Der GGW "Cyber Secure Sicherheitsaudit"

... macht konkrete Schwachstellen der IT-Sicherheit transparent und erarbeitet Strategien zur Minimierung des Cyber-Risikos.

Hamburg, 26.08.2019 – Ohne eine Vielzahl an IT-Anwendungen wäre das heutige Arbeiten - noch dazu an verschiedenen Unternehmensstandorten - kaum möglich. Ob die Maschinen in der Produktion, das Warenmanagement im Hochregallager oder die Abrechnung in der Buchhaltung - häufig werden zum Abbilden der entsprechenden Geschäftsprozesse verschiedene Programme eingesetzt, die über Schnittstellen miteinander vernetzt sind. Je komplexer die Prozesse und die benötigte IT-Landschaft, desto größer ist beispielsweise auch das Risiko, Hackern "Türen" in das Unternehmen zu öffnen.

Der GGW IT-Si­cher­heits­au­dit "Cy­ber Se­cu­re" un­ter­sucht in Zu­sam­men­ar­beit mit IT-Fo­ren­sik-Ex­per­ten in­di­vi­du­ell und ganz nach Un­ter­neh­mens­be­darf ein­zel­ne oder al­le Be­stand­tei­le der Un­ter­neh­mens-IT auf kon­kre­te Schwach­stel­len. Dar­über hin­aus wird in ei­nem Ri­si­ko-Work­shop ana­ly­siert, wel­che wirt­schaft­li­chen Aus­wir­kun­gen ein An­griff auf die Wert­schöp­fungs­ket­te des Un­ter­neh­mens ha­ben könn­te und wie das je­wei­li­ge Ri­si­ko mi­ni­miert bzw. den Aus­wir­kun­gen im Ernst­fall be­geg­net wer­den könn­te.

Ge­naue Prü­fung der IT auf Si­cher­heits­lü­cken und Kon­fi­gu­ra­ti­ons­feh­ler

Um den ge­nau­en Um­fang des Au­dits und den kon­kre­ten Be­darf des Un­ter­neh­mens zu er­mit­teln, wer­den vor­ab grund­le­gen­de Ein­zel­hei­ten zum Un­ter­neh­men und der IT er­fragt. Üb­li­cher­wei­se wer­den die Netz­werk-In­fra­struk­tur aus­führ­lich und gän­gi­ge An­wen­dun­gen wie ERP, CRM oder File­ser­ver stich­pro­ben­ar­tig auf mög­li­che IT-Si­cher­heits­lü­cken und Kon­fi­gu­ra­ti­ons­feh­ler un­ter­sucht. Da­zu er­fol­gen zu­nächst Ge­sprä­che mit IT-An­sprech­part­nern und an­de­ren Ver­ant­wort­li­chen über wich­ti­ge Pro­zes­se der In­for­ma­ti­ons- bzw. IT-Si­cher­heit. Da­zu ge­hö­ren bei­spiels­wei­se die Hard­ware­be­schaf­fung und -ent­sor­gung, das Pass­wort- und Be­nut­zer­kon­ten­ma­nage­ment, die räum­li­che Si­tua­ti­on des RZ-Be­rei­ches und das Si­cher­heits­ma­nage­ment von Mo­bil­ge­rä­ten.

