Aufrufe
vor 3 Jahren

02 | 2015 NEWS

  • Text
  • Asset
  • Liability
  • Management
  • Daten
  • Plattform
  • Sap
  • Security
  • Investition
  • Technologie
  • Banking
  • Erfolgreich
  • Msg
  • Msggillardon
  • Aufsicht
  • Unternehmen
  • Risiken
  • Banken
  • Informationen
  • Vertriebsrisiko
  • Marisk
Erfolgreiche Zusammenarbeit

u

u Informationstechnologie Neun Erfolgsfaktoren für eine erhöhte Informationssicherheit Wie sich Organisationen besser vor Cyberkriminalität schützen können. von Florian Stahl Laut einer im Juni 2014 veröffentlichten Studie 1 des Center of Strategic and International Studies verliert Deutschland jährlich 1,6 Prozent seines Bruttoinlandsprodukts durch Cyberkriminalität. Das entsprach im Jahr 2013 in etwa 58 Milliarden Euro. Unter den 31 in der Studie untersuchten Ländern hat Deutschland damit weltweit den prozentual höchsten Schaden, gefolgt von den Niederlanden mit 1,5 Prozent und den Vereinigten Staaten mit 0,64 Prozent. Obwohl spätestens seit den Enthüllungen von Edward Snowden die Themen Datensicherheit und Cyberspionage buchstäblich in aller Munde sind, gibt es erhebliche Defizite bei der Wirksamkeit von Informationssicherheit in der Praxis. Zwar orientieren sich mittlerweile viele Unternehmen und Behörden an Standards wie der ISO/IEC 27001 und im öffentlichen Bereich vor allem den IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Aber dies allein reicht nicht aus, um Angreifer oder sogar Geheimdienste von vertraulichen Daten deutscher Unternehmen, Behörden oder Bürgern erfolgreich fernzuhalten. Informationssicherheit ist mehr als nur eine Frage der richtigen Technologie. Wichtig ist eine ganzheitliche Sicht auf das Thema, und zwar unter Berücksichtigung aller beteiligten Personen, erforderlichen Prozesse, Technologien und eines adäquaten Managements. So haben beispielsweise viele Unternehmen Firewalls und Antivirensoftware im Einsatz, um sich vor externen Angriffen zu schützen – der Faktor Mensch allerdings wird viel zu selten bedacht. Die Mehrzahl der Sicherheitsvorfälle wird nämlich – laut einer aktuellen Studie der Unternehmensberatung PwC 2 – durch die eigenen Mitarbeiter verursacht: einerseits, indem sie sich z. B. durch Weitergabe sensibler Daten an die Konkurrenz persönlich bereichern, andererseits, indem sie durch unvorsichtiges Handeln, durch Fehler oder Schwächen bei der Anwendung Einfallstore für Angreifer öffnen. Systematisch berücksichtigt und abgearbeitet, erhöhen die folgenden neun Hinweise die Informationssicherheit in einem Unternehmen. 12 I NEWS 02/2015

Informationstechnologie t Die Bedrohung nicht unterschätzen Viele Unternehmens- und Abteilungsleiter sind sich des Risikos durch Cyberangriffe oder Wirtschaftsspionage nicht bewusst und unterschätzen den daraus resultierenden Schaden für ihre Organisation oder langfristig sogar für ein ganzes Land. Die durch IT-Sicherheitsvorfälle verursachten Schäden haben in den letzten Jahren rapide zugenommen. Die Situation wird durch zunehmende Globalisierung und IT-Einsatz in allen Bereichen sehr komplex, die Risiken für den Laien kaum mehr überschaubar. Weitverbreitet ist auch der Irrglaube, dass die Daten des eigenen Unternehmens „sowieso nicht interessant sind“. Aber Angreifer nehmen immer öfter auch mittlere und kleine Unternehmen ins Visier. Diese haben häufig noch weniger in die Absicherung ihrer Systeme investiert, halten aber gleichzeitig wertvolle Daten und Informationen vor oder ermöglichen durch ihre Beziehungen zu Dienstleistern den Zugriff auf deren Daten. Informationssicherheit sollte daher immer mit geschulten Fachleuten umgesetzt werden und nicht von Mitarbeitern, die sich vermeintlich gut mit dem Thema auskennen. Sicherheitsvorfälle aufdecken Möglicherweise gab es in jedem Unternehmen bereits Sicherheitsvorfälle, die nicht entdeckt wurden. Denn bei Datendiebstahl werden – anders als beim herkömmlichen Diebstahl von Waren – die Daten nicht entwendet, sondern lediglich kopiert. Ohne Erhebung und gezielte Auswertung von Log-Daten fallen unerlaubte Zugriffe oder Datenmanipulationen von intern oder extern oftmals gar nicht auf. Um verdächtige Aktivitäten aufzudecken, benötigt man zum Beispiel ein SIEM-System (Security Information and Event Management). Damit werden sicherheitsrelevante Log-Daten gezielt miteinander verknüpft, und bei bestimmten Ereignissen, beispielsweise mehr als zehn erfolglosen Log-in-Versuchen von einer ausländischen IP-Adresse, wird ein Alarm ausgelöst beziehungsweise diese IP-Adresse automatisch geblockt. Neue Bedrohungen ernst nehmen, alte nicht vernachlässigen Neue Entwicklungen, wie der Einsatz von Smartphones oder mobilen Apps im Unternehmensumfeld, bergen neue Risiken, die adressiert werden sollten. Mobile Endgeräte gehen leichter verloren oder werden gestohlen. Die ständige Verbindung in öffentliche und potenziell unsichere Netzwerke erlaubt neue Angriffe. Dennoch gilt es nicht nur diese „Trend-Themen“ abzusichern, sondern durch einen ganzheitlichen Ansatz alle Risiken zu berücksichtigen. Schwachstellen in Web-Anwendungen sind beispielsweise bereits seit vielen Jahren ein großes Einfallstor für Angreifer, weil viele Organisationen keine durchgängigen Prozesse zur Absicherung und zum regelmäßigen Einspielen von Sicherheits-Updates (Patch-Management) etabliert haben. Daher sollten alle Informationen und fachlichen Prozesse (Assets) systematisch erfasst werden, um alle damit verbundenen Systeme und Applikationen in zentrale Prozesse wie das Patch- Management einbinden und somit angemessen absichern zu können. Gibt es keine komplette Übersicht der vorhandenen Assets, entsteht häufig eine Systemlandschaft mit sehr unterschiedlichen Sicherheitsniveaus. Und Angreifer werden das schwächste Glied in der Kette mit Sicherheit finden. Sicherheit von Beginn an berücksichtigen Bei der Entwicklung neuer Lösungen sollte das Thema Sicherheit von Beginn an berücksichtigt und in die zu entwickelnde Anwendung konzeptioniert werden. Erfolgt dies erst in späteren Entwicklungsphasen, können Sicherheitslücken zwar teilweise 1 Center of Strategic and International Studies: Net Losses: Estimating the Global Cost of Cybercrime, URL: http://csis.org/files/attachments/140609_ rp_economic_impact_cybercrime_report.pdf, Stand: Juni 2014. 2 PwC: Global State of Information Security Study 2015, URL: http://www.pwc. de/gsiss2015. NEWS 02/2015 I 13

msg

01 | 2018 public
02 | 2017 public
01 | 2017 public
02 | 2016 public
01 | 2016 public
02 | 2015 public
01 | 2015 public
01 | 2014 public
01 | 2014 msg systems study
01 | 2015 msg systems Studienband
Future Utility 2030
Lünendonk® Trendstudie
Digitale Transformation | DE
Digital Transformation | EN
DE | inscom 2014 Report
EN | inscom 2014 Report

msgGillardon

02 | 2018 NEWS
03 | 2016 NEWS
02 | 2016 NEWS
01 | 2016 NEWS
03 | 2015 NEWS
02 | 2015 NEWS
01 | 2015 NEWS
02 | 2014 NEWS
01 | 2014 NEWS
02 | 2013 NEWS
01 | 2012 NEWS
02 | 2011 NEWS
01 | 2010 NEWS
MaRisk
01 | 2017 banking insight
01 | 2015 banking insight
01 | 2014 banking insight
01 | 2013 banking insight
01 | 2012 banking insight
02 | 2011 banking insight
01 | 2011 banking insight
01 | 2010 banking insight
2018 | Seminarkatalog | Finanzen

Über msg



msg ist eine unabhängige, international agierende Unternehmensgruppe mit weltweit mehr als 6.000 Mitarbeitern. Sie bietet ein ganzheitliches Leistungsspektrum aus einfallsreicher strategischer Beratung und intelligenten, nachhaltig wertschöpfenden IT-Lösungen für die Branchen Automotive, Banking, Food, Insurance, Life Science & Healthcare, Public Sector, Telecommunications, Travel & Logistics sowie Utilities und hat in über 35 Jahren einen ausgezeichneten Ruf als Branchenspezialist erworben.

Die Bandbreite unterschiedlicher Branchen- und Themenschwerpunkte decken im Unternehmensverbund eigenständige Gesellschaften ab: Dabei bildet die msg systems ag den zentralen Kern der Unternehmensgruppe und arbeitet mit den Gesellschaften fachlich und organisatorisch eng zusammen. So werden die Kompetenzen, Erfahrungen und das Know-how aller Mitglieder zu einem ganzheitlichen Lösungsportfolio mit messbarem Mehrwert für die Kunden gebündelt. msg nimmt im Ranking der IT-Beratungs- und Systemintegrationsunternehmen in Deutschland Platz 7 ein.


© 2018 by msg systems ag - powered by yumpu Datenschutz | Impressum