Bedrohung Internet
Statement: Security-Audits richtig planen und umsetzen
Die Bedrohung für Unternehmen aus dem Internet wächst. Nicht nur die Zahl der Attacken steigt. Auch die Raffinesse, mit der solche Angriffe vorgetragen werden, nimmt stetig zu. Security-Audits, etwa in Form von Penetration-Tests, helfen den Unternehmen, sich besser auf die massive Bedrohungslage aus dem Internet einzustellen und geeignete Schutzvorkehrungen zu treffen.
Doch wie solche Security-Audits planen und durchführen? Die Qualität der externen Dienstleistungen und damit die Werthaltigkeit der Ergebnisse driften in diesem Einsatzfeld weit auseinander. Eines steht außer Frage: Eine Vorgehensweise, die vorrangig auf den Einsatz automatisierter Tools zur Ergebnisgenerierung abhebt, hilft den Unternehmen nicht weiter. Weil die Attacken aus dem Internet immer ausgeklügelter vorgetragen werden, muss auch für die Planung und Durchführung von Security-Audits eine klug gewichtete Kombination aus technischen Fähigkeiten, Erfahrung und leistungsfähigen Tools bestimmend sein. Die Auswahl der Werkzeuge für Security-Audits steht dabei erst nach Abschluss einer sorgfältigen Planungsphase an und ist nicht qualitätsentscheidend.
In der Planungsphase müssen vorerst die Angriffsformen, -ziele und -wege identifiziert sowie die möglichen Folgen für das Unternehmen qualifiziert und quantifiziert werden. Als für das Geschäft gefährlichste Angriffsform kristallisiert sich mit Abstand die Indus-triespionage heraus. Ziel solcher Attacken sind strategisch wichtige Unternehmensinformationen, über die sich die Angreifer
beziehungsweise deren Auftraggeber erhebliche Wettbewerbs- und Gewinnvorteile verschaffen können. Werden solche Informationen abgeschöpft oder sabotiert, kann nicht nur das Geschäft, sondern sogar die Geschäftsgrundlage betroffen sein. Daneben geraten deutsche Unternehmen aus dem Blickwinkel des Datenschutzes zunehmend unter Druck, mehr für die Absicherung sensibler Personendaten zu tun. Andernfalls drohen, sobald die Medien Verstöße gegen das Bundesdatenschutzgesetz publik machen, Reputations- und Wettbewerbsverluste sowie Strafzahlungen. Sie können sich ebenfalls in hohen finanziellen und geschäftlichen Schäden für das Unternehmen auswirken.
Am Anfang der Analyse muss daher die Identifikation der Angriffsziele innerhalb der IT stehen. Welche Daten haben für das Geschäft und die Erfüllung gesetzlicher Vorschriften vitalen Charakter? Wo innerhalb der IT residieren diese Bestände und wo genau werden sie bewegt? Danach sollte im Fall strategisch wichtiger Datenbestände bemessen werden, welche Schäden hier durch Kopieren oder Sabotage entstehen können. Denn natürlich sollten sich die Security-Audits und später die zu treffenden Schutzmaßnahmen und -vorkehrungen gemäß des Gebots der Wirtschaftlichkeit auf die Angriffsziele konzentrieren, die für das Unternehmen die größten Spionage- und Schadensrisiken in sich bergen. Bei Vorschriften wie beispielsweise dem Bundesdatenschutzgesetz ist das anders: Hier zwingen die Gesetze dazu, alle notwendigen Maßnahmen und Vorkehrungen zu ergreifen. Nur wenn die geschäftswichtigen Angriffsziele detailliert bekannt sind, kann auf die Angriffswege und potenzielle, offene Flanken entlang dieser Wege geschlossen werden. Letztlich muss ein komplettes Anforderungsprofil – Angriffsformen, -ziele, -folgen und -wege – erstellt werden. Nur dann können die richtigen Vorgehensweisen gezielt auswählt und angesetzt werden. Dafür stehen mit Abschluss der Security-Audits aussagekräftige Ergebnisse für alle notwendigen Schutzmaßnahmen und -vorkehrungen zur Verfügung.
- Statement: Security-Audits richtig planen und umsetzen
- Mitarbeiter und Dienstleister mit einbeziehen
