Standortbestimmung IT-Security: Wo steht mein Unternehmen beim Thema Cybersicherheit?

Stecken auch Sie im IT-Dschungel fest? Schnell verlieren Organisationen den Überblick und die IT-Sicherheit bleibt auf der Strecke. Ein Security Workshop bringt mit einer ganzheitlichen Analyse endlich Licht ins Dunkel. Dank des unabhängigen Expertenblicks von außen wissen Betriebe endlich, wo sie stehen und wo genau nachzubessern ist.

Dies ist der Auftakt-Artikel zu unserer „Security Workshop“-Serie, in der wir beleuchten, welche Fragen Sie sich stellen müssen, um das Sicherheitslevel Ihres Betriebs zu ermitteln.

Die Gefahren durch Cyberangriffe sind enorm gewachsen, kein Betrieb ist mehr vor den Hackerbanden sicher. Das Problem: Die Bedeutung von Cyber Security ist in den Chefetagen der Unternehmen zwar mittlerweile angekommen, viele tun sich aber schwer, die individuellen Schwachstellen Ihrer Organisation zu erkennen. Die historisch gewachsene IT-Infrastruktur und die allgemeine Betriebsblindheit fordert ihren Tribut: Die wenigsten Betriebe können genau sagen, wo sie beim Thema Cybersicherheit stehen. Interne Tests oder Penetrationstest helfen dann auch nicht weiter.

Was es braucht, ist der Blick aufs Ganze, eine gründliche Komplett-Analyse, in der grundsätzliche Fragen gestellt werden: Wie einfach wäre es, meine Produktion lahmzulegen oder Daten abzugreifen? Und sind meine Kronjuwelen, ist mein „Coca-Cola-Rezept“, wirklich ausreichend geschützt?

Der Weg heraus aus dem IT-Dickicht

In einem Security Workshop gehen Organisationen diesen Weg hin zu mehr Transparenz und Sicherheit. Mit erfahrenen Consultants gehen wir gemeinsam auf eine Expedition und widmen uns den zentralen Cyber Security Bereichen. Wir steigen mit unseren Kunden dann sozusagen in ein Flugzeug, um die richtige Höhe zu erreichen. Dann ist der Blick frei auf das komplette Unternehmen und alle kritische Baustellen treten zutage, die wir entweder gleich lösen können, oder auf den abschließenden Maßnahmenplan bringen.

Hören Sie im Kompakt-Interview alles Wesentliche zum Thema Security Workshops:

 

Der ganzheitliche Blick auf das komplette Unternehmen

Auch wenn jede Organisation ihre Besonderheiten und branchenspezifischen Sicherheitsstandards mitbringt: Grundsätzlich muss jeder Betrieb zunächst einmal auf einem soliden IT-Security-Fundament aus bewährten Best Practice-Maßnahmen stehen, die von technischen Maßnahmen wie einer Firewall-Konfiguration bis hin zu organisatorischen Maßnahmen wie einem Notfallplan oder Awareness-Maßnahmen reichen.

Ein Security-Workshop umfasst folgende Bereiche:

  • Kritische Systeme
  • Netzwerk und Perimeter (Topologie, aktive Komponenten, interne Zugänge, exponierte Dienste, externe Zugänge, Webproxy, Mailproxy)
  • Infrastruktur (Virtualisierung, Windows Active Directory, Groupware, Patchmanagement, Fileserver)
  • Geräte (Server, Clients, Smartphones, Drucker und Multifunktionsgeräte, Industrielle Steuerungsanlagen, weitere Geräte mit Netzwerkzugang)
  • Verfügbarkeit und Wiederherstellung (Überwachung, Logfiles, Notfallplan, Verfügbarkeit, Datensicherung)
  • Organisation der Informationssicherheit (Dokumentation, Richtlinien, ISMS, Risikomanagement)
  • Bewertung ganzheitlicher Lösungsansätze für Zwei-Faktor-Authentifizierung
  • Physische Sicherheit (Zutrittsschutz, Schutz vor Umwelteinflüssen)

Beispiel Spannungsfeld IT-/OT-Security in der Produktion

Jede Branche hat zudem Ihre individuellen Bedürfnisse. Nehmen wir etwa das produzierende Gewerbe, das neben der “Office”-IT vorwiegend OT (Operational Technology) betreibt. Diese Produktionssysteme sind in den meisten Fällen historisch gewachsen und entsprechend anfällig. Hinzu kommt: nicht alle Systeme sind isoliert, sie brauchen oft die Kommunikation zum Rest der Welt. Der schützende “Air Gap” verschwindet mehr und mehr, die voll vernetzte Smart Factory in der Industrie 4.0 steht in den Startlöchern.

Unsere Kunden aus der produzierenden Industrie haben darüber hinaus mit einem Spannungsfeld zu kämpfen. Das wichtigste Prinzip für das Geschäft: die Produktion muss laufen. Ohne Einschränkungen, ohne Pausen. Gleichzeitig aber erfordern Sicherheits-Patches für zeitweise Unterbrechungen im Betriebsablauf. Das muss eine ganzheitliche Security Strategie berücksichtigen.

Wir stellen in den Workshops die IT-/OT-Systeme auf den Prüfstand und stellen den Verantwortlichen die notwendigen Fragen wie: Sind die Netzwerke segmentiert und die Zugriffsrechte richtig vergeben? Hat etwa ein SAP-System Zugriffe auf die Produktionsmaschine?

Während unserer Security Workshops entdecken wir oft Dinge, die selbst der IT-Leitung nicht bewusst waren. Ein Glücksfall für alle Unternehmen, wenn wir gemeinsam diese Entdeckungen machen, bevor böswillige Akteure diese Lücken ausnutzen können.

Anzeige-kostenloser-Security-Check

 

Die Belohnung: klarer Maßnahmenplan und Quick Wins

Nach Abschluss des Audits erhalten die Teilnehmer einen ausführlichen Bericht mit Informationen über Abweichungen zwischen Implementation und Dokumentation, bestehende Risiken und unseren Verbesserungsvorschlägen.

Unternehmen wissen dann, wo Ihre Top-Risiken liegen und welche “Quick Wins” sie aufgrund schon vorhandener Lösungen kurzfristig erreichen können. Ebenso erfahren Betriebe, welche Maßnahmen auf die Roadmap gesetzt müssen oder welche Unternehmensprozesse nachgebessert werden müssen.

Kurzum: Wo vorher nur eine Ahnung von Risiken bestand, können Organisationen mit einfachen Maßnahmen schnell auf ein deutlich höheres Sicherheitsniveau gelangen.

Jetzt wissen Sie, was Sie von einem Security Workshop erwarten können. In den nächsten Folgen gehen wir auf die einzelnen Bereiche ein und berichten aus vielen Jahren Erfahrung. Bleiben Sie dran.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *