Seiten

Posts mit dem Label ISO27001 werden angezeigt. Alle Posts anzeigen
Posts mit dem Label ISO27001 werden angezeigt. Alle Posts anzeigen

Dienstag, 12. Januar 2016

Achtung Schwachstelle! Die Bedrohungslage spitzt sich weiter zu

Das Bundesamt für Sicherheit (BSI) in der Informationstechnik beschreibt im aktuellen Bericht zur "Lage der IT-Sicherheit in Deutschland 2015" eine fortschreitende Professionalisierung von Cyber-Angriffen. Auch andere IT-Sicherheitsexperten warnen vor einem Trend zur Optimierung der Angriffe durch Cyber-Kriminelle und sprechen ganz offen von einer Automatisierung der Geschäftsprozesse potentieller Angreifer. Trotzdem wird in mittelständischen Unternehmen häufig funktionalen und ökonomischen Faktoren mehr Beachtung geschenkt als der Security. Ein fataler Fehler!


yourIT unterstützt Unternehmen beim Finden und Beheben von Schwachstellen in der IT

99,9 Prozent der ausgenutzten Sicherheitslücken sind über 12 Monate bekannt


Sie denken: "Wir haben doch alles im Griff!" Weit gefehlt. Das typische Einfalltor für Malware und Cyber-Kriminelle sind "alte Bekannte" - Software-Schwachstellen die nicht rechtzeitig per Update oder Patch behoben wurden. Und deren Zahl nimmt dramatisch zu: Von 1.200 im Jahr 2014 um 50% auf 1.800 in 2015 in den Referenz-Softwareprodukten des BSI. Allein in  den 11 am weitesten verbreiteten Anwendungen (darunter MS Office, Browser, Betriebssysteme, Flash und Adobe Reader) wurden von Januar bis September 2015 knapp 850 kritische IT-Schwachstellen entdeckt.

Besonders gefährdet: Kleine und mittelständische Unternehmen


Kleinen und mittelständischen Unternehmen fehlen häufig die notwendigen Fachleute und Ressourcen, um neben den "reaktiven Maßnahmen" wie Firewalls, Virenschutz oder Intrusion Detection zusätzlich auch "proaktive Maßnahmen" einzuleiten. Dadurch sind diese Unternehmen aktuell in besonderem Maße durch IT-Schwachstellen bedroht. Werden nur reaktive Maßnahmen eingesetzt, wartet man quasi, bis eine Malware oder ein Cyber-Angreifer mit dem Angriff beginnt und versucht danach, diesen draußen zu halten. Aber was, wenn das schief geht?

Reaktives Verhalten allein reicht nicht aus - Sie müssen proaktiv handeln!


Sinnvoller ist da der Einsatz von proaktiven Risikovermeidungs-Strategien. "Um die Angreifer zu verstehen, müssen Sie Ihr IT-Netzwerk wie ein Hacker betrachten. Diese scannen erst nach erkennbaren lohnenswerten und angreifbaren IT-Schwachstellen - erst dann beginnen Sie mit dem Angriff." so Thomas Ströbele, Berater für Datenschutz und IT-Sicherheit bei der yourIT GmbH aus Hechingen. "Wir empfehlen daher, das IT-Netzwerk in regelmäßigen Abständen mit automatisierten Penetrationstests auf IT-Schwachstellen zu überprüfen und die gefundenen kritischen Schwachstellen zu beheben, um eben dieses Risiko eines Angriffs durch Hacker zu verringern." Das Motto lautet: "Bloß nicht auffallen!"