Im nächs­ten Schritt wer­den bei Pe­ne­tra­ti­ons­ver­su­chen in Form von Black-, Grey- und/oder Whi­te­box-Tests das Netz­werk mit den IT-Ge­rä­ten und An­wen­dun­gen en­u­me­riert und fort­ge­schrit­te­nen An­grif­fen, et­wa auf die Win­dows-AD-Um­ge­bung, aus­ge­setzt. Zu den Maß­nah­men des Pe­ne­tra­ti­ons­tests zäh­len bei­spiels­wei­se Netz­werk- und Port­scans, das Ab­hö­ren von Da­ten­strö­men, ge­ge­be­nen­falls mit zu­sätz­li­chem An­sto­ßen von Kom­mu­ni­ka­ti­on durch die Ver­wen­dung be­reit­ge­stell­ter oder ver­füg­ba­rer Apps so­wie ei­ne pas­si­ve Aus­wer­tung der SSL-/TLS-Ein­stel­lun­gen und der Si­cher­heit hin­sicht­lich ver­schie­de­ner Cryp­to-As­pek­te. Durch die sys­te­ma­ti­sche Über­prü­fung er­hält das Un­ter­neh­men in der Re­gel ei­nen fun­dier­ten IT-Sta­tus Quo und ei­nen um­fas­sen­den Über­blick über kon­kre­te IT-Si­cher­heits­pro­ble­me.

Je nach Wunsch kön­nen auch wei­te­re Sys­te­me und An­wen­dun­gen un­ter­sucht wer­den. In der Re­gel han­delt es sich hier um die ex­ter­ne Web­sei­te des Un­ter­neh­mens, das Sys­tem der Fi­nanz­buch­hal­tung oder die Zeit­er­fas­sung. Dar­über hin­aus kön­nen auch die WLAN-In­fra­struk­tur und nach au­ßen sicht­ba­re WLAN-Netz­wer­ke er­mit­telt und von au­ßen ana­ly­siert und ge­prüft wer­den. Auch die Räum­lich­kei­ten selbst las­sen sich in Be­zug auf den IT-Schutz im Si­cher­heits­au­dit selbst­ver­ständ­lich über­prü­fen: 

  • Welche Zutrittskontrollen in die Serverräume und das Rechenzentrum gibt es?
  • Wie ist das Unternehme generell, die Besprechungsräume oder die Produktionsstätten im Einzelnen vor fremdem Zutritt gesichert?
  • Wie könnte ein Angreifer physisch vor Ort in das IT-System gelangen?

Die finanziellen Auswirkungen im Blick – Workshop Cyber-Risiken

Ein wich­ti­ger Be­stand­teil des GGW Cy­ber Se­cu­re Si­cher­heits­au­dits ist der Work­shop "Cy­ber-Ri­si­ken". Im Ge­gen­satz zur IT an sich wird hier die Wert­schöp­fungs­ket­te des Un­ter­neh­mens be­trach­tet und auf die Kern­pro­zes­se so­wie mög­li­che Aus­wir­kun­gen ei­nes Cy­ber-An­griffs ge­schaut. Da­bei wer­den wirt­schaft­li­che Ri­si­ken in Scha­densze­na­ri­en mit ih­ren fi­nan­zi­el­len Aus­wir­kun­gen ana­ly­siert, Scha­den­hö­hen und Un­ter­bre­chungs­zeit­räu­me er­mit­telt und ei­ne in­di­vi­du­el­le Ri­si­ko­be­wer­tung er­stellt. Dem ent­ge­gen ge­stellt und be­wer­tet wer­den die der­zeit vom Un­ter­neh­men er­grif­fe­nen Maß­nah­men zur Ri­si­ko­steue­rung. Dar­aus er­gibt sich ein Sta­tus Quo, der ge­ge­be­nen­falls die Op­ti­mie­rung der vor­han­de­nen oder die Um­set­zung wei­te­rer Schutz­maß­nah­men emp­fiehlt.

Ergebnis

In der Re­gel kön­nen im vor­be­schrie­be­nen Si­cher­heits­au­dit IT-An­wen­dun­gen im Rah­men von Pe­ne­tra­ti­ons­tests gründ­lich auf mög­li­che Si­cher­heits­lü­cken über­prüft wer­den. So wer­den mit ho­her Wahr­schein­lich­keit auch in­di­vi­du­el­le oder kom­ple­xe IT-Si­cher­heits­lü­cken iden­ti­fi­ziert.

