Anzeige

Anzeige

Veranstaltungen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Dr. Amir AlsbihUnternehmen müssen gerade in Zeiten von politischen Krisen einen kühlen Kopf bewahren. Die IT-Sicherheit steigt nicht durch schnelles Handeln, sondern indem Unternehmen strukturiert und methodisch handeln. Ein Kommentar von Dr. Amir Alsbih, COO bei KeyIdentity.

Der Mensch sieht die Welt gerne in einfachen Gegensätzen: Schwarz und Weiß, sicher und unsicher. Die Gefahr für Unternehmen liegt in der Eile, zu der diese Reduzierung sie drängt. Trump, EU-Regulierungen, Brexit – überall sehen sie Risiken, auf die angeblich sofort mit Gegenmaßnahmen reagiert werden muss. Das kann jedoch das Gegenteil einer gelungenen IT-Sicherheits-Strategie sein. Es gilt Ereignisse zu bewerten und zu beurteilen: Wirken sie sich negativ, positiv oder gar überhaupt nicht auf die Unternehmensrisiken aus? Auf Basis dieser Einschätzung gilt es dann zu reagieren.

Wie man den richtigen Sicherheitspartner auswählt und wen man an sensible Daten lässt, hat in Wahrheit wenig mit der aktuellen Politik zu tun. Anbieter sind nicht per se sicher oder unsicher, nur weil diese aus einer speziellen Region kommen, sondern liefern unter verschiedenen Voraussetzungen spezifische Dienste. Der Trick besteht nur darin, den richtigen Anbieter für den Job auszuwählen. Drei Tipps, wie das gelingen kann:

1. Umgebungsfaktoren erkennen

Ist mein Unternehmen ein Forschungslabor mit wertvollen Daten oder ein hippes Startup aus Leipzig? Das Umfeld eines Unternehmens und die damit verbundene Menge an sensiblen Daten, sagt bereits viel über die benötigte Sicherheit aus. Möchte ich etwa nur öffentliche Daten visualisieren, reicht dafür ein SaaS-Dienst von der Stange völlig aus. Geht es jedoch um die Visualisierung sensibler Forschungsdaten, befinden wir uns in einem völlig anderen Sicherheits-Umfeld – denn wer möchte seine Kronjuwelen gerne aus dem eigens kontrollierten Bereich an Dritte geben?.

Ein weiterer Faktor sind relevante Bedrohungen: Befürchte ich Datendiebstahl oder eine Malware-Attacke? Je nach priorisierter Bedrohung muss ich andere Anbieter auswählen – nur selten gibt es wahre Alleskönner. Zuletzt ist auch der Risiko-Appetit des eigenen Unternehmens ein wichtiger Indikator. Er kann etwa entscheiden, ob man strategisch für manche Themen Cloud-Lösungen in Betracht ziehen kann oder ob eine On-Premise-Lösung und die damit einhergehende vollständige Kontrolle durch das Unternehmens erforderlich ist. Insofern gilt es, eine Bedrohungsanalyse durchzuführen und auf Basis dieser strategische Entscheidungen und Minimalanforderungen zu definieren, die für sämtliche Bereiche eingehalten werden müssen.

2. Zeit nehmen

Anforderungen bestimmten die Sicherheit. Dafür muss sich ein Unternehmen bewusst werden, was die technischen Anforderungen des Cases sind und welche Business-Anforderungen hinzukommen. Erst dann sollte eine Lösung ausgewählt werden. Viel schlimmer ist jedoch, dass meistens nichtfunktionale Anforderungen wie Performance und Sicherheit nicht näher spezifiziert werden.

Was ist überhaupt performant? Sind es 100 ms, 250 ms, oder 1 Sekunde Latenz? Oder zählen die Transaktionen pro Sekunde? Das hängt einzig vom Anwendungsfall ab. Ähnlich verhält es sich mit der Sicherheit: Das Patchen von kritischen Sicherheitslücken in einer isolierten Infrastruktur muss beispielsweise nicht so schnell von Statten gehen wie das Patchen einer Infrastruktur, die direkt aus dem Internet erreichbar ist. Ohne fachliche und technische Spezifikationen im Vorfeld festzulegen, können Unternehmen mit einer suboptimalen Lösung enden, die teuer integriert werden muss – und bringen am Ende nur die Hälfte der PS auf die Straße.

3. Selbst prüfen

Am wichtigsten ist heute jedoch das Verständnis des Lieferantenmanagements in der IT Security. Große Marken und Referenzen bedeuten für sich genommen ebenso wenig wie Zertifikate. Vielleicht bezieht sich die Referenz auf einen Fall mit weniger sensiblen Daten, während mein Unternehmen nach einer Lösung für Personaldaten sucht. Nur weil ein Markenname daran prangt, muss die Lösung für meine Anforderungen noch lange nicht passend sein.

