VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Panama PapersRücktritte, Ermittlungsverfahren, Imageschäden – Vorstände, Aufsichtsräte und Regierungsspitzen sind betroffen. Der Fall der „Panama Papers“ zeigte auf, dass Führungspersönlichkeiten nicht nur im Falle von IT-Sicherheitslücken im eigenen Unternehmen oder Wirkungsbereich Konsequenzen für die eigene Person befürchten müssen.

Im Zweifelsfall werden sie auch von einer Welle erfasst, die von ihren Dienstleistern ausgeht. Die zentrale Frage, die sich daher derzeit in den Führungsetagen stellt: Wie kann einem Szenario „Panama Papers 2“ bestmöglich vorgebeugt werden?

„Für die physische Sicherheit von streng geheimen Dokumenten gibt es längst nachvollziehbare Prozesse. Das Verstauen in Tresoren oder Bankschließfächern und die Überwachung mit Alarmanlagen sind gängige und akzeptierte Möglichkeiten. Vergleichbare Maßnahmen der IT-Sicherheit bei Dienstleistern, die hochsensible Daten Dritter auf ihren IT-Systemen speichern, fehlen heute in einem bedenklichen Ausmaß“, so Christian Polster, Chief Strategy Officer bei RadarServices, einem Anbieter für kontinuierliches IT Security Monitoring.

Das Risikomanagement - vor allem das der Klienten von Kanzleien und anderen Dienstleistern - hat eine neue Aufgabe zu lösen.

Wer gehört zu den „engsten Vertrauten“?

Nicht nur Rechtsanwälte sind von Berufswegen her zu strengster Vertraulichkeit verpflichtet, die grundsätzlich auch die digitale Datenverarbeitung umschließen sollte. Unter anderem arbeiten auch Wirtschaftsprüfer, Steuerberater, Beratungsunternehmen und Börsen mit streng geheimen Daten Dritter, die für Angreifer aus finanziellen oder ideologischen Motiven sehr interessant sein können.

Was sind die größten Gefahren für Klienten?

Grundsätzlich ist das gesamte Spektrum an Angriffsgruppen und Angriffsarten auf IT-Systeme von Dienstleistern relevant. Die Gefahrenpotentiale für ihre Klienten liegen jedoch besonders im Bereich von Insider Threats, also mutwilligen oder unbewusst herbeigeführten Schäden durch Mitarbeiter, und externen Netzwerkzugriffen von professionell organisierten Hackern.

Derartige gezielten Angriffe gehen von Personen oder Personengruppen mit Fachwissen über die entwendeten Daten und Dokumente, ihre weitere Verwertung und/oder ihre Vermarktung aus. Sie haben im Regelfall eine Strategie oder einen Auftrag und führen so zu weitreichenden Auswirkungen wie im Fall Panama Papers.

So können Angreifer zum Beispiel auch einen erheblichen Nutzen aus der Entwendung von streng geheimen Finanzdaten gelisteter Unternehmen ziehen. Zahlreiche solcher wertvollen Daten werden zwischen Klienten und Dienstleistern unter anderem im Rahmen von Akquisitionen, Unternehmenszusammenschlüssen oder zentralen Veränderungen in der Investorenbasis ausgetauscht. Besteht bei einer beteiligten Partei ein Datenleck und werden Informationen vor der offiziellen Veröffentlichung bekannt, ziehen Angreifer oder ihre Auftraggeber erhebliche finanzielle Vorteile oder können mit einer Vorabveröffentlichung große Geschäfte platzen lassen.

Wie können sich Klienten schützen?

