Keine Entwarnung in Sicht

Tipps für bessere Cyber-Sicherheit

Das Jahr 2016 war ein neuer Höhepunkt in Häufigkeit, Ausmaß und Qualität der Cyber-Attacken. Eine Entwarnung ist nicht in Sicht. Doch wie können sich Unternehmen und die Öffentliche Hand für die Herausforderungen von heute und morgen wappnen? Der TÜV Rheinland hat ein paar Tipps parat.

Um die Kontrolle über ihre Daten zu behalten und sich vor Cyber-Angriffen zu schützen, sollten Unternehmen u.a. auf IAM setzen.

Nicht nur in Deutschland, sondern weltweit sieht man einem Zeitalter signifikanter Datenverletzungen entgegen. „Die daraus resultierende Fülle und Verfügbarkeit an sensiblen Informationen über Menschen und Systeme werden zwangsläufig zu einem erhöhten Anpassungsdruck für gegenwärtige IT-Sicherheitsstrategien führen“, ist Björn Haan, Geschäftsfeldleiter bei TÜV Rheinland, überzeugt. In ihren aktuellen Cyber-Security-Trends 2017 prognostizieren die Experten nicht nur die Herausforderungen der nächsten Monate, sondern geben auch konkrete Handlungsempfehlungen:

Endpoint Protection


Die Endpoint-Protection sollte nicht vernachlässigt werden, denn mobile Geräte, Desktop-Rechner, Server und vor allem vernetzte Devices zählen zu den am einfachsten zu kapernden Einfallstoren für Angreifer. Es ist dringend zu empfehlen, mindestens die Standardmaßnahmen auszuschöpfen, die den Schutz vor Angriffen steigern. Alle Endpoint-Systeme und -Daten sollten eindeutig zuzuordnen sein und abgestimmt in ihrer Bedeutung zu den Business-Zielen und der Risikostrategie der Organisation verwaltet werden. Die Erkennung von Angriffen und Datendiebstahl sollte auch auf den Endgeräten sichergestellt sein. Zero-Day-Malware-Detektion – d.h. verhaltensbasierte Detektion und proaktiver Schutz – sind für Endgeräte unerlässlich. Volle Applikationskontrolle und Whitelisting von Anwendungen sind ein zusätzliches Sicherheitsplus für Endgeräte. Cyber-Sicherheitstests inklusive Schwachstellenanalyse und Penetrationstests sollten bei Endpoints regelmäßig durchgeführt werden.

Identity- and Access-Management (IAM)


Identity- and Access-Management und Cloud sollten stärker miteinander verzahnt werden. Wer Cloud-Services einsetzt, ohne das Zugriffsmanagement anzupassen, stößt früher oder später an Grenzen. Verwaltungsaufgaben müssen mehrfach und manuell durchgeführt werden. Das kostet nicht nur Geld, sondern geht auch zu Lasten der Sicherheit, denn nicht automatisierte Prozesse führen zu Fehlern, wie z.B. dass Berechtigungen erhalten bleiben, obwohl der Benutzer schon lange das Unternehmen verlassen hat. Dieses Defizit stellen die Experten bei Audits regelmäßig fest. IAM ist der Schlüssel, um die Resilienz von Organisationen gegenüber Cyber-Attacken weiter zu steigern. Unternehmen, die ihr IAM mit realistischen Bedrohungsszenarien unterlegen, profitieren von einer starken Identitäts- und Zugangskontrolle und abgesicherten IAM-Schnittstellen.

Managed Security Services


Externe Partner hinzuziehen, statt kritische Sicherheitslücken zu riskieren: Viele Unternehmen stehen der Auslagerung von Cyber-Sicherheit an externe Partner nach wie vor kritisch gegenüber. Wer den Bedarf an Fachkräften intern nicht decken kann, sollte Vertrauen zu einem externen Partner für Cyber Security fassen. Dies wird angesichts des anhaltenden Fachkräftemangels zu einem der wichtigsten Erfolgsfaktoren für die Absicherung des Unternehmens, nicht zuletzt auch wegen der wachsenden Zahl an Innentätern.

Industrie 4.0


Cyber Security muss mitdenken: Weil Industrie und Kritische Infrastrukturen mehr denn je der Gefahr unberechtigter Zugriffe ausgesetzt sind, und die IT wesentlich für die funktionale Sicherheit in der Fertigung, für den sicheren Datenaustausch und für die Verfügbarkeit sowie Ausfallsicherheit vernetzter Systeme ist, fordern die Experten, funktionale Sicherheit und Cyber Security noch stärker integriert zu betrachten.

Dies ist ein Artikel aus unserer Print-Ausgabe 05/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Empfehlenswert ist ein „By-Design“-Ansatz: Das heißt, die Entwicklung von Anlagen und Komponenten muss so gestaltet sein, dass mögliche Sicherheitslücken schon im kleinsten Bauteil idealerweise vermieden oder bereits so früh wie möglich erkannt und eliminiert werden, damit sie nicht zu einem Sicherheitsrisiko für die Anlage bis hin zum Gemeinwesen werden.

Governance, Risk & Compliance (GRC)


eGRC und IT-GRC integriert betrachten, was nicht nur das Reporting gegenüber Aufsichtsbehörden verbessert. Vielmehr erlaubt dies einen unverstellten Blick auf die tatsächliche Risiko-Exposition und zu schützende Werte der Organisation. Das ermöglicht der Unternehmensführung eine deutlich höhere Entscheidungsqualität. Angesichts verschärfter gesetzlicher Anforderungen wie der EU-Datenschutzgrundverordnung und mit Blick auf den Schutz des geistigen Eigentums ist das für Unternehmen von vitaler Bedeutung.

Managementgerechte Kommunikation


Angesichts der aktuellen Herausforderungen rund um das Thema Cyber-Sicherheit kommt dem Top-Management mehr denn je eine Schlüsselrolle zu. Hier kommt es vor allem auf die wirksame Kommunikation zwischen CISO, CIO und CEO an. Wichtig ist, dass Spezialisten für Cyber Security ihre Inhalte managementgerecht und verständlich formulieren, um stärker für die strategische Bedeutung von IT-Sicherheit zu sensibilisieren. So fordert etwa Frank Luzsicza, Leiter des Geschäftsbereichs ICT & Business Solutions bei TÜV Rheinland, einen generellen Paradigmenwechsel bei Unternehmen und der Öffentlichen Hand: „Cyber Security muss Teil des Business Cases sein und darf nicht als reiner Kostentreiber gesehen werden.“

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok