SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

Cyber EyeWas haben der Bundestag, ein Gymnasium und ein Seitensprung-Online-Portal gemeinsam? Sie alle wurden kürzlich Opfer eines erfolgreichen Hacks und mussten den Verlust sensibler Daten hinnehmen. Um das zu vermeiden, ist es wenig sinnvoll, einfach nur auf die neueste Technologie zu setzen und zu versuchen, punktuell Schwachstellen abzudecken. 

Es braucht vor allem eine ganzheitliche IT-Sicherheitsstrategie. Bernhard Weber, Experte für IT-Sicherheit bei msg, erklärt, mit welchen fünf wesentlichen Arbeitsschritten Unternehmen das Thema Sicherheitskonzeption angehen sollten. 

  1. Analyse: Zunächst müssen insbesondere alle kritischen Daten und Systeme des Unternehmens identifiziert werden, um deren Schutzbedarf für die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) zu ermitteln. Hierbei müssen insbesondere die Datenverantwortlichen involviert sein, da nur sie eine sinnvolle Einschätzung der maximalen Schadenshöhen abgeben können. Auch das Erkennen einer Datenschutzrelevanz ist in dieser Phase wichtig.
  2. Risikobewertung: Anschließend erfolgt für den Ist-Zustand eine Risikobewertung. Dabei wird die potentielle maximale Schadenshöhe der Eintrittswahrscheinlichkeit von Gefährdungen gegenübergestellt. Beispiele dafür sind: Welche Folgen hätte ein Vertraulichkeits-Verlust bestimmter Daten? Wie wahrscheinlich ist der Eintritt einer entsprechenden Gefährdung? Hieraus ergibt sich ein „bewertetes Risiko“.
  3. Sicherheitsanforderungen: Die Risikobewertung zeigt, worin die vordringlichsten Risikoaspekte bestehen. Diese gilt es mit den unternehmenseigenen Compliance- und Sicherheitsanforderungen sowie mit Gesetzesvorgaben und Best-Practices abzugleichen. Wesentliches Ziel hierbei ist es, relevante Sicherheitsanforderungen zu identifizieren und diese im Sicherheitskonzept zu verankern. In großen Unternehmen dienen häufig Anforderungskataloge zur IT-Sicherheit als Richtlinien. Wenn noch keine entsprechenden Werke vorliegen, besteht auch die Möglichkeit, sich an gängigen Sicherheitsstandards, wie ISO/IEC 27001 oder ISO 27001 nach Grundschutz, zu orientieren.
  4. Maßnahmen: Mit dem bisher erarbeiteten Wissen über Risiken und Sicherheitsanforderungen folgt nun eine Ausarbeitung möglicher sinnvoller Maßnahmen. Hierbei ist eine umfassende Abstimmung mit den Systemverantwortlichen und Architekten erforderlich, um eine Sicherheitsarchitektur auszuprägen, die dem Zweck angemessen erscheint und zudem keine K.o.-Kriterien für Usability, Performance etc. hervorbringt.
  5. Restrisiken: Vor der endgültigen Umsetzung der Sicherheitsmaßnahmen muss eine Entscheidung fallen, ob diese in einem ausgewogenen Kosten-Nutzen-Verhältnis stehen oder ob eventuell auch ein Restrisiko akzeptabel ist. Wenn beispielsweise die Umsetzung einer Sicherheitsmaßnahme kostspieliger ist als der maximale Schaden, der durch die Gefahren eintreten kann, ist üblicherweise eine Restrisiko-Akzeptanz durch das Management das Mittel der Wahl.

Mit der Erstellung entsprechender Sicherheitskonzepte ist ein wichtiger Schritt zur individuellen Absicherung der Unternehmensdaten, -prozesse, und -infrastruktur getan. Eine gute Dokumentation und nachhaltige Unterstützungsprozesse helfen, das Konzept an den Besonderheiten des Unternehmens auszurichten sowie auch eine kontinuierliche Verbesserung – Stichwort „KVP“ – zu erreichen. Schließlich soll das Sicherheitskonzept nicht nur irgendwo abgeheftet werden, sondern weiterentwickelt und idealerweise als integraler Bestandteil der Unternehmenskultur wahrgenommen werden.

msg ist auf der it-sa 2015 in Halle 12, Stand 323.

Konferenz zum Thema:

Security Eye: Cyberrisiken aktiv abwehren
Konferenz am 22.09.2015 im Grand Hotel Wien
Kostenlose Teilnahme
http://www.it-daily.net/agenda 

 

GRID LIST
Tb W190 H80 Crop Int 5432ffa496aad4fc3d07ed53b63df31e

Warum IT- und OT-Netzwerke einen einheitlichen Sicherheitsansatz benötigen

Mit der steigenden Verbreitung von Produktionsnetzwerken,wächst auch der Bedarf an…
Tb W190 H80 Crop Int C3ad42b7c8d7e07e83500eac0c996009

IT-Sicherheit auf der Rennstrecke

Mehr als die Hälfte der Unternehmen in Deutschland (rund 53 Prozent) sind in den…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

SonicWall mit neuer Technologie: Real-Time Deep Memory Inspection

SonicWall hat mit einer neuen Capture Cloud Engine hunderte Malware-Varianten…
Tb W190 H80 Crop Int F051567a083a625588e986bd0718b3d0

DriveLock Managed Endpoint Protection

Cyberangriffe beschränken sich schon lange nicht mehr auf das Netzwerk und die…
Tb W190 H80 Crop Int A605e9036e052c4e524e16631e127d63

Endian UTM Mercury 50: Skalierbare Netzwerksicherheit für den Remote-Einsatz

Endian UTM Mercury 50 gestattet für ein kleines Budget Hochleistungsdurchsatz und…
Tb W190 H80 Crop Int 0585afa5d97ff8c6d1669002374e37e3

Übersichtliche Dashboards für die Web Application Firewall

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security