Gemäß den Praktiken der DSGVO ist jedes Unternehmen, das mit EU-Bürgern zu tun hat, gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, der für die Überwachung aller externen und internen Daten verantwortlich ist. Wen auch immer Sie für diese Aufgabe auswählen, Sie/er sollte eine zentrale Rolle bei Ihrem Audit spielen.

Ihre erste Aufgabe wird es sein, zu entscheiden, was ein Risiko für Ihre tägliche Geschäftsabwicklung darstellt. Dazu sollten Sie Liste Ihrer Assets/Systeme erstellen, die zu einer der folgenden Kategorien zählen:

  • Computerausrüstung
  • Sensible Informationen (sowohl Unternehmens als auch Kundendaten)
  • Alles Wichtige, das Zeit oder Geld bei der Wiederherstellung kostet, wenn etwas schief gehen sollte

Dann müssen Sie zusammen mit Ihrem Datenschutzbeauftragten entscheiden, wie weit Ihre Sicherheitsparameter reichen.

Das sind im Wesentlichen zwei Gruppen:

  • Dinge, die in das Audit einbezogen sind
  • Dinge, die nicht in das Audit einbezogen sind

Man kann nicht alle Assets gleichermaßen in den Mittelpunkt eines Audits stellen, sondern ermitteln, welches die wichtigsten sind und sich von diesem Ausgangspunkt vorarbeiten. 


Artikel zu diesem Thema

Security Dialog
Jul 14, 2020

Security Job Nr. 1: Der Risikodialog im Unternehmen

Das größte Problem innerhalb der Informationssicherheit liegt nicht darin, die Angreifer…
Bergtour
Mai 26, 2020

Die Tour auf den „Vulnerability Management Mountain“

Vulnerability Management (VM) ist einer der kritischsten Cybersicherheitsprozesse, mit…
Uwe Gries von Stormshield
Mai 15, 2020

Wie man Cybersicherheitsstrategien erfolgreich umsetzt

Uwe Gries, Country Manager DACH bei Stormshield, über das Management von Gefahren, die…

Weitere Artikel

Remote Work

Remote Work: Sicherheitsbedenken bleiben bestehen

Cloud-Securityanbieter Bitglass hat seinen diesjährigen Remote Workforce Security Report veröffentlicht. In einer Umfrage gaben IT-und Securityprofis Auskunft darüber, welche Auswirkungen das Arbeiten im Homeoffice im vergangenen Jahr auf die Datensicherheit…
Frauen in der Cybersecurity

Warum gibt es so wenige Frauen in der Cybersecurity?

Obwohl auch viele Frauen bereits große Erfolge in der IT erzielt haben, gibt es noch immer wenige Frauen in der Cybersecurity. Woran liegt das? Und wie kann man es schaffen, dass mehr Frauen einen Karriere in der IT-Sicherheit einschlagen? Ein Interview mit…
Homeoffice

Endpunktsicherheit – die Schwachstelle

Nach über einem Jahr COVID-bezogener “Notunterkünfte” ist von zu Hause aus arbeiten unumgänglich geworden. Arbeitgeber und Arbeitnehmer haben Anpassungen ihrer Arbeitsweise vorgenommen, um die Geschäftskontinuität während dieser beispiellosen Pandemie…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.