- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

IT-Sicherheitschecks als erster Schritt


IT-Sicherheit - mehr ist manchmal weniger: Welche Investitionen sind sinnvoll?
In jedem Fall führen mehr Sicherheitsmaßnahmen zu mehr Kosten und zuweilen gleicht die zusammengestückelte IT-Sicherheitslandschaft von Unternehmen eher einem wackeligen Turm, als einer Festung

- Anzeigen -





Dass mangelnde Investitionen in IT-Sicherheit Unternehmen teuer zu stehen kommen können, ist mittlerweile eine Binsenweisheit. Vor diesem Hintergrund ziehen immer mehr Unternehmen sogar eine Cyberrisk-Versicherung in Betracht, wie die jüngste KPMG-Studie "e-Crime in der deutschen Wirtschaft" zeigt. Demnach hat ein Viertel der dort befragten Unternehmen, denen diese Möglichkeit bekannt war, eine solche Versicherung bereits abgeschlossen.

Das alleine reicht jedoch nicht. Angesichts der sich permanent verschärfenden Bedrohungslage sind zahlreiche Unternehmen dabei geradezu in einen Maßnahmen-Aktionismus verfallen, zusätzlich befeuert durch die Berichterstattung zum Thema. Dennoch moniert auch die genannte KPMG-Studie mangelnde Investitionen in IT-Sicherheit.

"Doch ein reines ‚Mehr’ an Sicherheitsmaßnahmen führt nicht zwangläufig zu mehr Sicherheit. In jedem Fall führt es jedoch zu mehr Kosten und zuweilen gleicht die zusammengestückelte IT-Sicherheitslandschaft von Unternehmen eher einem wackeligen Turm, als einer Festung", so Hans-Joachim Giegerich, Geschäftsführer des IT-Sicherheitsanbieters Giegerich & Partner.

Drum prüfe, wer sich ewig binde
Darüber, welche Maßnahmen und Tools sich wirklich rechnen und welche nicht, lassen sich keine pauschalen Aussagen treffen. Zu individuell sind das Gefährdungspotenzial und die IT-Umfelder der Unternehmen. Deswegen gilt es für alle Unternehmen, zunächst ein Lagebild zu erstellen. Daraus lässt sich dann ein ganzheitliches Sicherheitskonzept ableiten und in Folge ein zielführendes Informationssicherheitsmanagement etablieren.

"Viele unserer Kunden haben Tools aufeinander getürmt, ohne über eine sinnvolle Verwendung oder eine organisatorische Einbindung nachzudenken. Das Ergebnis ist ein Haufen Werkzeuge, die entweder wenig Nutzwert haben oder deren Potenzial nicht ausgeschöpft wird. Was fehlt, ist ein abgestimmtes Gesamtkonzept aller Maßnahmen", so Hans-Joachim Giegerich zu seinen Erfahrungen aus der Beratungspraxis.

IT-Sicherheitschecks als erster Schritt
Ein Weg zum Lagebild sind systematische IT-Sicherheitschecks, wie sie auch Giegerich & Partner anbietet. Im Mittelpunkt stehen dabei fragen wie: Wissen Sie, wer in Ihrer IT ein- und ausgeht? Was geben Ihre Systeme Preis? Wie sicher sind Ihre Daten? Wie benutzen Ihre Mitarbeiter die vorhandene IT? Der Prozess zur Verbesserung der IT-Sicherheit lässt sich hierbei in vier Bereiche gliedern:

Zur Beantwortung der Fragen erfolgt dann zunächst im Rahmen eines internen Sicherheitschecks eine umfassende Analyse des Datenverkehrs im Hinblick auf Sicherheitsrisiken und die Auslastung der Systeme. Zu den geprüften Aspekten gehören beispielsweise: Zugriffskontrolle und Datenschutz, Prävention vor Angriffen durch Bots, Viren und Zero-Day-Events, Evaluation der organisatorischen und technischen Maßnahmen, beispielsweise zu Endpoint Security, Compliance und Data-Loss-Prevention, sowie eine Bandbreiten-Analyse.

Zusätzlich ermittelt eine externe Schwachstellenanalyse, ob bestimmte Systeme von außen erreichbar sind, welche Informationen hinter offenen Diensten liegen und ob Schwachstellen bei von außen erreichbaren Systemen vorliegen.

Handlungsempfehlungen mit Kosten-Nutzen-Rechnung
An die internen und externeren Sicherheitschecks schließt sich ein umfassender schriftlicher Report an, der mögliche Schwachstellen und Risiken aufzeigt und zugleich sinnvolle Handlungsempfehlungen ausspricht. "In der Regel finden wir bei den vielen kleinen und mittelständischen Unternehmen gleich eine ganze Reihe an Schwachstellen. Hierzu gehören allen voran fahrlässig implementierte oder genutzte IT-Systeme sowie schlecht ausgebildete Mitarbeiter. Hinzu kommen falsch oder unzureichend genutzte Sicherheitstools. Manch ein Unternehmer hatte auch bereits tagelange Ausfälle wegen ebendieser mangelhaften Vorsorge", kommentiert Hans-Joachim Giegerich die Ergebnisse der Sicherheitschecks.

Mit der Einführung eines maßgeschneiderten Informationssicherheitsmanagements sowie der Umsetzung der empfohlenen organisatorischen und technischen Maßnahmen ist dann sichergestellt, dass bisherige Systeme umfassend genutzt werden können und nur an den richtigen Stellen investiert wird. (Giegerich & Partner: ra)

eingetragen: 17.10.17
Home & Newsletterlauf: 20.11.17


Giegerich & Partner: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Cyberrisiken erkennen und verringern

    Technologien verändern unseren Alltag, das zeigt ein kurzer Blick auf die Kommunikation: Vom Anruf per Festnetztelefon, hin zu WhatsApp, Mail und vielen anderen Möglichkeiten. Dieser Wandel geht noch weiter: Smarte Geräte sind Standard und nicht nur unsere Telefone und Tablets, auch Fernseher, Kühlschränke und Heizungen kommunizieren mittlerweile über das Internet miteinander und mit uns. Die Vernetzung macht jedoch heute nicht mehr an der Haustüre halt: Viele Kommunen setzen auf die "Smart City", um den Verkehr effizient zu regeln oder das Parken besser zu organisieren. Tenable erläutert, warum der Faktor Sicherheit bei Smart Cities oft vergessen wird und worauf es für Städte ankommt.

  • Mining-Malware in die IT-Umgebung

    NTT Security weist darauf hin, dass Unternehmen verstärkt von Mining-Malware für die Kryptowährung Monero angegriffen werden. In einer aktuellen Analyse berichten die Forscher des Global Threat Intelligence Center (GTIC) von NTT Security über Malware, die ausschließlich für das Mining der anonymen Kryptowährung Monero entwickelt wurde. Die Malware wird, ohne dass die Betroffenen es merken, auf deren Rechner oder Smartphone installiert und nutzt nach der Installation die Computerressourcen, um Kryptowährungen zu schürfen. Den Gewinn streichen die Hacker ein. NTT Security hat Zugriff auf circa 40 Prozent des weltweiten Internet-Datenverkehrs und analysiert darüber hinaus Informationen aus einem breiten Spektrum von Bedrohungsquellen. Auf Basis dieser Datenlage hat NTT Security nachgewiesen, dass Miner und andere Cyber-Kriminelle hauptsächlich Phishing-Mails für den Zugang auf Rechner und ungepatchte Schwachstellen oder Backdoors für das Eindringen in Netzwerke nutzen.

  • ISOs am E-Mail-Gateway blockieren

    Heutzutage trifft man fortwährend auf die Begriffe Crypto-Währung, Bitcoin, Coinminer oder Blockchain. Sie stehen im wahrsten Sinne hoch im Kurs und viele interessieren sich brennend für diese neuen Themen. Doch auch Cyber-Kriminelle nutzen diesen Enthusiasmus und locken arglose Computer-Nutzer via Phishing-Mails in ihr illegales Netz. Bisher war die Crypto-Währung lediglich das Vehikel zur Bezahlung und nicht das Mittel des Cyber-Verbrechens. Ein Beispiel: wenn Betrüger einen Computer mit Ransomware verschlüsseln, um Lösegeld zu erpressen, sind Cryptocoins das bevorzugte Zahlungsmittel.

  • Kryptowährung zieht Cyberkriminelle an

    2017 war das Jahr der Kryptowährungen. Die boomende Branche zog allerdings nicht nur neue Nutzer an, sondern lenkte auch das Interesse von Cyberkriminellen auf sich. Unternehmen, Privatnutzer und Kryptobörsen sind heute gleichermaßen Zielscheibe von Phishingversuchen, Hackerangriffen und heimlichem Cryptomining über kompromittierte Geräte und Browser. In seinem neuen Whitepaper hat der europäische Security-Hersteller Eset die am weitesten verbreiteten Bedrohungen für Kryptowährungen bei Android-Geräten zusammengefasst und Empfehlungen für Nutzer zusammengestellt, die sich vor virtuellen Geldräubern schützen wollen.

  • Nötige Aufmerksamkeit in punkto Sicherheit

    Die Aktivitäten der IT-Sicherheit erzielen häufig nicht die erwünschten Resultate. Dass in solchen Fällen guter Rat teuer ist, ist eine Binsenweisheit. Denn oftmals sind es relativ simple Dinge, die die effiziente Umsetzung einer Sicherheitsstrategie behindern. Julian Totzek-Hallhuber, Solution Architect bei CA Veracode, nennt fünf vermeidbare Fehler in der Anwendungssicherheit. Kunden sollten eine Aufstellung ihrer geschäftskritischen Anwendungen anfertigen und diese in Risikogruppen einteilen. Das ist deshalb wichtig, da für die Anwendungssicherheit keine unbegrenzten Mittel zur Verfügung stehen. Wenn ein Unternehmen zu Beginn seiner Sicherheitsoffensive beispielsweise 20 Anwendungen schützen will, müssen diejenigen Vorrang haben, die am gefährdetsten sind.