Beim Thema IT und Sicherheit besitzen nicht wenige Unternehmen einen Tunnelblick. Dieser Blick fokussiert sich ausschließlich auf das Thema Technik. Geschäftsführung und CIOs sind überzeugt: Wenn unsere IT-Landschaft technisch auf einem aktuellen Stand ist und unser IT-System ein sinnvolles IT-Security-Niveau aufweist, ist alles in Ordnung.
Tatsächlich lässt man in dieser Gleichung einen wichtigen Aspekt außer Acht. Ein hohes technisches Sicherheitsniveau ist zwar Pflicht für jedes Unternehmen. Doch zur IT-Sicherheit gehört etwas, das man auch den Blind Spot der IT-Security nennen könnte: das sicherheitsrelevante Verhalten von Mitarbeitenden und die komplexen organisatorischen Prozesse, die von IT gestützt werden. Hier greift eine organisatorische Schwachstellenanalyse.
Fragen Sie sich selbst: Führen Sie ein schriftlich festgehaltenes Regelwerk, in dem Sie den Mitarbeitenden aller Abteilungen vorgeben, wie sie sich im Umgang mit Browser, Clients, Servern, E-Mails und Anhängen, USB-Sticks, dem Hardware-Arbeitsplatz oder der An- und Abmeldung in Ihrem IT-System zu verhalten haben? Und wenn ja: Sind diese Vorgaben eindeutig, umfassend genug, verständlich und werden sie regelmäßig überprüft?
Wenn Sie nicht mit einem schnellen und klaren „Ja!“ antworten können, dann besitzt auch Ihr Unternehmen diesen Blind Spot – und über kurz oder lang wird er zu einem akuten Sicherheits-Vorfall werden.
Natürlich, die Prozesse in einem Unternehmen sind von Natur aus komplex, und der Einblick, wo es hier Schwachstellen geben könnte, ist schwierig. Doch mit dem richtigen Vorgehen und den richtigen Werkzeugen gelingt es, einen deutlich klareren Blick auf die Situation zu erhalten und entsprechend geeignete Maßnahmen zu entwickeln. GISA kann hier unterstützen: Mit einem Service, der die typischen Schwachstellen in einer Organisation beleuchtet und dabei auch in Nischen und detaillierten Stolperfallen aufdeckt.
Bei der organisatorischen Schwachstellenanalyse schauen die Expertinnen und Experten von GISA externe Rahmenbedingungen und Dokumente genau an, die das Management, die Arbeit mit der IT und die Speicherung von Daten betreffen. Dazu zählen Aspekte, die jeder IT-Abteilung ein Begriff sein dürften: das Informationssicherheits-Managementsystem ISMS, der Datenschutz, die Informationssicherheit sowie die physische und umgebungsbezogene Sicherheit.
Liegen die Ergebnisse in Form eines Ergebnisberichts vor, entwickeln die Sicherheitsexpertinnen und -experten von GISA konkrete Maßnahmenvorschläge, um die Schwachstellen besser in den Griff zu bekommen. Von der Definition sicherer Abläufe über die richtige Reaktion bei Angriffen bis zur klaren Rollenverteilung, wer im Normal- und Ernstfall für welche Sicherheitsroutine verantwortlich ist. Auch eine stichfeste Prozess- und Sicherheitsdokumentation ist häufig Teil eines sinnvollen Maßnahmenpakets genauso wie die Änderung von Serviceverträgen, um beispielsweise eine 24-Stunden-Verfügbarkeit zu etablieren.
Mit internen Ressourcen sind solche Analysen und die Entwicklung sinnvoller Maßnahmen häufig kaum machbar. Die eigene IT-Abteilung ist zu stark in das Tagesgeschäft eingebunden, so dass sie diesen Bereich weniger im Blick hat. Oder eine Firma ist so schnell gewachsen, dass sie ihre organisatorischen Prozesse aus Sicherheitssicht nicht nachziehen konnte. Startups sind dafür klassische Beispiele, aber auch mittelständische Unternehmen, bei denen zwar 350 Angestellte arbeiten, aber nur zwei davon in der IT-Abteilung.
Sie überlegen, ob eine professionelle organisatorische Schwachstellenanalyse auch für Ihr Unternehmen infrage kommt? Erfahren Sie es hier!
Um ihre Mitarbeiter vor einer Ansteckung mit dem Coronavirus zu schützen, sind in den vergangenen Wochen viele Unternehmen dazu übergegangen, die Belegschaft ins Homeoffice zu schicken. Diese Entscheidung dient vorrangig dem Wohl der Mitarbeiter und soll sicherstellen, dass diese weiterhin einsatzbereit und arbeitsfähig sind. Auf...
Nicht nur Privatpersonen sind in den vergangenen Monaten Opfer von Hacker-Angriffen geworden. Laut einer aktuellen Interpol-Studie nutzten Cyberkriminelle während der Corona-Pandemie die durch Homeoffice und Remote-Arbeit entstandenen Sicherheitslücken, um verstärkt auch öffentliche Verwaltungen und Institutionen des Gesundheitssektors anzugreifen. In diesem Zusammenhang sei ein großer Anstieg...
Hacker scannen die Schwachstellen von IT-Systemen automatisch mit Hilfe von Bots. Die Verteidigungsstrategie gegen solch automatische Angriffsprogramme heißt Security Automation. Hacker lieben offene Türen – bildlich und wortwörtlich gesprochen. Und von diesen gibt es in Unternehmen meistens mehr, als es Entscheider gern wahrhaben möchten. Betreiben...
Gefühlt im Wochentakt liest man von neuen Cyber-Angriffen, bei denen Passwörter gehackt worden sind. Angriff auf Spotify: 300.000 Passwörter gestohlen. Zoom: 500.000 Account-Daten im Darknet aufgetaucht. Hack bei LinkedIn: 117 Millionen Datensätze in unbekannter Hand. Problematisch sind dabei zwei Dinge: Zum einen besitzt ein Hacker...
Malware kann jeden treffen – und längst nicht nur Privatpersonen. Auch der Landkreis Anhalt-Bitterfeld geriet im Juli 2021 massiv unter Druck. Hacker waren über einen Trojaner in das IT-System der Verwaltung eingedrungen, hatten es mit sogenannter Ransomware infiziert und damit die dortigen Daten verschlüsselt. Die...