Die Ri­si­ko­ana­ly­se im Rah­men des Cy­ber-Work­shops dient au­ßer­dem als Ba­sis für die Ge­stal­tung ei­nes Busi­ness-Con­ti­nui­ty-Ma­nage­ments bzw. ei­ner mög­li­chen Cy­ber-Ver­si­che­rung. Durch die er­mit­tel­ten Scha­den- und Aus­fall­kos­ten macht sie zum ei­nen die tat­säch­lich be­nö­tig­ten Ver­si­che­rungs­sum­men oder ge­son­dert be­nö­tig­te De­ckungs­ele­men­te trans­pa­rent und ver­mei­det ei­ne Über- oder Un­ter­ver­si­che­rung. Zum an­de­ren lässt sich die Ein­tritts­wahr­schein­lich­keit be­stimm­ter Ri­si­ken durch Um­set­zung zu­sätz­li­cher Schutz­maß­nah­men mög­li­cher­wei­se ver­rin­gern. Dann lie­ßen sich hö­he­re Selbst­be­hal­te für den Scha­den­fall mit dem Ver­si­che­rer ver­ein­ba­ren, was ent­spre­chend zu güns­ti­ge­ren Ver­si­che­rungs­prä­mi­en führt.

Ers­te Be­stands­auf­nah­me auch über den GGW "Cy­ber Se­cu­re Quick-Check"

Für eine kurze Überprüfung der IT als erste Orientierung ohne großen Aufwand empfehlen wir den GGW "Cyber Secure Quick-Check". Er liefert schnelle erste Ergebnisse über mögliche Risiken der IT-Infrastruktur.

Sie haben Fragen? Sprechen Sie uns an!

Markus Hoffmann
Kundenbetreuer

Telefon: +49 40 328101-4588
E-Mail: m.hoffman(at)ggw.de

Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Anika Wist
Veröffentlicht: 26.08.2019
Share:

Sie möchten eine Publikation oder Pressematerial zugeschickt bekommen? Dann lassen Sie uns gern eine Nachricht zukommen.

Mehr zum Thema

Über GGW

GGW Service

Das könnte auch von Interesse sein

GGW Blog

Aktuelles aus unserem Haus

Hamburg, 05.10.2020
Versicherungsmarkt 2020 - starke Herausforderungen für alle Seiten

Die ohnehin verhärtete Situation im Bereich der Industrieversicherungen hat sich durch die...

…lesen

Hamburg/München, 02.09.2020
Es wird kein leichter sein: Industrieversicherungen auf dem Weg in die Plattformökonomie

Amazon ist überall, mal als Vorbild, mal als Schreckgespenst – oder beides gleichzeitig. Auch in...

…lesen

Hamburg, 19.08.2020
DAC6 – Vermeiden Sie Deckungslücken im Versicherungsschutz

Im Dezember 2019 hat der Deutsche Bundestag das Gesetz zur Einführung einer Pflicht zur Mitteilung...

…lesen

Hamburg,, 17.07.2020
Digitalisierung der Versicherungsbranche: Endlich mehr Zeit für Beratung!

Bei der Digitalisierung der Industrieversicherungsbranche geht es um sehr komplexe und individuelle...

…lesen

Hamburg, 10.07.2020
Versicherungsmakler der Zukunft müssen IT denken und managen können

Makler müssen sich zukünftig vom reinen Anwender zum Mitentwickler kundenorientierter Lösungen...

…lesen

Hamburg/München, 28.05.2020
Ziel: Digitalisierungsplattform für Industrieversicherungen

GGW und mgm schließen Partnerschaft

…lesen

GGW Blog

GGW Newsletter

Immer Bestens informiert

Melden Sie sich jetzt hier an und bleiben Sie immer besten informiert.

Newsletter abonnieren
Corona-Störer
  

Aktuelle Information zum Corona-Virus

Wir sind weiter für Sie da!

Jetzt lesen