Cybersicherheit

Schützen Sie sich. Nachhaltig.

Ohne IT funktioniert heute keine Organisation mehr. Stellen Sie sich vor, Ihre IT fällt für mehr als 24 Stunden aus. Daher: Wenn Sie noch keine Cyber-Sicherheitsstrategie haben, brauchen Sie eine.

Ihre IT-Abteilung kann und sollte dies nicht leisten. Cybersicherheit ist eine eigene Disziplin und sollte als solche umgesetzt werden.
Wir zeigen Ihnen einige mögliche Ansatzpunkte.

Welcher Einstieg konkret für Sie geeignet ist, hängt von Faktoren wie dem aktuellen Reifegrad Ihrer Cybersicherheit, den Rollen im Unternehmen, der Unternehmensgröße und den Compliance-Anforderungen ab.

Unternehmen betroffen von
Datendiebstahl, Spionage oder Sabotage
0%
Diebstahl sensibler Daten
0%
digitale Kommunikation ausgespäht
0%
digitalen Sabotage von Systemen oder Betriebsabläufen
0%
analoge Sabotage
0%

Quelle: Bitkom Research. Zahlen für 2021.

Ihr Start in 'mehr' Cybersicherheit

Optionen für einen Einstieg

Cyber-Sicherheits-Check
  • standardisiert
  • viele Anbieter
  • kein Betriebsrisiko
  • kaum Vorbereitung
  • 360 Grad Bewertung
  • geringer Aufwand
Informationssicherheits-managementsystem (ISMS)
  • standardisiert
  • nachhaltig
  • zertifizierbar
  • mittlerer Aufwand
Penetrationstests
  • wenig standardisiert
  • stichprobenartig
  • wird schnell aufwändig
  • kein „simulierter Hackerangriff“ (auch wenn es gerne behauptet wird)
CISO as a Service
  • analog externer Datenschutzbeauftragter
  • Hohe Expertise
  • Einarbeitung notwendig
  • Absprachen notwendig

CSC

Der Cyber-Sicherheits-Check

Ist Ihr Unternehmen sicher? Unsicher? Irgendetwas dazwischen? Der Cyber-Sicherheits-Check ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem ISACA (ein Verband von IT-Revisoren) entwickelte Methodik, um mit wenig Aufwand durch einen zertifizierten Cyber Security Practitioner diese Frage für Ihr Unternehmen bzw. Ihre Organisation zu beantworten. Zum Festpreis.

Im Gegensatz zu anderen Verfahren werden für Cyber-Sicherheits-Check keine speziell vorbereiteten Dokumente benötigt. Ihre Unternehmensgröße spielt für den Durchführungsaufwand nur eine untergeordnete Rolle. Wir haben den Cyber-Sicherheits-Check bei Unternehmen zwischen zehn und 2000 Mitarbeitern, mit einem oder mehreren Standorten, in den unterschiedlichsten Schaffensfeldern durchgeführt.

Die Rückmeldungen zu den Projekten sind durch die Bank positiv: Der Cyber-Sicherheits-Check wird von Kunden als kosteneffizient, risikofrei und sehr aussagekräftig bewertet.

Der Cyber-Sicherheits-Check kann auch regelmäßig angewendet werden. So kann einerseits auf veränderte Risiken und Bedrohungen eingegangen und andererseits der Erfolg der ergriffenen Maßnahmen überprüft werden.

Der Cyber-Sicherheits-Check ist der ideale Einstieg, sofern Ihr Unternehmen keine Anforderungen zur Einführung eines Informationssicherheitsmanagementsystems erfüllen muss.

ISMS

Ein Informationssicherheits-managementsystem

Ein Informationssicherheitsmanagementsystem (ISMS), im Regelfall nach der international anerkannten Norm ISO 27001, beschreibt eine Prozesslandschaft. Diese soll gewährleisten, dass die Informationssicherheitsziele eines Unternehmens erreicht werden. Im Gegensatz zum Cyber-Sicherheits-Check geht es also in erster Linie nicht um die Prüfung des Status Quo, sondern die nachhaltige Aufrechterhaltung eines angemessenen Schutzes. Am Ende der Einführung eines ISMS kann dieses natürlich auch zertifiziert werden. Eine Prüfung nach einem Standard wie der ISO 27001 ist ohne vorherige Einführung entsprechender Maßnahmen jedoch sinnlos.

