360-Grad-Blick auf die IT-Security
Schritt für Schritt zur ganzheitlichen Security-Strategie
Fortsetzung des Artikels von Teil 1
Strategische Herangehensweise
Analyse des Ist-Bestandes: Im Rahmen einer umfassenden Schutzbedarfsanalyse wird im ersten Schritt ermittelt, welches Sicherheitsniveau die vorhanden Daten benötigen. Dies umfasst eine genaue Analyse, welche Daten und welche Assets ein Unternehmen besitzt. Anhand dieses Ist-Zustandes haben Firmen und auch entsprechende Security-Dienstleister einen Anhaltspunkt, mit welchen Herausforderungen sie konfrontiert sind. Häufig setzen Unternehmen unzählige Sicherheitslösungen ein, die unzureichend konfiguriert beziehungswesie gepflegt sind. Manchmal funktionieren sie nicht einmal oder die aufgezeigten Events oder Alerts werden nicht weiter beachtet. Darüber hinaus wird durch Penetrationstests genau überprüft, wie sicher die bestehenden Schutzmechanismen sind und wo sich Schwachstellen oder Sicherheitslücken befinden. Neben der digitalen Sicherheit sollten Unternehmen die physische Sicherheit genau analysieren und entsprechende Schutzmaßnahmen implementieren wie beispielsweise Video-Security-Lösungen.
Awareness schaffen: Da es längst nicht mehr möglich ist, alle Risiken mit Technologien abzufangen, müssen auch die Menschen im Unternehmen einbezogen werden, um die notwendige Sicherheit zu gewährleisten. Denn noch immer entstehen viele Schäden, weil Mitarbeiter aus Versehen eine Spam-Mail öffnen oder einen Malware-Link anklicken. Deshalb sollte das Bewusstsein bei Mitarbeitern mit entsprechenden Schulungen gestärkt werden. Dazu gehört es auch, eine gewisse Sensibilität für den Umgang mit Passwörtern zu schaffen.
Ablaufplan erstellen: Anhand dieser umfassenden Analyse ist eine Roadmap zu entwickeln, die schrittweise mit geeigneten Technologien umgesetzt wird.
Notfallplan einführen: Eine strategische Herangehensweise umfasst zudem die Erstellung eines Incident-Prozesses. Dieser gibt genau vor, wie sich Mitarbeiter bei einem bestimmten Sicherheitsvorfall verhalten müssen und wer zu benachrichtigen ist.
360-Grad-Sicherheitskonzept
Mit einem 360-Grad-Sicherheitskonzept lassen sich alle sensiblen Bereiche schützen – von der Infrastruktur über die Clients bis hin zum Netzwerk und der Videoüberwachung. Gleichzeitig muss auch der strategische Ansatz 360 Grad umfassen. Dabei wird mit der Ist-Analyse begonnen und daraus ein Soll-Zustand beziehungsweise ein Maßnahmenkatalog abgeleitet. Anschließend sind die Maßnahmen umzusetzen und die Systeme zu härten. Letztendlich müssen alle Lösungen mit Penetrationstests auf Herz und Nieren geprüft werden. Denn nur so lässt sich feststellen, ob die eingesetzten Systeme den Gefahren von Cyber-Kriminellen auch standhalten.
Dieser nachhaltige Prozess wiederholt sich permanent. Denn die IT-Sicherheitsumgebung von Unternehmen muss nicht nur ständig neuen Angriffen von außen standhalten, auch innerhalb der Firma finden kontinuierlich Veränderungen statt, beispielsweise durch neu eingesetzte Hardwaresysteme oder Softwareupdates. Solche Änderungen an Systemen und Prozessen machen es erforderlich, den Gesamtzustand immer wieder neu zu bewerten und die notwendigen Maßnahmen einzuleiten. Dies gilt selbstverständlich auch dann, wenn ein Unternehmen Opfer eines Cyberangriffs geworden ist. Aber auch ohne aktuellen Anlass sollte im Rahmen des 360-Grad-Ansatzes eine regelmäßige Analyse stattfinden.
Effektive Steigerung der Sicherheit
Durch diesen kontinuierlichen 360-Grad-Blick auf die IT schaffen Unternehmen Transparenz. Nur so können sie sowohl schützenswerte Systeme, Sicherheitslücken als auch Vorfälle überhaupt entdecken, die sonst leicht übersehen werden. Aufgrund der höheren Transparenz verkürzt sich zudem die Reaktionszeit, wodurch das Sicherheitsniveau steigt und die Gefahr für einen möglichen Schaden gesenkt wird. Das bedeutet letztendlich eine effektive Steigerung der Sicherheit mit den passenden Maßnahmen. Gleichzeitig sparen Firmen dank dieses Beratungsansatzes nicht nur Ressourcen, sondern auch Kosten, da sie nur noch die Lösungen einsetzen, die sie tatsächlich benötigen.
Florian Goldenstein ist Head of IT-Security bei Konica Minolta IT Solutions
Philipp Zeh ist Leiter Competence Center & Professional Services IT-Security bei Konica Minolta IT Solutions
- Schritt für Schritt zur ganzheitlichen Security-Strategie
- Strategische Herangehensweise
Lesen Sie mehr zum Thema
