Ohne IT funktioniert heute keine Organisation mehr. Stellen Sie sich vor, Ihre IT fällt für mehr als 24 Stunden aus. Daher: Wenn Sie noch keine Cyber-Sicherheitsstrategie haben, brauchen Sie eine.
Ihre IT-Abteilung kann und sollte dies nicht leisten. Cybersicherheit ist eine eigene Disziplin und sollte als solche umgesetzt werden.
Wir zeigen Ihnen einige mögliche Ansatzpunkte.
Welcher Einstieg konkret für Sie geeignet ist, hängt von Faktoren wie dem aktuellen Reifegrad Ihrer Cybersicherheit, den Rollen im Unternehmen, der Unternehmensgröße und den Compliance-Anforderungen ab.
Quelle: Bitkom Research. Zahlen für 2021.
Cyber-Sicherheits-Check
- standardisiert
- viele Anbieter
- kein Betriebsrisiko
- kaum Vorbereitung
- 360 Grad Bewertung
- geringer Aufwand
Informationssicherheits-managementsystem (ISMS)
- standardisiert
- nachhaltig
- zertifizierbar
- mittlerer Aufwand
Penetrationstests
- wenig standardisiert
- stichprobenartig
- wird schnell aufwändig
- kein „simulierter Hackerangriff“ (auch wenn es gerne behauptet wird)
CISO as a Service
- analog externer Datenschutzbeauftragter
- Hohe Expertise
- Einarbeitung notwendig
- Absprachen notwendig
CSC
Der Cyber-Sicherheits-Check
Ist Ihr Unternehmen sicher? Unsicher? Irgendetwas dazwischen? Der Cyber-Sicherheits-Check ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem ISACA (ein Verband von IT-Revisoren) entwickelte Methodik, um mit wenig Aufwand durch einen zertifizierten Cyber Security Practitioner diese Frage für Ihr Unternehmen bzw. Ihre Organisation zu beantworten. Zum Festpreis.
Im Gegensatz zu anderen Verfahren werden für Cyber-Sicherheits-Check keine speziell vorbereiteten Dokumente benötigt. Ihre Unternehmensgröße spielt für den Durchführungsaufwand nur eine untergeordnete Rolle. Wir haben den Cyber-Sicherheits-Check bei Unternehmen zwischen zehn und 2000 Mitarbeitern, mit einem oder mehreren Standorten, in den unterschiedlichsten Schaffensfeldern durchgeführt.
Die Rückmeldungen zu den Projekten sind durch die Bank positiv: Der Cyber-Sicherheits-Check wird von Kunden als kosteneffizient, risikofrei und sehr aussagekräftig bewertet.
Der Cyber-Sicherheits-Check kann auch regelmäßig angewendet werden. So kann einerseits auf veränderte Risiken und Bedrohungen eingegangen und andererseits der Erfolg der ergriffenen Maßnahmen überprüft werden.
Der Cyber-Sicherheits-Check ist der ideale Einstieg, sofern Ihr Unternehmen keine Anforderungen zur Einführung eines Informationssicherheitsmanagementsystems erfüllen muss.
Pentest
Ein Penetrationstest
Der Penetrationstests wird auch gerne als simulierter Hackerangriff bezeichnet. Dabei nimmt der Penetrationstester vorab die mit dem Kunden besprochene Sichtweise des zu simulierenden Angreifers ein. Ebenso wird die Angriffsmethodik besprochen. So erhält man unterschiedliche Prüfszenarien:
Der zu simulierende Hacker könnte mit sogenannten Phishing-E-Mails, auf denen auch die sogenannten „Chef-Angriffe“ (CEO-Fraud) basieren, angreifen. Er kann auch vor Ort angreifen, bei dem versucht wird, fremde Geräte in das Netzwerk des Kunden einzubringen, um so weitere Angriffe intern zu starten. Der Angreifer könnte sämtliche im Internet erreichbaren Dienste wie VPN, Web Mail oder den Webshop überprüfen. Es gibt also nicht „den“ Penetrationstest, sondern eine Vielzahl an Szenarien.
Als Einstieg in das Thema Cybersicherheit können wir Penetrationstests nicht empfehlen, wenngleich es sich zunächst am Spektakulärsten anhört. Einfache Prüfungen sind extrem automatisiert, haben jedoch geringe Aussagekraft. Ohne die Einschätzung und Bewertung durch Experten, können wir diese nicht empfehlen. Die Nutzbarkeit der Ergebnisse eines Penetrationstests ist weniger von den verwendeten Werkzeugen, als vielmehr von der Expertise der Penetrationstester abhängig.
Wir empfehlen daher Penetrationstests als ideale Maßnahme zur Stärkung der Cybersicherheit Ihres Unternehmens, wenn Sie bereits einen gewissen Reifegrad in Ihrer Cybersicherheit erreicht haben.