Im ersten Schritt müssen Klienten den Kreis ihrer derzeitigen „engsten Vertrauten“ genau prüfen. Dazu sollte zumindest ein Basis-IT-Sicherheitscheck mit jedem dieser Dienstleister durchgeführt werden. Die folgenden 5 Fragen sollten IT-Sicherheitsexperten der Klienten abfragen:

  • Wie werden gespeicherte Daten geschützt, wie wird im besonderen deren Austausch verschlüsselt, wer hat Zugriff auf unsere Daten und wie wird die Zuverlässigkeit dieser Personen und ihres Umgangs mit unseren Daten sichergestellt?
  • Wie werden moderne, gezielte Angriffe auf die IT zeitnah erkannt?
  • Wie wird die laufende Sicherheitsüberprüfung der gesamten IT-Infrastruktur durchgeführt, welche Informationen werden dabei berücksichtigt, welche Risikoerkennungswerkzeuge sind im Einsatz und in welchen regelmäßigen Abständen werden die Ergebnisse dieser Werkzeuge von Experten ausgewertet?
  • Wie wird überprüft, ob Risikobehebungsmaßnahmen tatsächlich erfolgreich waren und existierende Schwachstellen tatsächlich behoben?
  • Wie wird der Informationsfluss zu uns gestaltet, wenn trotz aller Sicherheitsmaßnahmen ein Risiko tatsächlich schlagend wird?

Der Basis-IT-Sicherheitscheck sollte in regelmäßigen Abständen wiederholt werden. Neu gesetzte Maßnahmen fließen so in die Risikobewertung ein, Sicherheitslücken müssen behoben werden.

Die Auswahl von Dienstleistern für eine zukünftige Zusammenarbeit sollte standardmäßig auf einer umfassenden Präsentation über ihre IT-Sicherheit und deren faktischer Überprüfung durch interne Spezialisten eines potentiellen Klienten oder von ihm beauftragten externen Experten basieren.

Schlussendlich gehört in jedem Falle die Vereinbarung eines Notfallplans inklusive Ansprechpartnern seitens des Dienstleisters und des Klienten genauso wie die Festlegung von Top-Risikoszenarien dazu, bei deren Eintritt eine zeitnahe, verpflichtende Meldung vom Dienstleister zum Klienten zu erfolgen hat.

„Die Sensibilität für das Thema IT-Sicherheit ist seit dem Fall „Panama Papers“ sowohl seitens der Klienten als auch der Dienstleister immens gestiegen, denn keine der beiden Seiten möchte eines Tages adhoc so im Mittelpunkt des internationalen Interesses stehen. Ein guter IT-Sicherheitsverantwortlicher ist deshalb heute mindestens genauso wichtig wie ein guter Anwalt“, so Polster abschließend.

www.radarservices.com

GRID LIST
Tb W190 H80 Crop Int Ece7bb343adc210e89b8ba448a8c7677

DSGVO – Schutz sensibler Daten

Bereits im Mai 2016 wurde die neue Datenschutzgrundverordnung (DSGVO) verabschiedet. Nun…
Tb W190 H80 Crop Int Ffc54940f3b5a5b27ea7e7e75ad38fbe

DSGVO Tipps zum Umgang mit Google Produkten

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die…
Schloss vor Weltkugel

Verschlüsselung: Technik mit Herausforderungen

Bereits die alten Ägypter haben Texte so umgeschrieben, dass sie nur von Empfängern…
Tb W190 H80 Crop Int 38ee284605af848b87cf93447729f5b2

DSGVO: Last-Minute-Punkte für USB-Speicherlösungen

Weniger als ein Monat bis zum „DSGVO-Stichtag“ 25.05.2018: Unternehmen haben nun entweder…
Tb W190 H80 Crop Int 417ceee8e7f7783a566cf649947e9e6d

Mit diesen 9 Tipps sind eure Daten sicherer

Datenschutz geht jeden an – denn jeder einzelne kann dazu beitragen, dass seine…
Tb W190 H80 Crop Int C062476215dce13cdef3d663310bcd3d

Wie die richtige Technologie bei der DGSVO helfen kann

Die EU-Datenschutzgrundverordnung (DSGVO) kommt mit Riesenschritten näher. Obwohl der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security