Risikoanalyse in der IT.

Sicher haben Sie schon oft gehört oder gelesen, wie man es „richtig“ machen soll beim Netzwerkschutz. Vielleicht denken Sie auch, dass Sie alles getan haben und fühlen sich sicher in Ihrer eigenen IT-Umgebung. Und dennoch wundern Sie sich, warum die Einschläge der öffentlich gewordenen, erfolgreichen Cyberattacken immer näherkommen und Sie fangen wieder aufs Neue an zu prüfen, wie es um die eigene IT-Sicherheit steht.

Egal wie die Ausgangslage ist, stellen Sie sich doch einmal diese Fragen und prüfen Sie, ob Sie Antworten für Ihr Unternehmen finden:

1. Wann konnten Sie das letzte Mal einen Angriffsversuch erfolgreich abwehren?
2. Wenn es einen Angriffsversuch auf Ihre IT-Systeme gab, wie genau sah der Angriff aus? Was wäre passiert, wenn dieser erfolgreich gewesen wäre?
3. Welche Kosten hätte ein solcher Angriff verursacht?
4. Wann haben Sie das letzte Mal eine Risikoanalyse gemacht?
   Oder anders: Kennen Sie Ihre Risiken? Nicht aus dem Bauch heraus, sondern konkret.
   Kennen Sie die potentiellen Gefahren und wissen Sie konkret, wie gut Ihre eingesetzten Maßnahmen davor schützen?
5. Haben Sie in Ihrer kompletten IT-Umgebung eine einheitliche Sicherheitspolicy? Dazu zählen alle Geräte, die eine IP-Adresse haben und die dem Unternehmen zugeordnet sind. Beachten Sie: „Die Kette ist so stark wie ihr schwächstes Glied.“
6. Haben Sie jemanden in Ihren Unternehmen, der für IT-Sicherheit zuständig ist oder der Ihrer Fachabteilung unterstützende Hilfeleistung geben kann?
7. Kennt Ihre Geschäftsführung diese Risiken und kann diese in Zahlen messen?

Gefühlte Sicherheit siegt vor realer Sicherheit:

✔️ Stärken Sie das Bewusstsein für den Schutz, was Ihnen lieb und teuer ist.

Risikoanalyse realistisch gestalten:

✔️ Holen Sie sich Hilfe von Experten, die Zusammenhänge in heterogenen IT-Landschaften besser beherrschen.

Übergreifende Zusammenarbeit in den Fachabteilungen:

✔️ Alle sitzen in einem Boot. Was die eine Fachabteilung als unwichtig ansieht, benötigt die andere Fachabteilung vielleicht unbedingt. Machen Sie sich ein gemeinsames Bild der Lage.

Austausch von Informationen in einer gemeinsamen Sprache:

✔️ Die Geschäftsführung kann vielleicht keine Schwachstellen im TCP/IP Stack beurteilen und eine IT-Abteilung kann mit Kennzahlen nichts anfangen. Daher ist es umso wichtigen, dass die Parteien regelmäßig verständlich miteinander kommunizieren, um Gefahren korrekt zu erkennen und zu bewerten und um daraus die richtigen Maßnahmen treffen zu können.

Schattenseiten der Personalknappheit:

✔️ Patch-Hygiene und angemessene Dokumentation sind wichtiger denn je. 

Awareness der Belegschaft:

✔️ Entwickeln Sie ein Bewusstsein von „Es funktioniert.“ zu „Es funktioniert sicher.“.

Installation von Monitoring-Systemen:

✔️ Installieren Sie eine Plattform, die Events von unterschiedlichsten Systemen korrelieren kann, um eine Sichtbarkeit im Netzwerk Ihres Unternehmens zu schaffen. So lassen sich Unregelmäßigkeiten frühzeitig erkennen.

Sicherheitsziele definieren:

✔️ Die Priorisierung der Verfügbarkeit reicht nicht aus. Auch Vertraulichkeit und Integrität sollten gleichermaßen betrachtet werden.

Access Management:

✔️ Prüfen Sie neben den zentralisierten Authentifizierungen auch die, die lokal auf jedem System konfiguriert sind und sich (oft) jeglicher Policy entziehen.

Solution Architekten:

✔️ Holen Sie sich professionelle Hilfe, um von außerhalb Ihres Unternehmens Zusammenhänge, welche durch Ressourcenengpässe und Silodenken nicht möglich sind, erkennbar zu machen.

Zeigen Sie Mut, Entschlossenheit und verteidigen Sie Ihr Unternehmen, denn nichts ist wichtiger als Ihre eigenen Daten zu schützen.