Anzeige

Anzeige

Veranstaltungen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Myth - Fact

Risk Assessment ist ein Konzept, dass in der Branche in letzter Zeit verstärkt diskutiert wurde, aber die Diskussionen zeigen auch, dass viele strategischen Entscheider die Idee noch nicht verinnerlicht haben: Daraus resultieren einige naive Mythen, die als trügerische Basis für die Sicherheitsrichtlinien in Unternehmen dienen und die Cybersicherheit des Unternehmens untergraben.

Um dieses Risiko zu minimieren, sollen im Folgenden die am häufigsten Fehlannahmen richtiggestellt werden, die Unternehmen daran hindern, eine ausgereifte Risikobewertung durchzuführen.

Mythos #1: IT-Risikobewertung ist teuer und kompliziert

Die Komplexität und die Kosten der Risikobewertung hängen vom Umfang und den Prozessen ab: Es gibt viele einfache Möglichkeiten wie eine Risikomatrix zur Bewertung und Priorisierung von Risiken auf Basis ihrer Auswirkungen auf die IT-Infrastruktur. Selbst einfache Maßnahmen, wie eine simple Tabelle mit den Risiken geordnet nach ihrer Schwere, helfen, die Sicherheitslage zu bewerten, ohne Geld für ein Produkt oder einen Berater auszugeben. Wer dennoch zu einer Softwarelösung greifen möchte, sollte auf Automatisierungs- und Integrationsfunktionen achten, um den zeitlichen und finanziellen Aufwand zu minimieren.

Mythos #2: Nur große Datenmenge sind eine gute Rechtfertigung

Zwar verfügen große Unternehmen meist über mehr Mittel als KMUs, um anspruchsvollere Sicherheitsmaßnahmen zu implementieren, aber Angreifer wissen das. Unternehmen jeder Größe speichern wertvolle Daten und die Kriminellen entscheiden sich für jene Ziele, die weniger geschützt sind, auch wenn es weniger zu stehlen gibt. Selbst eine kleine Menge vertraulicher Informationen kann oft wertvoller als eine große Menge trivialer Daten sein. Zum Beispiel könnte ein kleines Unternehmen oder eine kleine Behörde, Zugang zu vertraulichen Projekten haben, die verlockender sind als zahllose alltägliche E-Mails in einem Großunternehmen.

Mythos #3: Der Vorgang ist einmalig

Sowohl die IT-Infrastruktur als auch die Bedrohungslandschaft entwickeln sich ständig weiter, so dass der Prozess zur Risikobewertung und -Minderung regelmäßig wiederholt werden muss, um neue Schwachstellen zu erkennen und zu beheben. Wenn ein Unternehmen allerdings einmal auf den aktuellen Stand ist und Risk Assessment als Teil der Routine etabliert, wird es ihm leichter fallen, auf dem neuesten Stand zu bleiben und Standards oder Regulierungen wie ISO 27.001 oder die DSGVO einzuhalten.

Mythos #4: Berater schaffen eine künstliche Nachfrage

IT-Risikomanagement ist mehr als nur ein Schlagwort, vielmehr ist es sogar ein wesentlicher Bestandteil vieler Compliance-Standards, weil es Unternehmen hilft, ihre Risiken zu reduzieren. Beispiele dafür sind NIST SP 800-171, die DSGVO und ISO 27.001. Die Voraussetzung ist nämlich, die eigene Sicherheitslage zu bewerten, um zu wissen, wo Verbesserungen ansetzen können. In Abschnitt 3.11 des NIST SP 80-171 heißt es beispielsweise, dass Unternehmen Risiken für ihre IT-Umgebung regelmäßig neu bewerten und Sicherheitsprobleme entsprechend den Ergebnissen dieser Risikobewertung beheben müssen.

Die DSGVO hingegen legt wiederum nicht fest, wie Unternehmen ihre Risiken bewerten sollen, aber Artikel 32 fordert, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Artikel 35 ermutigt ebenfalls eindeutig dazu die Folgen für den Datenschutz bei risikoreichen Verarbeitungstätigkeiten zu bewerten.

Mythos #5: Das ist nur zur Veranschaulichung und bietet keinen Mehrwert

Tatsächlich ist die IT-Risikobewertung ein sehr mächtiges Werkzeug, um echte Änderungen vorzunehmen, die die Sicherheit verbessern. Der Netwrix IT Risks Report 2017 stellte fest, dass sich in 32 Prozent der Unternehmen die Geschäftsleitung nicht mit den IT-Sicherheitsthemen beschäftigt. Das ist problematisch für IT-Verantwortliche, wenn sie Budget für neue Sicherheitsmaßnahmen oder Personal benötigen. Mit einer konkreten Bewertung der Risiken können sie Schwachstellen für das Management aufzuzeigen und sie über die Wahrscheinlichkeit von Datenverstößen sowie deren finanzielle Auswirkungen aufzuklären. Das sind wichtige Argumente für die Vorgesetzte, um das geforderte Budget zu rechtfertigen.

Mythos #6: Wenn alles in Ordnung ist, ist der Aufwand unnötig

Ein falsches Sicherheitsgefühl ist eines der schlimmsten Dinge, die in einem Unternehmen auftreten können, weil es unabhängig von der Qualität der Kontrollprozesse immer Schwachstellen geben wird. Eine gründliche IT-Risikobewertung wird dabei helfen, diese aufzuspüren, zu priorisieren und geeignete Sicherheitsmaßnahmen zu ergreifen. Sobald sich die IT-Umgebung ändert und sich die Bedrohungslandschaft weiterentwickelt, sollte der Prozess deshalb wiederholt werden, weil neue Schwachstellen wahrscheinlich sind.

