Viele Organisationen vertrauen darauf, dass die eigenen Systeme und Applikationen „schon irgendwie sicher sein werden“. Insbesondere, wenn Drittparteien wie IT-Services-Provider oder Cloud-Dienste zum Einsatz kommen, ist das Vertrauen in die IT-Sicherheit groß.

Unsere Erfahrung zeigt: Oft zu groß, denn auch hier lauern Sicherheitslücken. Diese entstehen nicht selten aus unzureichender Programmierung, Unachtsamkeit bei der Entwicklung – oder auch schlicht durch Unkenntnis.

Aber wie gehen Entscheider die Herausforderung an, eine sinnvolle und auf die jeweilige Organisation zugeschnittene IT-Sicherheitsuntersuchung zu planen und durchzuführen? Ist ein Vulnerability Scan und/oder ein Penetration Test das „richtige“ Vorgehen? Welche weiteren Themen – beispielsweise (Azure) Active Directory Konfiguration – lohnen eine nähere Betrachtung?
Organisationen sollten sich gemeinsam mit ihrem IT-Sicherheitsdienstleister folgende Fragen stellen:

1) Welche Systeme wollen Sie im Rahmen der IT-Sicherheitsuntersuchung auf Herz und Nieren prüfen?

Insbesondere bei großen System- und Applikationslandschaften kann es sinnvoll sein, zu segmentieren und sich zunächst auf besonders risikorelevante Systeme zu konzentrieren.

2) Wann werden die Ergebnisse benötigt?

Oft existieren Kunden- oder Regulatorik-Anforderungen, die eine fixe Zeitleiste vorgeben. Erkundigen Sie sich rechtzeitig, wann die Ergebnisse in Form eines ausführlichen Reports benötigt werden.

3) Wie „gesund“ ist Ihre IT-Sicherheit?

Hierbei ist vor allem von Belang, ob schon einmal eine Untersuchung durchgeführt wurde – und wenn ja, wie lange diese her ist. Wie wir selbst, sollten wir nicht zu lange zwischen zwei Gesundheits-Checks abwarten.

Bedarf es Genehmigungen Dritter für den Test und wie schnell sind diese einzuholen?

Cloud-Dienste, IT-Services-Provider und auch Kunden sind bedacht darauf, etwaige Betriebsbeeinträchtigungen im Rahmen einer Untersuchung auf ein absolutes Minimum zu reduzieren. Daher ist oft eine vorherige Genehmigung oder zumindest Ankündigung einer Untersuchung erforderlich.

Wie sicher sind Sie?

Sollten Sie Fragen haben oder unsicher sein – unsere Experten beraten Sie gerne ganzheitlich zum richtigen Vorgehen. Wir helfen Ihnen, die Budgets für IT-Sicherheitsuntersuchungen möglichst zielgerichtet einzusetzen und dabei die bestmöglichen Erkenntnisse zu gewinnen.

Weitere Artikel

Instant 27001, das einfache und pragmatische Dokumentationssystem für Informationssicherheitsmanagementsysteme (ISMS) nach dem internationalen Standard ISO 27001, ist neben Atlassian Confluence jetzt auch für Microsoft 365 verfügbar. Nahtlose Integration in Microsoft-Umgebung Zusammen mit ISOPlanner bietet Instant...
Interne Audits sind Prüfungshandlungen, die ein ISMS-Betreiber selbst durchführen muss, um regelmäßig die Konformität des ISMS zu den Anforderungen der Norm nachzuweisen. Warum es keine gute Idee ist, als ISO 27001 Anwenderunternehmen dieses Internal Audit...
Die ISO 27001 fordert von Ihnen, regelmäßig ein sog. Internes Audit (engl. Internal Audit) Ihres ISMS (Informationssicherheitsmanagementsystem) durchzuführen, um die Standard-Konformität zu überprüfen. Obgleich es „internes Audit“ heißt, dürfen – und sollten – Sie selbstverständlich...