... macht konkrete Schwachstellen der IT-Sicherheit transparent und erarbeitet Strategien zur Minimierung des Cyber-Risikos.
Hamburg, 26.08.2019 – Ohne eine Vielzahl an IT-Anwendungen wäre das heutige Arbeiten - noch dazu an verschiedenen Unternehmensstandorten - kaum möglich. Ob die Maschinen in der Produktion, das Warenmanagement im Hochregallager oder die Abrechnung in der Buchhaltung - häufig werden zum Abbilden der entsprechenden Geschäftsprozesse verschiedene Programme eingesetzt, die über Schnittstellen miteinander vernetzt sind. Je komplexer die Prozesse und die benötigte IT-Landschaft, desto größer ist beispielsweise auch das Risiko, Hackern "Türen" in das Unternehmen zu öffnen.
Der GGW IT-Sicherheitsaudit "Cyber Secure" untersucht in Zusammenarbeit mit IT-Forensik-Experten individuell und ganz nach Unternehmensbedarf einzelne oder alle Bestandteile der Unternehmens-IT auf konkrete Schwachstellen. Darüber hinaus wird in einem Risiko-Workshop analysiert, welche wirtschaftlichen Auswirkungen ein Angriff auf die Wertschöpfungskette des Unternehmens haben könnte und wie das jeweilige Risiko minimiert bzw. den Auswirkungen im Ernstfall begegnet werden könnte.
Um den genauen Umfang des Audits und den konkreten Bedarf des Unternehmens zu ermitteln, werden vorab grundlegende Einzelheiten zum Unternehmen und der IT erfragt. Üblicherweise werden die Netzwerk-Infrastruktur ausführlich und gängige Anwendungen wie ERP, CRM oder Fileserver stichprobenartig auf mögliche IT-Sicherheitslücken und Konfigurationsfehler untersucht. Dazu erfolgen zunächst Gespräche mit IT-Ansprechpartnern und anderen Verantwortlichen über wichtige Prozesse der Informations- bzw. IT-Sicherheit. Dazu gehören beispielsweise die Hardwarebeschaffung und -entsorgung, das Passwort- und Benutzerkontenmanagement, die räumliche Situation des RZ-Bereiches und das Sicherheitsmanagement von Mobilgeräten. Im nächsten Schritt werden bei Penetrationsversuchen in Form von Black-, Grey- und/oder Whitebox-Tests das Netzwerk mit den IT-Geräten und Anwendungen enumeriert und fortgeschrittenen Angriffen, etwa auf die Windows-AD-Umgebung, ausgesetzt. Zu den Maßnahmen des Penetrationstests zählen beispielsweise Netzwerk- und Portscans, das Abhören von Datenströmen, gegebenenfalls mit zusätzlichem Anstoßen von Kommunikation durch die Verwendung bereitgestellter oder verfügbarer Apps sowie eine passive Auswertung der SSL-/TLS-Einstellungen und der Sicherheit hinsichtlich verschiedener Crypto-Aspekte. Durch die systematische Überprüfung erhält das Unternehmen in der Regel einen fundierten IT-Status Quo und einen umfassenden Überblick über konkrete IT-Sicherheitsprobleme. Je nach Wunsch können auch weitere Systeme und Anwendungen untersucht werden. In der Regel handelt es sich hier um die externe Webseite des Unternehmens, das System der Finanzbuchhaltung oder die Zeiterfassung. Darüber hinaus können auch die WLAN-Infrastruktur und nach außen sichtbare WLAN-Netzwerke ermittelt und von außen analysiert und geprüft werden. Auch die Räumlichkeiten selbst lassen sich in Bezug auf den IT-Schutz im Sicherheitsaudit selbstverständlich überprüfen:
Ein wichtiger Bestandteil des GGW Cyber Secure Sicherheitsaudits ist der Workshop "Cyber-Risiken". Im Gegensatz zur IT an sich wird hier die Wertschöpfungskette des Unternehmens betrachtet und auf die Kernprozesse sowie mögliche Auswirkungen eines Cyber-Angriffs geschaut. Dabei werden wirtschaftliche Risiken in Schadenszenarien mit ihren finanziellen Auswirkungen analysiert, Schadenhöhen und Unterbrechungszeiträume ermittelt und eine individuelle Risikobewertung erstellt. Dem entgegen gestellt und bewertet werden die derzeit vom Unternehmen ergriffenen Maßnahmen zur Risikosteuerung. Daraus ergibt sich ein Status Quo, der gegebenenfalls die Optimierung der vorhandenen oder die Umsetzung weiterer Schutzmaßnahmen empfiehlt.
In der Regel können im vorbeschriebenen Sicherheitsaudit IT-Anwendungen im Rahmen von Penetrationstests gründlich auf mögliche Sicherheitslücken überprüft werden. So werden mit hoher Wahrscheinlichkeit auch individuelle oder komplexe IT-Sicherheitslücken identifiziert. Die Risikoanalyse im Rahmen des Cyber-Workshops dient außerdem als Basis für die Gestaltung eines Business-Continuity-Managements bzw. einer möglichen Cyber-Versicherung. Durch die ermittelten Schaden- und Ausfallkosten macht sie zum einen die tatsächlich benötigten Versicherungssummen oder gesondert benötigte Deckungselemente transparent und vermeidet eine Über- oder Unterversicherung. Zum anderen lässt sich die Eintrittswahrscheinlichkeit bestimmter Risiken durch Umsetzung zusätzlicher Schutzmaßnahmen möglicherweise verringern. Dann ließen sich höhere Selbstbehalte für den Schadenfall mit dem Versicherer vereinbaren, was entsprechend zu günstigeren Versicherungsprämien führt.
Für eine kurze Überprüfung der IT als erste Orientierung ohne großen Aufwand empfehlen wir den
GGW "Cyber Secure Quick-Check". Er liefert schnelle erste Ergebnisse über mögliche Risiken der IT-Infrastruktur.
Markus Hoffmann
Kundenbetreuer Telefon: +49 40 328101-4588
E-Mail:
m.hoffman@ggw.de
Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.