Viele Organisationen vertrauen darauf, dass die eigenen Systeme und Applikationen „schon irgendwie sicher sein werden“. Insbesondere, wenn Drittparteien wie IT-Services-Provider oder Cloud-Dienste zum Einsatz kommen, ist das Vertrauen in die IT-Sicherheit groß.

Unsere Erfahrung zeigt: Oft zu groß, denn auch hier lauern Sicherheitslücken. Diese entstehen nicht selten aus unzureichender Programmierung, Unachtsamkeit bei der Entwicklung – oder auch schlicht durch Unkenntnis.

Aber wie gehen Entscheider die Herausforderung an, eine sinnvolle und auf die jeweilige Organisation zugeschnittene IT-Sicherheitsuntersuchung zu planen und durchzuführen? Ist ein Vulnerability Scan und/oder ein Penetration Test das „richtige“ Vorgehen? Welche weiteren Themen – beispielsweise (Azure) Active Directory Konfiguration – lohnen eine nähere Betrachtung?
Organisationen sollten sich gemeinsam mit ihrem IT-Sicherheitsdienstleister folgende Fragen stellen:

1) Welche Systeme wollen Sie im Rahmen der IT-Sicherheitsuntersuchung auf Herz und Nieren prüfen?

Insbesondere bei großen System- und Applikationslandschaften kann es sinnvoll sein, zu segmentieren und sich zunächst auf besonders risikorelevante Systeme zu konzentrieren.

2) Wann werden die Ergebnisse benötigt?

Oft existieren Kunden- oder Regulatorik-Anforderungen, die eine fixe Zeitleiste vorgeben. Erkundigen Sie sich rechtzeitig, wann die Ergebnisse in Form eines ausführlichen Reports benötigt werden.

3) Wie „gesund“ ist Ihre IT-Sicherheit?

Hierbei ist vor allem von Belang, ob schon einmal eine Untersuchung durchgeführt wurde – und wenn ja, wie lange diese her ist. Wie wir selbst, sollten wir nicht zu lange zwischen zwei Gesundheits-Checks abwarten.

Bedarf es Genehmigungen Dritter für den Test und wie schnell sind diese einzuholen?

Cloud-Dienste, IT-Services-Provider und auch Kunden sind bedacht darauf, etwaige Betriebsbeeinträchtigungen im Rahmen einer Untersuchung auf ein absolutes Minimum zu reduzieren. Daher ist oft eine vorherige Genehmigung oder zumindest Ankündigung einer Untersuchung erforderlich.

Wie sicher sind Sie?

Sollten Sie Fragen haben oder unsicher sein – unsere Experten beraten Sie gerne ganzheitlich zum richtigen Vorgehen. Wir helfen Ihnen, die Budgets für IT-Sicherheitsuntersuchungen möglichst zielgerichtet einzusetzen und dabei die bestmöglichen Erkenntnisse zu gewinnen.

Weitere Artikel

Was ist eigentlich der Unterschied zwischen einem Vulnerability Scanund einem Penetration Test? Darüber scheint es interessante Fehlannahmen zu geben, wie wir an folgendem Praxisbeispiel zeigen möchten.
Ob Personaldaten, vertrauliche technische Entwürfe oder laufende Forschungsdokumentationen – Informationen im Geschäftsalltag systematisch zu schützen, ist für Unternehmen jeder Größe eine Herausforderung. Ohne feste Regeln, Abläufe und Zuständigkeiten, wie es ein Informationssicherheitsmanagementsystem nach ISO 27001...
Cybercrime trifft nur die Großen? Mit Sicherheit nicht! Letzte Woche haben wir live miterlebt, wie ein Angreifer – leider erfolgreich – die Kunden eines Händlers betrogen und dabei eine beträchtliche Summe Geld erbeutet hat. Was...