Mythos #7: Mit einer Versicherung ist alles gut

Viele Führungskräfte glauben, dass eine Versicherung im Fall eines Datenschutzvorfalls die Kosten decken würde und wiegen sich in falscher Sicherheit. Insbesondere wenn die Untersuchung ergibt, dass das betroffene Unternehmen den Vorfall verschuldet hat, werden Bußgelder und andere Sanktionen unvermeidlich. Gerade die Verantwortlichen in Führungspositionen sind dann die Ersten, die im schlimmsten Fall entlassen werden.

Bei Equifax, der größten Wirtschaftsauskunftei in der USA, läuft noch das Verfahren aufgrund des Datenschutzvorfalls im Mai 2017 und die Kosten belaufen sich bislang auf rund 87,5 Millionen Dollar. Die Endkosten werden zweifellos noch ein Vielfaches höher liegen, aber die Police von Equifax wird wahrscheinlich nur bis zu 150 Millionen Dollar abdecken. Innerhalb weniger Wochen mussten im September letzten Jahres der CIO, der CSO und der CEO zurücktreten und keine Versicherung hätte dagegen helfen können.

Der nächste Schritt

Wer ausgewogene Sicherheitsrichtlinien entwickeln und Daten vor Diebstahl und Verlust schützen möchte, muss zunächst das Konzept der Risikobewertung in der IT verstehen. Anschließend folgt der nächste Schritt: der Aufbau eines effektiven Risk Assessment-Programms. Die Fähigkeit, Sicherheitsrisiken zu identifizieren und zu priorisieren, ist ein wichtiger Schlüssel, um Cyber-Bedrohungen zu minimieren und die Einhaltung verschiedener Standards wie der DSGVO, PSD2 und anderen zu vereinfachen. Deshalb ist es umso wichtiger, dass Unternehmen ihre Sicherheitsstrategie nicht auf Mythen aufbauen.

Gerald LungGerald Lung, Country Manager DACH von Netwrix

www.netwrix.com

 

Neuste Artikel

New Version

NGINX Controller 3.0 von F5

F5 Networks (NASDAQ: FFIV) hat die neue Generation der Cloud-nativen Lösung zur Bereitstellung von Anwendungen NGINX Controller 3.0 herausgebracht. Die 3.x-Serie steigert die Produktivität und Effizienz, indem sie als erste Multi-Cloud-basierte…
Android Smartphone

Google bietet Android-Support per Twitter an

US-Tech-Gigant Google bietet ab sofort Android-Usern über Twitter Support bei Smartphone-Problemen an. Nutzer müssen lediglich das Hashtag #AndroidHelp verwenden, um das Team von Google schnell zu kontaktieren. Dann erhalten sie Tipps bei Fragen, wie…
E-Scooter

E-Scooter sind leichtes Ziel für Hacker

E-Scooter sind äußerst anfällig für Angriffe von Hackern, die es auf den Diebstahl von wichtigen Daten abgesehen haben. Nutzer der populären Roller können so nicht nur überwacht, sondern auch auf ihrem Weg in die Irre geführt werden. Das ergibt eine Studie…
Blockchain

Für den Blockchain-Durchbruch fehlt es an Rechtssicherheit

Der Digitalverband Bitkom warnt angesichts von zahlreichen offenen Fragen zum Datenschutz vor Verzögerungen beim Einsatz der Blockchain-Technologie in Deutschland. Zugleich erhofft sich Bitkom vom morgigen Roundtable zum Thema Blockchain und Datenschutz im…
Tb W246 H150 Crop Int 0df0170134ea655be38d7bc66a9a7ec1

Das neue plentymarkets Produkt für große Händler

Nach der Einführung von plentymarkets PLUS schafft die plentysystems AG mit ENTERPRISE nun ein Produkt für große Händler. Neben dem Geschäftsmodell ist die Bereitstellung in einer eigenen Cloud-Umgebung das primäre Unterscheidungsmerkmal.
Hacker Spam

Malware-Angriffswelle: Was Sie über Emotet wissen sollten

Schon seit längerem sind Emotet-Angriffe das Werkzeug der Wahl von Cyberkriminellen, die über Spam-Mails Erpressungen im großen Stil automatisieren. In Deutschland warnt das BSI vor der tückischen Schadsoftware – zu den Opfern der gehäuften Angriffe zählten…

Anzeige

GRID LIST
Krankenhaus Security

Krankenhäuser unterschätzen IT-Schwachstellen

Etliche Hackerangriffe zeigen, dass viele deutsche Krankenhäuser ihre IT-Systeme noch…
Security Operations Center

Die Notwendigkeit von Security Monitoring

Warum sollten Unternehmen heutzutage auf Security Monitoring setzen? Welchen Nutzen…
White Hacker Frau

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist…
Cyber Crime Mensch

Social Engineering - Die Kunst der Täuschung

Beim Social Engineering nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich…
Hacker

Conversation Hijacking: Schutz vor hochpersonalisierten Angriffen

Beim Conversation Hijacking klinken sich Cyberkriminelle in bestehende…
Hacker

Trickreiche Cyber-Angriffe fokussieren mehr auf KMUs

„Kleine und mittelständische Unternehmen tun gut daran, das Risiko von Cyber-Angriffen…