Wir haben uns zur Aufgabe gemacht, mittelständische Unternehmen für die ganzheitliche Umsetzung Ihrer Informationssicherheit zu begeistern, sie gegen Angriffe zu schützen und Ausfälle zu minimieren. Wir verfügen über fundiertes, umfassendes und aktuelles Knowhow aus der Praxis und beugen mit unserem neutralen Blick Betriebsblindheit vor. Mit uns als externem Dienstleister ist eine schnelle und bedarfsgerechte Umsetzung garantiert.
WAS VIELE NICHT WISSEN – Beispiele aus der Praxis
1. Ihr Lieferant wird angegriffen und gehackt. Die Angreifer senden eine gefälschte PDF-Rechnung mit veränderter Bankverbindung.
2. Ihrem IT-Dienstleister wurden alle Zugangsdaten für die Fernwartung gestohlen!
Die Details zu diesen Fällen und den dadurch entstandenen Schaden lesen Sie weiter unten!
IT-Sicherheit ist nur ein Teilaspekt der Informationssicherheit.
In der Informationssicherheit geht es nicht nur um IT-Technik, sondern um alle relevanten Prozesse und Abläufe.
Nur 25% beziehen sich auf IT-Sicherheit. Und somit 75% auf Prozesse, Abläufe und der dabei beteiligten Menschen.
GENAU DESHALB MUSS DAS THEMA ÜBERGEORDNET VON DER GESCHÄFTSLEITUNG GELENKT UND KONTROLLIERT WERDEN!
In Gesprächen mit Anwendern und Entscheidern zum Thema Informationssicherheit werden wir häufig mit solchen „Kernthesen“ konfrontiert:
„Unsere Daten interessieren doch niemanden.“
„Die NSA kann trotzdem mitlesen.“
„Wir haben nichts zu verbergen. „
„Für Hacker sind wir nicht interessant genug, da gibt es bessere Ziele“
„Sicherheit macht alles kompliziert und unpraktisch. „
„100% Sicherheit gibt es eh nicht“
„Das macht unsere IT-Abteilung schon alles.“
„Ich glaube wir sind nicht so schlecht aufgestellt.“
MEINE FRAGE AN SIE: „MÖCHTEN SIE DIE SAMMLUNG ERGÄNZEN ODER WOLLEN SIE IHR UNTERNEHMEN WIRKLICH SCHÜTZEN?“
Viele Anwender und Entscheider sind aufgrund der ständig wachsenden Anforderungen in der Digitalisierung mit den vielen neuen Möglichkeiten und Trends nicht mehr in der Lage, die dynamische Entwicklung und Komplexität ganzheitlich zu überblicken.
Es ist nicht mehr möglich neben dem Tagesgeschäft alle Herausforderungen zu händeln und vor allem auch nicht die neuesten Entwicklungen gerade auf krimineller Seite mitzubekommen oder gar zu verhindern.
Ziel der Informationssicherheitsstrategie ist nicht, sämtliche technischen Neuerungen auf dem IT-Security-Markt zu validieren und einzuführen oder sich gegen die Möglichkeiten eines staatlichen Dienstes zu rüsten.
Vielmehr muss die Schwelle für den Missbrauch von Daten und Systemen von innen wie außen durch wirksame Maßnahmen möglichst hoch gesetzt und vorhandene Lücken geschlossen werden!
Auch Sicherheitsgurte und Airbags schützen im Auto nicht vor tödlichen Unfällen, aber würden Sie trotzdem darauf verzichten wollen?
Einige wichtige Bereiche der Informationssicherheit, deren Schutz in Unternehmen häufig nicht ausreichend sind und eine Umsetzung die IT-Abteilung oder Dienstleister „alleine“ nicht leisten kann, sind unter anderem:
Lieferantenbeziehungen
Geschäftsfortführung
Personalsicherheit
Umgebungssicherheit
Durch die Vernetzung erhalten Lieferanten in gewisser Weise Zugriff auf ihre Daten. Das ist so als würden Sie jemand den Schlüssel zu ihrem Haus geben. Und deshalb ist das notwendigerweise sehr überwachungsbedürftig.
Nur zwei Beispiele für Sicherheitsvorfälle mit Lieferanten aus der Praxis:
1. Ihr Lieferant für hochpreisige Einkaufsteile wird angegriffen und gehackt. Die Angreifer lesen über Monate den Mail-Verkehr mit und senden eine mit Photoshop bearbeitete, also gefälschte PDF-Rechnung (als Basis diente eine alte Rechnung aus den gesendeten Objekten), mit korrekten Daten von einem realen Auftrag, aber mit veränderter Bankverbindung. Der Betrug ist auf dem gefälschten PDF-Dokument ist mit bloßem Auge nicht zu erkennen. Der Versand der E-Mail erfolgte über den gekaperten E-Mail-Account.
Schaden: Ein hoher 5-stelliger Betrag.
2. Ihr IT-Dienstleister wird gehackt. Alle Zugangsdaten für die Fernwartung seiner Kunden wurden gestohlen! Die Diebe haben Zugriff auf Daten und Netzwerke seiner Kunden!
Schaden: Nicht bezifferbar
MEINE NÄCHSTE FRAGE: „KÖNNEN IHRE AKTUELLEN PROZESSE UND MASSNAHMEN DIESE ANGRIFFE ABWEHREN?
Einige Auszüge wichtiger Regelungen und Maßnahmen in weiteren Bereichen der Informationssicherheit:
In der Personalsicherheit sind Nutzung und Verhalten in sozialen Netzwerken, Verschlüsselung vertraulicher Daten, auch für IT-Admins zu regeln. Und zu verstehen, warum eine gruppenbasierte Verschlüsselung notwendig ist.
Kontrollen vor und nach der Anstellung, aber auch während der Anstellung: z.B. benötigt ein Mitarbeiter, der über 20 Jahre beschäftigt ist und vom Praktikanten zum Abteilungsleiter aufgestiegen ist, wirklich alle Zugänge der letzten 20 Jahre und welches Gefahrenpotential wurde zwischenzeitlich generiert?