Ebenso wenig sollte man sich nicht allein auf Zertifikate verlassen. Sie sagen nichts darüber aus, welche Risiken akzeptiert wurden oder wie die entsprechende Untersuchung durchgeführt wurde. Was zählt sind Abnahmetests. CISOs wissen: von 100 Abnahmen im Jahr können sie vielleicht zehn beim ersten Mal abnicken. Selbst hinterfragen und die Lieferkette zu kennen ist dafür essenziell. Insofern ist es wesentlich, seine Sicherheitsanforderungen zu kennen und diese im Rahmen der Abnahme analog zu den Funktionstests abzunehmen. Sofern das Unternehmen keine eigene Expertise oder Kapazitäten für Sicherheitsabnahmen hat, mach die Einschaltung eines Dienstleisters Sinn. Ohne eine Abnahme muss jedoch davon ausgegangen werden, dass eine Diskrepanz zwischen dem erwarteten Sicherheitslevel und dem gelieferten Sicherheitsniveau existiert.

Am Ende ist es also die uralte Weisheit, dass Nachdenken Probleme vermeiden kann. Dies sollten sich Unternehmen zu Herzen nehmen – gerade in Zeiten gefühlter Unsicherheit. Dabei ist es auch wichtig, sich auf das zu verlassen, was man kennt, und das kennenzulernen, worauf man sich verlassen will. 

www.keyidentity.de
 

Neuste Artikel

Datenschutz Schilder

Datenschutz 2020: Mehr Transparenz gleich weniger Risiko?

Am 28. Januar ist Datenschutztag oder auch Data Privacy Day. Lange waren der Schutz von Daten und Privatsphäre ein Thema, das bestimmte Personengruppen innerhalb einer Organisation diskutierten. Für die, die nicht gerade IT-Berater oder Unternehmensanwalt…
Grabstein RIP

Die Privatsphäre ist tot, lang lebe die Privatsphäre?

Mit jeder neuen Datenschutzverletzung, jedem Hacker- oder Ransomware-Angriff haben wir erneut die Wahl: Entweder wir finden uns damit ab, dass unsere personenbezogenen Daten in den Händen von Personen sind, die darüber lieber nicht verfügen sollten, oder wir…
KI Hacker

KI in der Cybersicherheit – Überblick und Status Quo

Die KI-basierte Erkennung und Reaktion auf Bedrohungen im Netzwerk ist die zeitgemäße Antwort auf die heutige Cyberbedrohungslage. Der Kreativität der Angreifer bei einer gleichzeitig wachsenden Angriffsfläche und einem Mangel an IT-Fachkräften ist nur mit…
Nico Popp

Nico Popp ist neuer Chief Product Officer bei Forcepoint

Forcepoint, ein weltweit führender Cybersecurity-Anbieter mit Deutschlandbüro in München, hat Nico Popp, 56, zum Chief Product Officer (CPO) ernannt. In dieser neu geschaffenen Position treibt der erfahrene Branchenexperte die Cloud-First-Strategie des…
White Hacker Frau

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist gerade für Industrieunternehmen ein nicht ganz triviales Unterfangen. Einige Vorreiter der Branche fragen sich, ob es Sinn macht, die Hacker vielleicht selbst zu…
Business Meeting

Herrschaft der Silberrücken - Weibliche Führung noch der Sonderfall

Nur 16,1 Prozent der deutschen Mittelständler haben eine Frau an der Spitze. Auch in 2020 sind Frauen in den europäischen Führungsetagen stark unterrepräsentiert. Was sich hinsichtlich der Frauenfrage noch alles bewegen muss, dazu äußert sich Dr. Consuela…

Anzeige

GRID LIST
White Hacker Frau

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist…
Cyber Crime Mensch

Social Engineering - Die Kunst der Täuschung

Beim Social Engineering nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich…
Hacker

Conversation Hijacking: Schutz vor hochpersonalisierten Angriffen

Beim Conversation Hijacking klinken sich Cyberkriminelle in bestehende…
Hacker

Trickreiche Cyber-Angriffe fokussieren mehr auf KMUs

„Kleine und mittelständische Unternehmen tun gut daran, das Risiko von Cyber-Angriffen…
Tb W190 H80 Crop Int 18a7f2e3a514753b9748ffff7b3b3747

Der Quantencomputer gefährdet schon heute die Datensicherheit

Die nächste IT-Ära lässt noch lange auf sich warten. Wann der Quantencomputer kommerziell…
Tb W190 H80 Crop Int Dad59e0147e6775ec7d5e340684fdd27

Mit Plan zur IT-Sicherheit

Unternehmen sehen sich immer größeren Gefahren der Cyberkriminalität gegenüber.…