Aktuell

Der GGW "Cyber Secure Sicherheitsaudit"

... macht konkrete Schwachstellen der IT-Sicherheit transparent und erarbeitet Strategien zur Minimierung des Cyber-Risikos.

Hamburg, 26.08.2019 – Ohne eine Vielzahl an IT-Anwendungen wäre das heutige Arbeiten - noch dazu an verschiedenen Unternehmensstandorten - kaum möglich. Ob die Maschinen in der Produktion, das Warenmanagement im Hochregallager oder die Abrechnung in der Buchhaltung - häufig werden zum Abbilden der entsprechenden Geschäftsprozesse verschiedene Programme eingesetzt, die über Schnittstellen miteinander vernetzt sind. Je komplexer die Prozesse und die benötigte IT-Landschaft, desto größer ist beispielsweise auch das Risiko, Hackern "Türen" in das Unternehmen zu öffnen.

Der GGW IT-Si­cher­heits­au­dit "Cy­ber Se­cu­re" un­ter­sucht in Zu­sam­men­ar­beit mit IT-Fo­ren­sik-Ex­per­ten in­di­vi­du­ell und ganz nach Un­ter­neh­mens­be­darf ein­zel­ne oder al­le Be­stand­tei­le der Un­ter­neh­mens-IT auf kon­kre­te Schwach­stel­len. Dar­über hin­aus wird in ei­nem Ri­si­ko-Work­shop ana­ly­siert, wel­che wirt­schaft­li­chen Aus­wir­kun­gen ein An­griff auf die Wert­schöp­fungs­ket­te des Un­ter­neh­mens ha­ben könn­te und wie das je­wei­li­ge Ri­si­ko mi­ni­miert bzw. den Aus­wir­kun­gen im Ernst­fall be­geg­net wer­den könn­te.
 

Ge­naue Prü­fung der IT auf Si­cher­heits­lü­cken und Kon­fi­gu­ra­ti­ons­feh­ler

Um den ge­nau­en Um­fang des Au­dits und den kon­kre­ten Be­darf des Un­ter­neh­mens zu er­mit­teln, wer­den vor­ab grund­le­gen­de Ein­zel­hei­ten zum Un­ter­neh­men und der IT er­fragt. Üb­li­cher­wei­se wer­den die Netz­werk-In­fra­struk­tur aus­führ­lich und gän­gi­ge An­wen­dun­gen wie ERP, CRM oder File­ser­ver stich­pro­ben­ar­tig auf mög­li­che IT-Si­cher­heits­lü­cken und Kon­fi­gu­ra­ti­ons­feh­ler un­ter­sucht. Da­zu er­fol­gen zu­nächst Ge­sprä­che mit IT-An­sprech­part­nern und an­de­ren Ver­ant­wort­li­chen über wich­ti­ge Pro­zes­se der In­for­ma­ti­ons- bzw. IT-Si­cher­heit. Da­zu ge­hö­ren bei­spiels­wei­se die Hard­ware­be­schaf­fung und -ent­sor­gung, das Pass­wort- und Be­nut­zer­kon­ten­ma­nage­ment, die räum­li­che Si­tua­ti­on des RZ-Be­rei­ches und das Si­cher­heits­ma­nage­ment von Mo­bil­ge­rä­ten. Im nächs­ten Schritt wer­den bei Pe­ne­tra­ti­ons­ver­su­chen in Form von Black-, Grey- und/oder Whi­te­box-Tests das Netz­werk mit den IT-Ge­rä­ten und An­wen­dun­gen en­u­me­riert und fort­ge­schrit­te­nen An­grif­fen, et­wa auf die Win­dows-AD-Um­ge­bung, aus­ge­setzt. Zu den Maß­nah­men des Pe­ne­tra­ti­ons­tests zäh­len bei­spiels­wei­se Netz­werk- und Port­scans, das Ab­hö­ren von Da­ten­strö­men, ge­ge­be­nen­falls mit zu­sätz­li­chem An­sto­ßen von Kom­mu­ni­ka­ti­on durch die Ver­wen­dung be­reit­ge­stell­ter oder ver­füg­ba­rer Apps so­wie ei­ne pas­si­ve Aus­wer­tung der SSL-/TLS-Ein­stel­lun­gen und der Si­cher­heit hin­sicht­lich ver­schie­de­ner Cryp­to-As­pek­te. Durch die sys­te­ma­ti­sche Über­prü­fung er­hält das Un­ter­neh­men in der Re­gel ei­nen fun­dier­ten IT-Sta­tus Quo und ei­nen um­fas­sen­den Über­blick über kon­kre­te IT-Si­cher­heits­pro­ble­me. Je nach Wunsch kön­nen auch wei­te­re Sys­te­me und An­wen­dun­gen un­ter­sucht wer­den. In der Re­gel han­delt es sich hier um die ex­ter­ne Web­sei­te des Un­ter­neh­mens, das Sys­tem der Fi­nanz­buch­hal­tung oder die Zeit­er­fas­sung. Dar­über hin­aus kön­nen auch die WLAN-In­fra­struk­tur und nach au­ßen sicht­ba­re WLAN-Netz­wer­ke er­mit­telt und von au­ßen ana­ly­siert und ge­prüft wer­den. Auch die Räum­lich­kei­ten selbst las­sen sich in Be­zug auf den IT-Schutz im Si­cher­heits­au­dit selbst­ver­ständ­lich über­prü­fen: 

  • Welche Zutrittskontrollen in die Serverräume und das Rechenzentrum gibt es?
  • Wie ist das Unternehme generell, die Besprechungsräume oder die Produktionsstätten im Einzelnen vor fremdem Zutritt gesichert?
  • Wie könnte ein Angreifer physisch vor Ort in das IT-System gelangen?
     

