zurück zur Übersicht

European Security Maturity Insight Report – Wie schneiden eigentlich die anderen ab?

 

Es war einmal vor noch nicht allzu langer Zeit, da hatte Franz aus der IT alle elektronischen Geräte der Firma fest im Griff – oder zumindest hatte er eine reelle Chance dazu.

Egal, was der Mitarbeiter wollte, welche Software, welche Hardware, welchen Zugang, er musste an Franz vorbei.

Doch die guten (oder weniger guten) alten Zeiten sind vorbei. Jetzt bringen Mitarbeiter ihr eigenes Gerät mit in die Firma und hängen es “mal kurz” ins Gäste-W-LAN. USB-Sticks wandern von PC zu PC, Firmen-Laptops landen abends mit auf dem Sofa und werden auch in der Bahn noch schnell genutzt, um private Mails abzurufen. Und Franz hat alle Hände voll zu tun, um diesen Haufen Flöhe zusammenzuhalten.

IT auf verlorenem Posten?

Wie viele Laptops sind von welcher Marke und mit welchem Betriebssystem eigentlich gerade im Umlauf? Sind alle Windows-Systeme auf dem neuesten Stand? Und kümmern sich die Mitarbeiter auch wirklich darum, Flash zu deaktivieren, bis die neueste Sicherheitslücke geschlossen ist? Welches Gerät darf sich wirklich von Malaysia aus ins Firmennetz einwählen? Wer hat diese seltsame Firewall-Regel geschrieben und wann und warum? Was ist mit dem Rechner aus der Personalabteilung, der seltsame Dinge tut, seit der letzte Schwung Bewerbungen eingegangen ist?

Bei der Arbeitslast hat das Modell IT als One-Man-Show längst ausgedient. Das Bewusstsein dafür, dass IT-Sicherheit so sensibel ist, dass dafür speziell geschulte (und noch nicht mit anderer Arbeit überfrachtete) Mitarbeiter benötigt werden, wächst stetig. Aber reicht das auch? Bekommen diese Mitarbeiter wirklich alles, was sie brauchen, um das Unternehmen so gut es geht zu schützen? Berücksichtigt irgendjemand bei all den Vorkommnissen im eigenen Netzwerk auch noch, was bei den Nachbarn geschieht? Es muss ja nicht gleich eine ISO-Zertifizierung sein, aber es geht schließlich um die Sicherheit des eigenen Ökosystems! Und dann steht schließlich auch noch die Europäische Datenschutzgrundverordnung (DSGVO oder GDPR) vor der Tür. Reichen die Maßnahmen auch für die Zeit nach dem 25. Mai 2018?

Wer nicht fragt, bleibt verwundbar

Hier kommen Security Maturity Assessments (SMA) ins Spiel. Anhand eines Fragenkataloges wird der Reifegrad eines Unternehmens im Bezug auf IT-Sicherheit ermittelt. Meistens auf Basis von Interviews durchgeführt, bietet ein SMA einen wertvollen Einblick in den Gesundheitszustand der eigenen IT-Landschaft. Ein paar einfache Beispielfragen:

  • Gibt es auf Management-Ebene Personal mit Expertise und Verantwortung für IT-Sicherheit?
  • Sind sensible Daten verschlüsselt abgelegt?
  • Gibt es Richtlinien, um angemessenes Know-How der Mitarbeiter in IT-Sicherheit zu gewährleisten?
  • Werden sicherheitskritische Logs in Echtzeit gesammelt und ausgewertet?
  • Berücksichtigen neue IT-Projekte auch die IT-Sicherheit?
  • Gibt es einen gelebten Vulnerability-Management-Prozess?
  • Sind alle Server mit angemessenem Malwareschutz ausgestattet?

Dieser kurze Einblick zeigt es schon deutlich: IT-Sicherheit ist nicht ausschließlich eine Frage der Technologie. Im Gegenteil. Die Qualifikation der Mitarbeiter ist ebenso essenziell wie festgelegte Prozesse und Verantwortlichkeiten. Genauso kann die Sicherheit eines Unternehmens nicht nur an Präventivmaßnahmen gemessen werden. Nicht jeder Angriff läuft den Schutzmechanismen ins Netz. Wenn doch einmal ein Angreifer durchschlüpft, kann er dann erkannt werden? Und wie sieht die Reaktion darauf aus?

Ein SMA ist der initiale Ansatzpunkt, um strategische Entscheidungen zu treffen wenn es um IT-Security geht.

European Security Maturity Insight Report: Der Blick über den Gartenzaun

Die Fragen eines SMAs betreffen nicht nur einzelne Unternehmen. Es ist durchaus wichtig, wie es überregional um die Cybersicherheit steht, allein schon um abzuschätzen, wie weit die Konkurrenz schon ist, und um wichtige Trends nicht zu verschlafen. Auch für das Management ist dieser Einblick von Bedeutung, denn ein hoher Reifegrad ist ein echter Wettbewerbsvorteil und kann das schlagende Argument sein, wenn verlässliche Handelspartner gesucht werden.

SecureLink, der größte unabhängige Securitydienstleister Europas, hat jetzt einen Security Maturity Insight Report  veröffentlicht. Darin stecken Fragen und Auswertungen durchgeführter Security Maturity Assessments seit Oktober 2016. Eine ideale Gelegenheit, einmal nach rechts und links zu schauen und sich selbst ein wenig zu vergleichen!

Ohne allzu viel vorzugreifen, hier ein paar Erkenntnisse:

  • geeignete IT-Sicherheitsexperten zu finden, ist nach wie vor eins der größten Probleme der befragten Organisationen
  • 62% der getesteten Organisationen haben keine Security Operations-Kapazitäten, sammeln also möglicherweise Logs, die dann jedoch nicht ausgewertet werden
  • 10% der Teilnehmer benutzen Technologie zur Unterstützung des Vulnerability-Management-Prozesses
  • 25% der befragten Unternehmen haben keine explizit mit Incident Response beauftragten Mitarbeiter
  • 11% der getesteten Organisationen geben an, alle mobilen Endgeräte, die im Netzwerk auftauchen, selbst zu managen

Außerdem sind die befragten Unternehmen nach Einsatzgebiet aufgeschlüsselt. Schauen Sie rein und nehmen Sie sich die Zeit, einmal über Ihren eigenen Stand nachzudenken. Schneiden Sie in einigen Kategorien besser ab als vergleichbare Unternehmen? Oder möglicherweise sogar schlechter? Vielleicht sind Sie sich ja sicher, dass ein eigenes Security Maturity Assessment Ihnen weiterhelfen würde? Dann finden Sie hier das Datasheet mit allen wichtigen Informationen.

Aber auch wenn Sie Ihre eigene Position schon kennen: Ein guter Punktestand verhindert natürlich keinen gezielten Angriff auf Ihre Infrastruktur. Er gibt Ihnen aber auf jeden Fall einen guten Hinweis auf die Disziplinen, in denen Sie (noch) besonders verwundbar sind.

Der Security Maturity Insight Report steht kostenlos zum Download unter https://info.it-cube.net/de/securitymaturityinsightreport!

 


Bild: ©iStock/mediaphotos/471828822

Schreibe einen Kommentar