Informationssicherheit ist unternehmensweit zu begreifen. Welche Maßnahmen für welches Unternehmen sinnvoll sind, muss individuell gelöst werden. Wie in anderen ISO Normen auch, bietet sich für die Einführung eines ISMS zunächst die Erstellung eines Managementhandbuches an. Durch unsere Methodik wird bereits bei der Erstellung dokumentiert, welche Maßnahmen im Unternehmen ergriffen worden sind und welche Maßnahmen noch fehlen. So erhält man im Rahmen eines überschaubaren Projektaufwands bereits den Beginn der notwendigen Prozessbeschreibungen, kann aber auch die offenen Maßnahmen direkt ablesen und in Umsetzungspläne überführen.

Der Gesamtaufwand für die Einführung eines ISMS hängt sehr stark von der Struktur der Organisation, den bereits eingeführten Maßnahmen und der Komplexität der Geschäftsprozesse eines Unternehmens und dessen Digitalisierungsgrad, sowie den bestehenden Sicherheitsanforderungen ab.

Häufig werden ISMS eingeführt, da Complianceanforderungen der Kunden dies erfordern. Darüber hinaus schafft ein ISMS nachhaltig Lösungen zur Einhaltung der unternehmenseigenen Sicherheitsziele. Damit ist die Einführung eines ISMS ein sinnvoller Einstieg in die Cybersicherheit Ihres Unternehmens.

Pentest

Ein Penetrationstest

Der Penetrationstests wird auch gerne als simulierter Hackerangriff bezeichnet. Dabei nimmt der Penetrationstester vorab die mit dem Kunden besprochene Sichtweise des zu simulierenden Angreifers ein. Ebenso wird die Angriffsmethodik besprochen. So erhält man unterschiedliche Prüfszenarien:

Der zu simulierende Hacker könnte mit sogenannten Phishing-E-Mails, auf denen auch die sogenannten „Chef-Angriffe“ (CEO-Fraud) basieren, angreifen. Er kann auch vor Ort angreifen, bei dem versucht wird, fremde Geräte in das Netzwerk des Kunden einzubringen, um so weitere Angriffe intern zu starten. Der Angreifer könnte sämtliche im Internet erreichbaren Dienste wie VPN, Web Mail oder den Webshop überprüfen. Es gibt also nicht „den“ Penetrationstest, sondern eine Vielzahl an Szenarien.

Als Einstieg in das Thema Cybersicherheit können wir Penetrationstests nicht empfehlen, wenngleich es sich zunächst am Spektakulärsten anhört. Einfache Prüfungen sind extrem automatisiert, haben jedoch geringe Aussagekraft. Ohne die Einschätzung und Bewertung durch Experten, können wir diese nicht empfehlen. Die Nutzbarkeit der Ergebnisse eines Penetrationstests ist weniger von den verwendeten Werkzeugen, als vielmehr von der Expertise der Penetrationstester abhängig.

Wir empfehlen daher Penetrationstests als ideale Maßnahme zur Stärkung der Cybersicherheit Ihres Unternehmens, wenn Sie bereits einen gewissen Reifegrad in Ihrer Cybersicherheit erreicht haben.

CaaS

CISO as a Service

Beim Datenschutz ist es bereits Alltag: Externe Begleitung durch Experten anstatt interner Rollenbesetzung. Der CaaS setzt auf standardisierte Prozesse, die Ihren Anforderungen entsprechend justiert werden. Der CISO as a Service ist durch die breite Expertise und den problemlosen Rückgriff auf weitere Experten, wie z. B. zertifizierte Penetrationstester beim Anbieter, internen Lösungen häufig überlegen.