BROADCAST - NEUES AUS DER IT WELT UND VON VICARDION

Im zweiten Teil unserer Reihe zu den 14 Fragen zur Cybersecurity für KMU des BSI widmen wir uns der nächsten Frage. Den Hauptartikel sowie den ersten Beitrag finden Sie auf einen Blick in unserem Broadcast.

Bei der zweiten Frage geht es um Ihre Systeme.

Wie gut kennen Sie Ihre Systeme?
Gemeint sind nicht nur die IT-Systeme an sich, sondern auch die Anwendungen und Daten ohne die das eigene Unternehmen nicht existenzfähig ist. Sind diese Assets erst ermittelt, gilt es sie entsprechend vor Angriffen, Ausfällen und Manipulation zu schützen. Andernfalls kann z.B. der Verlust von Daten durch einen erfolgreichen Ransomware-Angriff nicht selten die Existenz bedrohen.

Daher ist es unumgänglich nach der Bestandsanalyse entsprechende Sicherheitsmaßnah-men zu definieren und umzusetzen. Der Aufwand richtet sich meist nach der Unternehmens-größe und variiert daher.

Die grobe Vorgehensweise sieht wie folgt aus:

• Ermittlung der eingesetzten Komponenten
  Server, Clients, Tablets, Smartphones, Hosting-Dienste, Kommunikationsdienste, Switche, etc.
• Ermittlung der eingesetzten Software
  Art und Zweck der Anwendungen, Version der Anwendungen, Lizensierung der Anwen-dungen, Ablage der Lizenzen, Zugangsdaten zu relevanten Portalen, etc.
• Ermittlung der Daten und Art der Datenverarbeitung
  Hierzu zählen z.B. Personal-, Buchhaltungs-, Produktions-, Entwicklungsdaten, Patente, etc.

Fragen die Sie sich außerdem stellen sollten sind, ob gesetzliche Vorgaben sowie die Aufbe-wahrungspflichten von Daten oder deren Verarbeitung existieren? Halten Sie diese ein und können es auch nachweisen?

• Ermittlung der Zugriffsrechte
  D.h. man ermittelt welche Rollen (Administrator, Standardbenutzer, Revisor, Gast, etc.) für welche Systeme existieren und über welche Zugriffsberechtigungen diese jeweils ver-fügen.
• Ermittlung der Schnittstellen zwischen interner und externer Welt
  Darunter ist die Ermittlung der Systeme zu verstehen, die eine Verbindung zum Internet haben. Jede dieser Verbindungen zwischen internen und externen IT-Systemen (z.B. Hosting Provider) muss bekannt sein sowie dokumentiert und abgesichert werden.

Wird auf diese Schwerpunkte nicht geachtet und die Benutzer- sowie die Berechtigungsver-waltung nicht akribisch gepflegt, kann z.B. ein ausgeschiedener Mitarbeiter (evtl. sogar nach einem Streit) immer noch auf die Systeme und Daten zugreifen und dem Unternehmen wo-möglich schaden.

Die Befolgung dieser Punkte hilft Ihnen dabei einen aktuellen und strukturierten Überblick über die eigenen Systeme und Daten zu erlangen. Des Weiteren hilft das Wissen über die eigenen Daten, Anwendungen und Systeme sowie der jeweiligen Abhängigkeiten proaktiv gezielte Schutzmaßnahmen zu ergreifen, die in regelmäßigen Abständen überprüft und ggf. angepasst werden müssen. Das BSI empfiehlt diese zwei Mal im Jahr, auf ihre Aktualität zu überprüfen.

Haben Sie für Ihr Unternehmen bereits eine Übersicht über Ihren IT-Verbund erstellt?

Wissen Sie, welche Daten, Anwendungen und Systeme besonders sensibel und schützens-wert sind?

Welche gezielten Maßnahmen haben Sie bereits proaktiv zur Vermeidung von Sicherheits-vorfällen ergriffen?

Wenn Sie mindestens auf einen dieser Punkte keine Antwort wissen, dann hilft Ihnen eine IT-Sicherheitsanalyse. Wir beraten Sie gerne, wie man am besten vorgeht. Vereinbaren Sie ein-fach ein kostenloses und unverbindliches Erstgespräch.

Folgen Sie uns auf unseren Social Media Kanälen und teilen Sie diesen Beitrag mit anderen: