Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Security-Audits richtig planen und umsetzen

Bedrohung Internet

Security-Audits richtig planen und umsetzen

21. April 2011, 10:10 Uhr | Stefan Hölzner, KPMG.
Fortsetzung des Artikels von Teil 1

Die Analyse

Am Anfang der Analyse muss daher die Identifikation der Angriffsziele innerhalb der IT stehen. Welche Daten haben für das Geschäft und die Erfüllung gesetzlicher Vorschriften vitalen Charakter? Wo innerhalb der IT residieren diese Bestände und wo genau werden sie bewegt? Danach sollte im Fall strategisch wichtiger Datenbestände bemessen werden, welche Schäden hier durch Kopieren oder Sabotage entstehen können.

Denn natürlich sollten sich die Security-Audits und später die zu treffenden Schutzmaßnahmen und -vorkehrungen gemäß des Gebots der Wirtschaftlichkeit auf die Angriffsziele konzentrieren, die für das Unternehmen die größten Spionage- und Schadensrisiken in sich bergen. Bei Vorschriften wie beispielsweise dem Bundesdatenschutzgesetz ist das anders: Hier zwingen die Gesetze dazu, alle notwendigen Maßnahmen und Vorkehrungen zu ergreifen. Nur wenn die geschäftswichtigen Angriffsziele detailliert bekannt sind, kann auf die Angriffswege und potenzielle, offene Flanken entlang dieser Wege geschlossen werden.

Letztlich muss ein komplettes Anforderungsprofil – Angriffsformen, -ziele, -folgen und -wege – erstellt werden. Nur dann können die richtigen Vorgehensweisen gezielt auswählt und angesetzt werden. Dafür stehen mit Abschluss der Security-Audits aussagekräftige Ergebnisse für alle notwendigen Schutzmaßnahmen und -vorkehrungen zur Verfügung.

Die Menschen, die im Unternehmen die IT bedienen beziehungsweise sie nutzen, sollten Teil dieser Analyse sein. Nicht nur die Technik, sondern auch die Mitarbeiter können potenzielle Einstiegspunkte für Industriespionage-Angriffe oder Attacken auf den Datenschutz sein. So könnte über Social-Hacking ein Eindringling beispielsweise vorgeben, ein rechtmäßiger Systemadministrator des Unternehmens zu sein, um sich auf diese Weise Zugang zu strategisch wichtigen oder sensiblen Datenbeständen zu verschaffen. Grundsätzlich gilt: Alle internen Beschäftigten – Mitarbeiter, Systemadministratoren, Geschäftsführung bis hin zu Praktikanten/Werksstudenten – müssen ein Grundverständnis für mehr Sicherheit und entsprechendes Handeln mitbringen. Wo im einzelnen Verständnis- und Handlungslücken durch Aufklärung gefüllt werden müssen, das kann mittels einer Angriffssimulation herausgefunden werden.

Nicht unterschätzt werden sollte die Wahl des richtigen Dienstleistungspartners für die Planungsphase und die anschließenden Security-Audits. Er sollte nicht nur umfassende Kompetenz und viel praktische Erfahrung in diesem Einsatzfeld mitbringen. Wichtig ist darüber hinaus die Vertrauenswürdigkeit des Dienstleistungspartners. Die Analyse geschäftswichtiger strategischer Daten, ihrer Lage innerhalb der IT, ihre Angriffsempfänglichkeit und die Security-Audits selbst kommen für das Unternehmen „einer Operation am offenen Herzen“ gleich. Wirtschaftsprüfungsgesellschaften bieten hier einen Vorteil: Sie sind wie Ärzte und Rechtsanwälte zur Verschwiegenheit verpflichtet.

  1. Security-Audits richtig planen und umsetzen
  2. Die Analyse
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Vertiv GmbH

Vertiv GmbH
Panduit

Panduit

Redgate Software

Redgate Software
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
nexspace data centers GmbH

nexspace data centers GmbH
Vodia Networks GmbH

Vodia Networks GmbH