ITSEC

IT Security Check

„Reminding you that Security is just a state of mind!“

Ihre IT-Sicherheit auf dem Prüfstand

Erfahren Sie innerhalb weniger Tage, wie sich genau das aktuelle Sicherheitsniveau ihrer Organisation, bzw. wie die Risiko-Heat-Map ihres Unternehmens darstellt. Dabei überprüfe ich u.a. die Strategie, ihre Organisationsstrukturen, Infrastruktur, Verträge, rechtliche, bzw. regulatorische Anforderungen und mehr. Zum Abschluss erhalten Sie dann meine Analysen mit konkreten Maßnahmenplänen und Handlungsalternativen.

Wichtige Bausteine auf dem Weg zu mitigierten Risiken:
  1. Ist-Analyse zum Erkennen von Schwachstellen und Risiken
  2. Zieldefinition zur Bestimmung des geeigneten Schutzziels und der notwendigen Maßnahmen
  3. Sicherheitsberatung und -Planung und Erstellung sicherer, effizienter und wirtschaftlicher Gesamtkonzepte
Mit Sicherheit ein wichtiger Schritt!

Ich erarbeiten gemeinsam mit Ihnen perfekte Lösungen für Ihre Herausforderungen!

01

Sicherheit?

Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beein-trächtigung ist oder als gefahrenfrei ange-sehen wird.   

02

No risk? Not possible! 

In komplexen Systemen ist es unmöglich, Risiken völlig auszuschließen.  

03

Faktorenabhängigkeit

Das vertretbare Risiko für jede mögliche Art der Beeinträchtigung hängt von vielen Faktoren ab und wird zudem subjektiv und kulturell verschieden bewertet. . 

04

No risk - no fun ! 

Im Allgemeinen werden höhere Wahrscheinlichkeiten für Beeinträchtigungen mit steigendem Nutzen als vertretbar angesehen.  
Wenn ich Ihnen jetzt erzähle, dass IT-Sicherheit gerade in der heutigen Zeit ein sehr wichtiges Betätigungs- und Investitionsgebiet für jede Firma und Unternehmung ist, dann erzähle ich Ihnen sicherlich nichts Neues. Dabei wird oftmals auf Geschäftsleitungsebene Informationssicherheit vielfach immer noch mit IT-Sicherheit gleichgesetzt, deren Planung und Umsetzung alleinige Angelegenheit von IT Mitarbeitern ist. Außerdem wird der Zusammenhang zwischen IT Sicherheit und dem Geschäftserfolg allenfalls im Sinne von Verfügbarkeit von IT Anwendungen und ggf. der Einhaltung von Datenschutzbestimmungen angesehen. Die Aspekte Vertraulichkeit und Integrität von Informationen, die Erkenntnis, dass Informationen DEN Unternehmenswert repräsentieren und dass es letztendlich immer um die 5 P's gehten muss (people, processes, products, partners & patrons), werden in der Praxis einfach häufig übersehen. Dabei ist die aktuelle Gefährdungslage hinsichtlich des zu verzeichnenden Angriffspotenzials äußerst kritisch. Denn nicht nur die Anzahl schwerer Sicherheitslücken in den meisten IT Systemen rangieren auf sehr hohem Niveau,  gleichzeitig steigt die Anzahl der oftmals frei verfügbaren Werkzeuge zur Ausnutzung dieser Angriffspunkte unaufhörlich und somit auch die Anzahl der Angreifer, die somit die Anonymität des globalen Cyber-Raums für ihre oder die Zwecke des Mitbewerbers ausnutzen. 

Es sind sich alle einig darin, dass die Informationstechnik der "Möglichmacher" der beschleunigten Globalisierung ist, somit einen direkten, nachhaltigen Einfluss auf Wettbewerb, Ressourcen, Märkte und politische Einflussbereiche hat. Somit erscheint es eher als naiv, wenn angenommen wird, dass die neu gewonnenen digital vernetzten Technologien nicht auch für Auseinandersetzungen in der Wirtschaft, Gesellschaft und Politik ausgenutzt werden. Das Gegenteil ist der Fall. Oftmals sind aber Angriffe meist nur schwer zu erkennen und abzuwehren und häufig genug ist das Zeitfenster zwischen gelungenem Hack und Bekanntwerden im Unternehmen Monate, manchmal sogar Jahre groß. Allein im Jahr 2014 lagen die weltweit gemeldeten Schäden durch Cyberkriminalität bei rund 400 Mrd. US-Dollar (Quelle: McAffee) - ein Anstieg von 2013 um 50 Prozent. 

Beim Versuch, einen Business Case zur Einführung eines ISMS nebst Risiko- und Compliance-Management-Framework aufzustellen, indem Kosten in Relation zu möglichen materiellen Einbußen und Imageschäden gesetzt werden, scheitert oft am Management mit den Begründungen: "Bisher lief doch auch alles glatt" und "wir hatten in den letzten Jahren überhaupt keine relevanten Sicherheitsvorfälle". Das diese Begründungen "hinken" liegt auf der Hand: denn in den allerwenigsten Fällen von Datenspionage erscheint auf den Monitoren ein Hinweisschild "Sie wurden gerade gehackt!". So gehen Experten davon aus, dass der Trojaner "Flame" seit 2 bis 8 Jahren (!) "unterwegs" ist, ohne, dass er jemals nachgewiesen worden wäre. 

Gemäß einer weiteren Studie zufolge berichten 78% der Firmen, dass eines der größten Computerprobleme die illegale Nutzung des Internets durch Angestellte ist, hier vornämlich Pornografie, illegale Verbreitung von Raubkopien an Software, Musik und Video. Weiter wird nachdrücklich das mangelnde Sicherheitsbewusstsein der meisten Mitarbeiter bemängelt. 

Noch schlimmer trifft es die Firmen, die durch einen Ausfall der informationsspeichernden Systeme ihre Firmendaten irreparabel verlieren. Gemäß einer Studie der Universität von Minnesota existieren sind noch 7% der Unternehmen 5 Jahre noch so einer Katastrophe auf dem Markt vertreten; gemäß einer weiteren Studie durch den Haftpflichtverband der deutschen Industrie stehen 40% aller deutschen Firmen, die einen EDV-Crash ohne geeignetes Backup, bzw. funktionierende, getestete Recovery-Prozedur hatten, spätestens nach 2 Jahren vor dem aus. 

Konkret zeigen alleine diese ausgewählten Beispiele auf, dass Risiken immer und überall "lauern". Heißen tut es aber auch, dass jeder Unternehmer, jedes Unternehmen gut daran tut, sich ganzheitlich diesem Thema zu widmen - und nicht nur aus Haftungsgründen - bevor der Fall der Fälle auftritt. 
Um die Verletzung von Vertraulichkeit und Integrität von Daten zuverlässig zu erkennen, braucht es deshalb geeignete Kontrollen (Governance-Strukturen) auf allen Unternehmensebenen und nicht nur im Bereich der IT. Somit gilt es von vornherein festzustellen: ohne den Buy-in der Geschäftsführung ist ein durchgängiges ISMS nicht umsetzbar! 

Trotzdem - den ersten Schritt zum SOLL-/IST-Vergleich und somit dem Sammeln benötigter Evidenzen können aus direkter IT-Initiative angestoßen werden. Mittels des eigens dafür konzipierten Security Checks können somit kurzfristig bewertete Antwortstellungen mit Empfehlungen auf nachfolgende Fragen aufgezeigt werden: 
  • Kennen Sie die Randparamter und Einflüsse, die Sie und Ihr Unternehmen treffen, bzw. unterliegen? 
  • Gibt es eine Liste Force majeure-Ereignisse, also derjenigen Ereignisse, gegen die sich jede Firma bewusst nicht schützen kann, muss, will? 
Im Umkehrschluss: 
  • Ist den Mitarbeitern überhaupt bekannt, gegen welche Ereignisse ihre Firma in Gesamtheit in welcher Tiefe, bie zu welchem Grad unbedingt geschützt werden muss und welchen Part er/sie dabei einnimmt? 
In anderen Worten: 
  • Weiß jeder im Unternehmen, was im Fall der Fälle zu tun ist? 
  • Wurde das schon jemals geprobt und getestet? 
  • Gibt es außerdem verlässliche Dokumente, Dokumentationen, Checklisten, Anweisungen und Vorgaben, die es den Mitarbeitern und auch versierten Dritten erlauben, während eines Ausfalls im "Eifer des Gefechtes" einen kühlen und berechnenden Kopf zu behalten und somit die richtigen Entscheidungen fällen zu können? 
  • Decken sich Ihre definierten Maßnahmenkataloge eigentlich mit den vom Management ausgegebenen Unternehmenszielen? 

Sie merken es sicherlich schon: die Liste der Frage ließe sich fast ins Unendliche fortführen. 

Bei all meinen Bemühungen für Sie, halten ich mich ähnlich wie beim Health Check auch nicht wie viele meiner Kollegen ausschließlich nur an die Frameworks dieser Welt, sondern verknüpfe diese standardisierten Informationsquellen intelligent mit meinen eigenen in über 20 Jahren gewonnenen Erfahrungen im Betrieb von IT-Abteilungen und Audit-Situationen in unterschiedlichsten Kundensegmenten und - größen, als auch  Best Practice-Quellen, um für ihr Unternehmen den möglichst größten Praxisnutzen zu erzielen. 

Habe ich Ihr Interesse geweckt? 

Weitere Informationen nebst Kostenüberblick finden Sie hier: 


Share by: