fbpx

Am 25.06.2019 hatte die SIHK zu Hagen (Herr Dr. Dolny) Geschäftsführer und IT-Experten zum Thema IT-Sicherheit eingeladen.
Christian Schottmöller referierte anhand der DSIN Unterlage zum Thema. Der DSIN bietet einige konkrete Checklisten zur Selbstreflektion des IT Sicherheitsstandes im jeweiligen Unternehmen.

IT-Sicherheit als Prozess

Die Geschäftsleitung ist unmittelbar dafür verantwortlich, dass die IT-Sicherheit auf dem aktuellen Stand der Technik ist. Natürlich lassen sich Aufgaben delegieren - die Verantwortung (und letztendlich die Haftung) aber nicht. Die Unternehmer sollten Sicherheit als einen Prozess begreifen.

  1. Sicherheitsmaßnahmen planen (Anforderungen definieren)
    Zur Anforderungsdefinition müssen mögliche Risiken definiert werden, die mit Eintrittswahrscheinlichkeit und Schadenhöhe einen rechnerischen Risikofaktor ergeben. Diese Festlegung wird im Rahmen einer Risikoinventur erfolgen.
  2. Sicherheitsmaßnahmen einführen (Maßnahmen umsetzen)
    Die Maßnahmen haben 4 Dimensionen:
    -> Vermeiden von Risiken
    -> Minimieren von Risiken durch Abwehrmaßnahmen
    -> Überwälzen von Risiken (z.B. durch Restrisikoversicherung)
    -> Akzeptieren tragbarer Risiken
  3. Sicherheit prüfen (Wirksamkeitskontrolle mit Abweichungsanalyse)
  4. Sicherheit verbessern (Abweichungen beseitigen)

Awareness

Die Präventionsmaßnahmen können technisch bedingt sein und sich auf Endgeräte oder Infrastruktur beziehen.
-> Aktuelle Software inkl. Updates
-> Anti Malware Programme
-> Backup Lösungen
-> VPN Gateway
->Backup Server
->IDS/IPS/SIEM (Intrusion Detection System/ Intrusion Prevent system/ Secure Information and EventManagement
-> Firewalls

Sie können organisatorisch angegangen werden, indem bestimmte Verhaltensvorgaben gemacht werden
-> Richtlinien
-> Anwendungsbeschränkungen
->Schnittstellenbegrenzungen

Die finanziellen Präventionsmaßnahmen sind beschränkt:
-> Eine Rückstellung für mögliche Schäden wird kaum ein Unternehmen aufbringen können, zudem ist eine Rückstellung für noch nicht eingetretene aber mögliche Schäden ohne Vertragshaftung nicht nur handelsrechtlich, sondern auch steuerrechtlich nicht zulässig.
-> Eine Versicherung ist zwar grundsätzlich möglich, aber es soll auch schon Fälle gegebenhaben , bei denen sich Versicherungen unter Hinweis auf Cyberwar angriffe aus der Verantwortung gezogen haben. Selbst wenn ein Audit durch eine Versicherung mit definierten Anforderungsprofilen erstellt wird, können Anforderungsabweichungen immer zu einem Abschlag führen.

In 60-70% der Cyber Angriffe gehen der Attacke entweder Phishing Emails voraus oder sie sind selbst Auslöser eines Incidents.
Die Schaffung eines Risikobewußtseins bei den Mitarbeitern hat daher oberste Priorität in der Malware-Bekämpfung.

Training

Eine gute Idee kann es sein nach Ankündigung gezielt E-Mail Angriffe auf Mitarbeiter des eigenen Unternehmens zu starten, die Ergebnisse anonymisiert bereitzustellen und Schwachstellen nachzubessern.

Akzeptanz

Das Passwort schlechthin ist "123456" - aber vielleicht gibt es auch in Ihrem Unternehmen eine Regelvorgabe für Passwörter? Es soll:

  • 8 stellig sein
  • Groß- und Kleinschreibung beinhalten
  • Zahlen, Buchstaben und Sonderzeichen beinhalten
  • monatlich aktualisiert werden

Das ist zu kompliziert und aufwendig um von den Mitarbeitern akzeptiert zu werden; und weil sich das auch keiner merken kann findet sich das aufgeschriebene Passwort dann auch regelmäßig in unmittelbarer Nähe zum Arbeitsplatz - ob das die Lösung ist?

Vorbereitung auf den Ernstfall

Nachdem die Risikoinventur eine Priorisierung von Maßnahmen ergeben hat und Verantwortlichkeiten zur Schwachstellenbeseitigung festgelegt und terminiert wurden (milestones), gilt es einen Notfallplan zu schmieden, um nach einem Incident/ erfolgreichen Angriff die Lage möglichst schnell wieder in den Griff zu bekommen.

Hier helfen die o.g. Checklisten des DSiN und der IHK und es ist auch hilfreich sich zu jedem Risiko einen Dienstleister mit der jeweils benötigten Spezialkompetenz ins Boot zu holen.

Da auch kleinere und mittelgroße Unternehmen immer stärker betroffen sind (oft ohne es zu bemerken), diese aber die finanziellen Mittel nicht haben, um die Probleme voll in Eigenleistung zu lösen, gibt es ein breites Bündel von Fördermaßmahmen, die bei 99% aller Unternehmen einen nicht rückzahlbaren Kostenzuschuss von bis zu 80% der Ausgaben vorsehen.
Weiterführende Informationen zu den Fördermöglichkeiten unter FOBEKA GmbH: 02331 34 83 284.

Ähnliche Beiträge

IT-Trends

TNT: Termine - Neuigkeiten - Tools

Abonnieren Sie jetzt unsere Monatsübersicht!



Die Hinweise zum Datenschutz erkenne ich an.

Artikel kommentieren: