4 Fragestellungen in Vorbereitung auf Ihre IT-Sicherheitsprüfung

Viele Organisationen vertrauen darauf, dass die eigenen Systeme und Applikationen „schon irgendwie sicher sein werden“. Insbesondere, wenn Drittparteien wie IT-Services-Provider oder Cloud-Dienste zum Einsatz kommen, ist das Vertrauen in die IT-Sicherheit groß.

Unsere Erfahrung zeigt: Oft zu groß, denn auch hier lauern Sicherheitslücken. Diese entstehen nicht selten aus unzureichender Programmierung, Unachtsamkeit bei der Entwicklung – oder auch schlicht durch Unkenntnis.

Aber wie gehen Entscheider die Herausforderung an, eine sinnvolle und auf die jeweilige Organisation zugeschnittene IT-Sicherheitsuntersuchung zu planen und durchzuführen? Ist ein Vulnerability Scan und/oder ein Penetration Test das „richtige“ Vorgehen? Welche weiteren Themen – beispielsweise (Azure) Active Directory Konfiguration – lohnen eine nähere Betrachtung?
Organisationen sollten sich gemeinsam mit ihrem IT-Sicherheitsdienstleister folgende Fragen stellen:

1) Welche Systeme wollen Sie im Rahmen der IT-Sicherheitsuntersuchung auf Herz und Nieren prüfen?

Insbesondere bei großen System- und Applikationslandschaften kann es sinnvoll sein, zu segmentieren und sich zunächst auf besonders risikorelevante Systeme zu konzentrieren.

2) Wann werden die Ergebnisse benötigt?

Oft existieren Kunden- oder Regulatorik-Anforderungen, die eine fixe Zeitleiste vorgeben. Erkundigen Sie sich rechtzeitig, wann die Ergebnisse in Form eines ausführlichen Reports benötigt werden.

3) Wie „gesund“ ist Ihre IT-Sicherheit?

Hierbei ist vor allem von Belang, ob schon einmal eine Untersuchung durchgeführt wurde – und wenn ja, wie lange diese her ist. Wie wir selbst, sollten wir nicht zu lange zwischen zwei Gesundheits-Checks abwarten.

Bedarf es Genehmigungen Dritter für den Test und wie schnell sind diese einzuholen?

Cloud-Dienste, IT-Services-Provider und auch Kunden sind bedacht darauf, etwaige Betriebsbeeinträchtigungen im Rahmen einer Untersuchung auf ein absolutes Minimum zu reduzieren. Daher ist oft eine vorherige Genehmigung oder zumindest Ankündigung einer Untersuchung erforderlich.

Wie sicher sind Sie?

Sollten Sie Fragen haben oder unsicher sein – unsere Experten beraten Sie gerne ganzheitlich zum richtigen Vorgehen. Wir helfen Ihnen, die Budgets für IT-Sicherheitsuntersuchungen möglichst zielgerichtet einzusetzen und dabei die bestmöglichen Erkenntnisse zu gewinnen.

Weitere Artikel

Sicherheitslücke bei Linux Der beliebte Samba-Server stellt Windows Datei- und Druckdienste in Linux-Umgebungen bereit. Nun klafft eine ernste Sicherheitslücke. Linux-Systeme sollten schnellstmöglich aktualisiert werden, da die Schwachstelle mit der Kennung CVE-2020-27840 bereits aktiv ausgenutzt wird....
“37,0 Prozent der Unternehmen in Deutschland schulen ihre Mitarbeiter nicht regelmäßig zu Themen wie Spam oder Phishing. (…) Nur jedes dritte Unternehmen (35,5 Prozent) (verfügt) über eine Patch-Management-Richtlinie. Dabei gehören Sicherheitslücken in Anwendungen und Betriebssystemen...
Eine der größten Herausforderungen beim Aufbau und dem Betrieb von Informationssicherheitsmanagementsystemen nach ISO 27001 ist die angemessene Dokumentation. Diese ist Gegenstand der Überprüfungen beim Audit und dient der Organisation auch im Tagesgeschäft dazu, alle implementierten...