Hierzu bietet yourIT zwei Vorgehensweisen an:
  1. Der Kunde beauftragt einen Dienstleister wie z.B. yourIT oder einen der 100 deutschlandweiten yourIT-Partner, das IT-Netzwerk mit einer Berater-Subscription als Managed Service zu überprüfen.
  2. Alternativ mietet der Kunde über yourIT eine zu seinem IT-Netzwerk passende Security-Subscription und scannt damit sein Netzwerk regelmäßig selbst.
Das Systemhaus yourIT aus Hechingen arbeitet hier mit über 300 Systemhäusern der Systemhausverbände comTeam, Novacur und Winwin zusammen. Damit können wir flächendeckende Penetrationstests im Zollernalbkreis sowie den angrenzenden Landkreisen Tübingen, Reutlingen, Sigmaringen, Tuttlingen, Rottweil und Freudenstadt und darüber hinaus in ganz Deutschland anbieten.

IT-Security muss als kontinuierlicher Prozess verstanden werden


Die Security-Subscriptions finden die Schwachstellen ganz automatisch, bewerten diese und erstatten ausführlich schriftlich Bericht mit Nennung von Bedrohungen, Auswirkung und Lösungsvorschlägen. Selbst ausführliche Reports hat der Kunde am nächsten Tag in der Hand.

Aber dann beginnt erst die eigentliche Beratungs-Dienstleistung, denn nicht jede Schwachstelle kann mit einem Update oder Patch geschlossen werden. Manchmal laufen wichtige Anwendungen eben nur auf veralteten Betriebssystemen. Dann muss gemeinsam eine andere Maßnahme zur Risikominimierung gefunden und getroffen werden. Dennoch ist es wichtig, dass diese Schwachstelle erkannt wurde und künftig speziell überwacht wird. Schwachstellen-Management ist eben keine rein technische Aufgabe, sondern muss als kontinuierlicher Prozess verstanden werden. Erst die Einbindung in Organisationsprozesse bringt die gewünschte Wirkung.

Zusätzlich bietet yourIT als Dienstleistung an, die Verzahnung des Schwachstellen Managements (Vulnerability Management) mit den IT-Security-Prozessen des Unternehmens voran zu treiben. Häufig starten yourIT bei den Kunden mit einem der Beratungspakete Basis-Check ISO27001 oder einem Sicherheitsaudit IT-Infrastruktur bzw. Webapplikationen.

Proaktives Schwachstellen-Management erhöht das Sicherheitsniveau signifikant


Wenn Sicherheitslücken frühzeitig erkannt und behoben werden, ist das Unternehmen weniger interessant für potentielle Angreifer. Deren Scans zeigen weniger erfolgversprechende Schwachstellen an - signifikant weniger als bei anderen potentiellen Opfer-Unternehmen. Nachdem erst etwa 30% der Unternehmen in Deutschland proaktives und professionelles Schwachstellen-Management betreiben, verhält es sich im Mittelstand wie bei dem bekannten Witz, bei dem zwei Männer durch die Wüste laufen und plötzlich einem Löwen gegenüberstehen. Der eine Mann fasst in seinen Rucksack, holt ein Paar Turnschuhe heraus und beginnt, diese anzuziehen. Der andere Mann fragt ihn: "Glaubst Du wirklich, dass Du mit Turnschuhen schneller laufen kannst als der Löwe?" Darauf der andere: "Ich muss ja nur schneller laufen als Du..."

Auch wenn Sie diese nicht sehen: Die Löwen sind bereits da - als Cyber-Kriminelle, die es auf Ihr Unternehmen abgesehen haben. Fragen Sie Ihre IT-Verantwortlichen: Jeden Tag laufen fremde Schwachstellen-Scans auf Ihr Unternehmen! Wann ziehen Sie Ihrem Unternehmen die Turnschuhe an? Zögern Sie nicht länger und beginnen Sie jetzt - mit Schwachstellen-Managemt von yourIT. Wir machen Sie für bezahlbares Geld zumindest schneller (heißt: unauffälliger und damit uninteressanter) als die übrigen 70% Mittelständler ohne proaktives Schwachstellen-Management. Das sollte reichen!

