Die Sicherheit der eigenen IT-Infrastruktur einzuschätzen, ist für Unternehmen nicht immer einfach, wird aber in Zeiten steigender Cyberkriminalität immer wichtiger. Um die digitalen Informationssysteme regelmäßig und sachgerecht zu überprüfen, ist es sinnvoll, die Dienste eines professionellen und erfahrenen ICT-Dienstleisters in Anspruch zu nehmen. T-Systems bietet dafür ein umfassendes Programm an. Bei solchen Sicherheitstests führen Experten eine Bestandsaufnahme durch und analysieren systematisch den aktuellen Sicherheitsstand des IT-Systems. Herwig Köck, Head of Security Professional Service bei T-Systems, erklärt im Interview die Vorteile eines Security Readiness Assessments.
Der Bereich Security ist in den letzten Jahren immer wichtiger geworden. Grundsätzlich ist das Sicherheitsniveau in Österreich relativ hoch und auch die Awareness bei den Mitarbeitern und Verantwortlichen steigt. Dennoch gibt es noch große Unterschiede und sogar bei größeren Firmen sehen wir manchmal, dass sogar grundlegende Dinge noch nicht umgesetzt wurden. Seitens kleinerer oder mittlerer Unternehmen hören wir oft: „Ich bin ja gar nicht das Ziel dieser Angriffe“, was sich aber oft als Trugschluss erweist.
Es muss kein gezielter Angriff stattfinden, um Opfer einer breit angelegten Angriffswelle zu werden. Leider gibt es die eine umfassende Securitybox nicht, die man im Unternehmen implementiert und alles ist gut. Was wir auch oft feststellen ist, dass zwar im technischen Bereich das Niveau sehr hoch ist, der organisatorische Bereich jedoch grob vernachlässigt wird.
Der IT-Leiter ist meist dafür verantwortlich, dass seine IT sauber läuft, aber auf HR-Prozesse wird oft vergessen. Denn ob ein Konto zu sperren ist, wenn ein Mitarbeiter das Unternehmen verlassen hat, oder die Berechtigungen angepasst werden müssen, wenn ein Mitarbeiter die Abteilung wechselt, liegt oft nicht in seinem Verantwortungsbereich. Mit einem Security Readiness Assessment erkennt man solche Lücken schnell und kann sie schließen.
Vor allem dann, wenn ich als Unternehmen beginne, mich mit Security zu beschäftigen, aber noch nicht weiß, wo ich stehe. Dann empfehlen wir mit einem Security Readiness Assessment zu beginnen, um einen Überblick über den Status quo der Security im Unternehmen zu bekommen. Wenn es keinen eigenen Security-Verantwortlichen in der Firma gibt, dann ist der Bereich meistens in der IT angesiedelt und dann werden, wie schon erwähnt, organisatorische Themen oft ausgelassen.
Wir kommen in das Unternehmen und machen Workshops und führen Interviews mit den Mitarbeitern durch. Wir werten diese in Folge aus und erstellen einen Report. Daraus abgeleitet, empfehlen wir konkrete Maßnahmen und bieten auch tiefergehendere Audits an. Wer wissen will, wie stabil und sicher seine Systeme sind, muss letztlich auch die Methoden der Angreifer anwenden.
Deshalb führen wir im Kundenauftrag mit Penetrationstests gezielte Cyber-Angriffe durch. So werden Schwachstellen objektiv identifiziert und adäquate Gegenmaßnahmen abgeleitet. Wurden bereits selbst Tests und Prüfungen durchgeführt, baut T-Systems natürlich auf diesen Ergebnissen auf. Bei den Tests selbst wird eine Kombination aus automatisierten Werkzeugen und manuellen Tests eingesetzt, um ein Optimum an Effizienz und Aussagekraft zu erzielen. Dabei orientiert sich T-Systems an aktuellen Best Practices für Penetrationstest, womit man automatisch vom aktuellen Stand der Technik und Innovationen profitiert.
Ein weiterer Bereich ist das Thema Social Engineering, wo organisatorische Maßnahmen ausgetestet werden. Wir bieten auch einen Vulnerability Scan an. Hier laufen Programme, in denen große Datenbanken mit bekannten Sicherheitslücken hinterlegt sind, regelmäßig über die IT-Systeme und tasten diese nach Sicherheitslücken ab. Wenn zum Beispiel Microsoft einen wichtigen Patch rausgebracht hat und der nicht upgedatet wurde, poppt ein Alarm auf.
Kunden sind teilweise überrascht, welche Informationen über sie im Internet zu finden sind, die einmal durch eine Lücke gerutscht sind. Oft sind das auch sensible Daten. Ein anderes Beispiel sind auch außen angebrachte, aber im Firmennetzwerk integrierte Überwachungskameras. Hier reicht es, bereits den Netzwerkverkehr von dort abzuzweigen, um Zugriff auf das Netzwerk zu bekommen. So etwas gibt es immer wieder und die Verantwortlichen sind oft sehr überrascht. Was noch immer schlampig gehandhabt wird, ist der Umgang mit Passwörtern. So wird zum Beispiel in der Firma oft dasselbe Passwort verwendet, wie am privaten PC und auch dort werden diese nicht regelmäßig geändert.
Ein korrektes Management von Governance, Risk und Compliance (GRC) ist essentiell für den Geschäftserfolg von Unternehmen, da eine mangelnde Übersicht die Reputation und finanzielle Stabilität eines Unternehmens gefährdet. Das Jahr 2018 stellte Unternehmen durch das Inkrafttreten der DSGVO und der Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) vor zusätzliche Herausforderungen in Sachen Cyber Security. Vor allem letztere wurde von sog. Betreibern wesentlicher Dienste und Anbieter digitaler Dienste noch nicht vollständig umgesetzt. Für die NIS-Richtlinie braucht man einen Plan für den Fall des Falles. Wir beraten die Unternehmen, was sie machen müssen, um die Anforderungen aus der Richtlinie umzusetzen. Wir sind im CERT-Verbund und setzen zu diesem Thema auch sehr viele Aktivitäten.
Wir arbeiten mit der Lösung risk2value unseres Partners avedos. risk2value ist eine umfassende Lösung für das Management von GRC-Prozessen, die in der hochsicheren GRC-Cloud von T-Systems betrieben wird. Die GRC-Cloud trägt durch integriertes GRC-Management zur Einhaltung von Standards in den Bereichen GRC bei. Der Vorteil dabei ist die Konsolidierung der bisherigen Datensilos an einer zentralen Stelle. Damit gehören System- und Medienbrüche der Vergangenheit an. risk2value geht über eine bloße Datenspeicherung hinaus. Sie unterstützt Unternehmen auch beim aktiven Management und berücksichtigt vor allem auch Informationssicherheit und Datenschutz.
Das Spezielle an dem Tool ist, dass es an die Firma angepasst werden kann und nicht umgekehrt. Im Grunde sind mit der Lösung alle Prozesse abbildbar, die ich für das interne Managementsystem brauche. Angefangen von Risikomanagement, Information Security Management System (ISMS), Datenschutzmanagement, Auditpläne bis hin zur Risikobewertung. Wir zeigen den Unternehmen anhand des Tools, wie die Prozesse laufen und wie sie diese eventuell verbessern können.
Wie flexibel die Lösung ist, sieht man an dem Beispiel unserer Partnerschaft mit UNIQA. UNIQA bietet unter anderem eine Versicherung für Industriebetriebe zum Schutz gegen Cyberattacken an. Basis dieser Versicherungslösung ist eine individuelle Risikoanalyse in Form eines webbasierten Risikofragebogens. Daraus wird ein Report erstellt, der den Kunden zu möglichen Risiken in ihren Systemen und Abläufen Auskunft gibt und Basis für den Versicherungsabschluss ist. Wir haben mit dem Tool die gesamte Cyber Insurance-Plattform von UNIQA umgesetzt.
Es kann nicht jedes Unternehmen alles bis ins kleinste Detail selber machen. Daher empfehle ich, dass man sich einen Partner sucht, auf den man sich verlassen und den man auch schnell kontaktieren kann. Die Geschwindigkeit mit der ich Security-Vorfälle erkenne und wie ich dann darauf reagiere, kann dem Unternehmen viel Geld ersparen. Wichtig ist, dass man früh beginnt über dieses Thema nachzudenken, um dann in Falle des Falles schnell und vor allem richtig handeln zu können. Mit einem Risk Assessment kann man den Status quo feststellen und den richtigen Ansprechpartner finden. Das ist ein erster Schritt, der mit wenig Aufwand ein Unternehmen jedenfalls sicherer macht.