Die finanziellen Auswirkungen im Blick – Workshop Cyber-Risiken

Ein wich­ti­ger Be­stand­teil des GGW Cy­ber Se­cu­re Si­cher­heits­au­dits ist der Work­shop "Cy­ber-Ri­si­ken". Im Ge­gen­satz zur IT an sich wird hier die Wert­schöp­fungs­ket­te des Un­ter­neh­mens be­trach­tet und auf die Kern­pro­zes­se so­wie mög­li­che Aus­wir­kun­gen ei­nes Cy­ber-An­griffs ge­schaut. Da­bei wer­den wirt­schaft­li­che Ri­si­ken in Scha­densze­na­ri­en mit ih­ren fi­nan­zi­el­len Aus­wir­kun­gen ana­ly­siert, Scha­den­hö­hen und Un­ter­bre­chungs­zeit­räu­me er­mit­telt und ei­ne in­di­vi­du­el­le Ri­si­ko­be­wer­tung er­stellt. Dem ent­ge­gen ge­stellt und be­wer­tet wer­den die der­zeit vom Un­ter­neh­men er­grif­fe­nen Maß­nah­men zur Ri­si­ko­steue­rung. Dar­aus er­gibt sich ein Sta­tus Quo, der ge­ge­be­nen­falls die Op­ti­mie­rung der vor­han­de­nen oder die Um­set­zung wei­te­rer Schutz­maß­nah­men emp­fiehlt.
 

Ergebnis

In der Re­gel kön­nen im vor­be­schrie­be­nen Si­cher­heits­au­dit IT-An­wen­dun­gen im Rah­men von Pe­ne­tra­ti­ons­tests gründ­lich auf mög­li­che Si­cher­heits­lü­cken über­prüft wer­den. So wer­den mit ho­her Wahr­schein­lich­keit auch in­di­vi­du­el­le oder kom­ple­xe IT-Si­cher­heits­lü­cken iden­ti­fi­ziert. Die Ri­si­ko­ana­ly­se im Rah­men des Cy­ber-Work­shops dient au­ßer­dem als Ba­sis für die Ge­stal­tung ei­nes Busi­ness-Con­ti­nui­ty-Ma­nage­ments bzw. ei­ner mög­li­chen Cy­ber-Ver­si­che­rung. Durch die er­mit­tel­ten Scha­den- und Aus­fall­kos­ten macht sie zum ei­nen die tat­säch­lich be­nö­tig­ten Ver­si­che­rungs­sum­men oder ge­son­dert be­nö­tig­te De­ckungs­ele­men­te trans­pa­rent und ver­mei­det ei­ne Über- oder Un­ter­ver­si­che­rung. Zum an­de­ren lässt sich die Ein­tritts­wahr­schein­lich­keit be­stimm­ter Ri­si­ken durch Um­set­zung zu­sätz­li­cher Schutz­maß­nah­men mög­li­cher­wei­se ver­rin­gern. Dann lie­ßen sich hö­he­re Selbst­be­hal­te für den Scha­den­fall mit dem Ver­si­che­rer ver­ein­ba­ren, was ent­spre­chend zu güns­ti­ge­ren Ver­si­che­rungs­prä­mi­en führt.
 

Ers­te Be­stands­auf­nah­me auch über den GGW "Cy­ber Se­cu­re Quick-Check"

Für eine kurze Überprüfung der IT als erste Orientierung ohne großen Aufwand empfehlen wir den

GGW "Cyber Secure Quick-Check". Er liefert schnelle erste Ergebnisse über mögliche Risiken der IT-Infrastruktur.

 

 

Sie haben Fragen? Sprechen Sie uns an!

Markus Hoffmann
Kundenbetreuer Telefon: +49 40 328101-4588
E-Mail: 

 

 

m.hoffman@ggw.de

Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Anika Wist
Veröffentlicht: 26.08.2019
Share:

Ansprechpartner

Regina Schulz
Gossler, Gobert & Wolters Assekuranz-Makler GmbH – Mitglied der Geschäfts­leitung

Mehr zum Thema

Über GGW

GGW Service

Das könnte auch von Interesse sein

GGW Blog

Aktuelles aus unserem Haus

Risiko der Insolvenzanfechtung im Factoring

Jetzt lesen

Mehr Sicherheit und Kontrolle

Jetzt lesen

Neue EU-Produktsicherheitsverordnung (GPSR)

Jetzt lesen

Fairness-Preis 2024 für GGW

Jetzt lesen

Oktoberfest bei GGW Leipzig

Jetzt lesen

GGW Leipzig beim Sommerfest im Ronald McDonald Haus

Jetzt lesen

RWB-Artikelreihe: Artikel 5 – Treuhandschaften für Rechtsanwälte – eine Risikoanalyse

Jetzt lesen

Getreidehändler ist pleite – verlieren Landwirte nun ihr Geld?

Jetzt lesen

Gemeinsam aktiv – GGW beim Firmenlauf Leipzig am Start

Jetzt lesen

Gemeinsam GGW

Jetzt lesen

Zukunftswerkstatt bei GGW Leipzig

Jetzt lesen

CHORal TOTAL – GGW auf dem Bachfest in Leipzig

Jetzt lesen
Corona-Störer
  

Aktuelle Information zum Corona-Virus

Wir sind weiter für Sie da!

Jetzt lesen