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

Das könnte Sie auch interessieren:


Donnerstag, 17. September 2015

IT-Sicherheit - Gute Beratung spart Geld

Unternehmen verfügen über eine Fülle sensibler Daten, die geschützt werden müssen. Dies erfordert eine langfristige Sicherheitsstrategie. Viele Unternehmen widmen dem Thema IT-Sicherheit aufgrund möglicherweise zu erwartender hoher Kosten nicht die notwendige Aufmerksamkeit. Nicht zuletzt durch das neue IT-Sicherheitsgesetz ist hier das Thema ISO27001 in den Vordergrund gerückt. Dabei sorgt eine entsprechende Investition in externe Beratung nicht nur für eine stabilere Sicherheitslage, sondern ist langfristig gesehen auch wirtschaftlicher, als ein erhöhtes Risiko zu tragen.


IT-Sicherheit - Gute Beratung spart Geld

Warum ist IT-Sicherheit wichtig?


IT-Sicherheit ist, abgesehen vom Datenschutz, auch deshalb so wichtig, weil sie innerhalb eines Unternehmens über alle Abteilungen hinweg relevant ist. Auch, wenn für die IT-Sicherheit intern Sorge getragen wurde, erweist sich das Hinzuziehen externer Berater meist als rentabel. Diese können häufig besser Risiken analysieren und Sicherheitslücken schließen und verfügen zudem über ein erhöhtes Know-how in puncto IT-Sicherheit.



Sie sorgen dafür, dass eine maßgeschneiderte Sicherheitsstrategie entworfen wird, die sich nach den Anforderungen des Unternehmens richtet und festsetzt, welche Maßnahmen tatsächlich erforderlich sind und welche Investitionen getätigt werden müssen. Dies bewahrt auch davor, Fehlinvestitionen zu tätigen. Eine Methode für eine entsprechende Kalkulation lautet Return on Security Investment, kurz ROSI. Dabei werden Schadenssummen und Kosten für die IT-Sicherheit gegenübergestellt. Dies geschieht auf der Grundlage der Erfahrungswerte, wann welche Schäden eintreten. So lässt sich für ein Unternehmen festlegen, welche IT-Sicherheitsmaßnahmen tatsächlich lohnenswert sind.

Risikoanalyse


Die ausführliche Risikoanalyse steht an erster Stelle, um eine geeignete Sicherheitsstrategie zu entwickeln. Sie beinhaltet, Gefahren für den Geschäftsbetrieb aufzuspüren, das Gefahrenpotenzial festzusetzen und die möglichen Schäden und damit die Beeinträchtigung des Unternehmens zu kalkulieren. Innerhalb eines Unternehmens fehlt meist der Blick für solche Gefahrenquellen, was die externe Hilfe erforderlich macht. So kommt es bereits zu Datenmissbrauch und daraus resultierenden Schäden, bevor dies im Unternehmen überhaupt bemerkt wird.

Nutzen Sie jetzt unser Beratungspaket Basis-Check ISO27001

Ein Teil einer externen Sicherheitsprüfung kann auch die Zertifizierung nach ISO 27001 sein. Ein attraktiver Nebenaspekt dieser Sicherheitszertifizierung - ein Unternehmen kann mit dieser werben und seine Reputation stärken.

Investition


Mit der Investition in die IT-Sicherheit und externe Beratung sparen Sie mit Ihrem Unternehmen letztlich Geld, da Sie mit einer maßgeschneiderten Sicherheitsstrategie nicht nur für den notwendigen Schutz sorgen, sondern auch unnötige IT-Maßnahmen vermeiden.

Umgehen Sie also das Risiko und tragen Sie somit zum Erfolg Ihres Unternehmens bei. Starten Sie jetzt durch - mit unserem Beratungspaket Basis-Check ISO27001.

yourIT Basis-Check ISO27001 - sponsored by ESF

Übrigens: Für mittelständische Unternehmen gibt es unter bestimmten Bedingungen bis zu 1.500 EUR Fördermittel für unsere Beratung im Bereich Datenschutz & IT-Sicherheit. Aber nur noch bis zum 31.12.2016. Also: Keine Zeit verlieren!

Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.
Ihr Ralf Ströbele
Ralf Ströbele