Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

Security Concept

Dass mangelnde Investitionen in IT-Sicherheit Unternehmen teuer zu stehen kommen können, ist mittlerweile eine Binsenweisheit. Vor diesem Hintergrund ziehen immer mehr Unternehmen sogar eine Cyberrisk-Versicherung in Betracht, wie die jüngste KPMG-Studie „e-Crime in der deutschen Wirtschaft“ zeigt.

Demnach hat ein Viertel der dort befragten Unternehmen, denen diese Möglichkeit bekannt war, eine solche Versicherung bereits abgeschlossen. (Quelle: „e-Crime in der deutschen Wirtschaft 2017“, KPMG AG, S. 49 (home.kpmg.com/de/de/home/themen/2017/04/ecrime-studie.html))

Das alleine reicht jedoch nicht. Angesichts der sich permanent verschärfenden Bedrohungslage sind zahlreiche Unternehmen dabei geradezu in einen Maßnahmen-Aktionismus verfallen, zusätzlich befeuert durch die Berichterstattung zum Thema. Dennoch moniert auch die genannte KPMG-Studie mangelnde Investitionen in IT-Sicherheit.

„Doch ein reines ‚Mehr’ an Sicherheitsmaßnahmen führt nicht zwangläufig zu mehr Sicherheit. In jedem Fall führt es jedoch zu mehr Kosten und zuweilen gleicht die zusammengestückelte IT-Sicherheitslandschaft von Unternehmen eher einem wackeligen Turm, als einer Festung“, so Hans-Joachim Giegerich, Geschäftsführer des IT-Sicherheitsanbieters Giegerich & Partner.

Drum prüfe, wer sich ewig binde

Darüber, welche Maßnahmen und Tools sich wirklich rechnen und welche nicht, lassen sich keine pauschalen Aussagen treffen. Zu individuell sind das Gefährdungspotenzial und die IT-Umfelder der Unternehmen. Deswegen gilt es für alle Unternehmen, zunächst ein Lagebild zu erstellen. Daraus lässt sich dann ein ganzheitliches Sicherheitskonzept ableiten und in Folge ein zielführendes Informationssicherheitsmanagement etablieren. „Viele unserer Kunden haben Tools aufeinandergetürmt, ohne über eine sinnvolle Verwendung oder eine organisatorische Einbindung nachzudenken. Das Ergebnis ist ein Haufen Werkzeuge, die entweder wenig Nutzwert haben oder deren Potenzial nicht ausgeschöpft wird. Was fehlt, ist ein abgestimmtes Gesamtkonzept aller Maßnahmen“, so Hans-Joachim Giegerich zu seinen Erfahrungen aus der Beratungspraxis.

IT-Sicherheitschecks als erster Schritt

Ein Weg zum Lagebild sind systematische IT-Sicherheitschecks, wie sie auch Giegerich & Partner anbietet. Im Mittelpunkt stehen dabei fragen wie: Wissen Sie, wer in Ihrer IT ein- und ausgeht? Was geben Ihre Systeme Preis? Wie sicher sind Ihre Daten? Wie benutzen Ihre Mitarbeiter die vorhandene IT? Der Prozess zur Verbesserung der IT-Sicherheit lässt sich hierbei in vier Bereiche gliedern:

IT-Sicherheit Verbesserungsprozess

Zur Beantwortung der Fragen erfolgt dann zunächst im Rahmen eines internen Sicherheitschecks eine umfassende Analyse des Datenverkehrs im Hinblick auf Sicherheitsrisiken und die Auslastung der Systeme. Zu den geprüften Aspekten gehören beispielsweise: Zugriffskontrolle und Datenschutz, Prävention vor Angriffen durch Bots, Viren und Zero-Day-Events, Evaluation der organisatorischen und technischen Maßnahmen, beispielsweise zu Endpoint Security, Compliance und Data-Loss-Prevention, sowie eine Bandbreiten-Analyse.

Zusätzlich ermittelt eine externe Schachstellenanalyse, ob bestimmte Systeme von außen erreichbar sind, welche Informationen hinter offenen Diensten liegen und ob Schwachstellen bei von außen erreichbaren Systemen vorliegen.

Handlungsempfehlungen mit Kosten-Nutzen-Rechnung

An die internen und externeren Sicherheitschecks schließt sich ein umfassender schriftlicher Report an, der mögliche Schwachstellen und Risiken aufzeigt und zugleich sinnvolle Handlungsempfehlungen ausspricht. „In der Regel finden wir bei den vielen kleinen und mittelständischen Unternehmen gleich eine ganze Reihe an Schwachstellen. Hierzu gehören allen voran fahrlässig implementierte oder genutzte IT-Systeme sowie schlecht ausgebildete Mitarbeiter. Hinzu kommen falsch oder unzureichend genutzte Sicherheitstools. Manch ein Unternehmer hatte auch bereits tagelange Ausfälle wegen ebendieser mangelhaften Vorsorge“, kommentiert Hans-Joachim Giegerich die Ergebnisse der Sicherheitschecks.

Mit der Einführung eines maßgeschneiderten Informationssicherheitsmanagements sowie der Umsetzung der empfohlenen organisatorischen und technischen Maßnahmen ist dann sichergestellt, dass bisherige Systeme umfassend genutzt werden können und nur an den richtigen Stellen investiert wird.

www.giepa.de
 

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet