Mit IT Security Assessment zu effektiven Schutzmaßnahmen

KMU sind vermehrt Opfer von Cyberangriffen. Da ihre IT häufig mehr Lücken hat als die großer Unternehmen, bieten sie auch mehr Angriffsfläche. Bei bis zu 500.000 neuen Schadvarianten sowie 18 Zero Day Hacks täglich mit oft fatalen Folgen. Ein Cybersecurity Assessment identifiziert potenzielle Einfallstore und zeigt notwendige Sicherheitsmaßnahmen auf. [...]

Laut einer Studie des Digitalverbands Bitkom sehen sich zwei Drittel der befragten Unternehmen durch Cyberattacken in ihrer Existenz bedroht. Und 80 Prozent der Betriebe stellten in den vergangenen zwölf Monaten eine Zunahme von Cyberattacken fest. Vor allem Ransomware- und Denial-of-Service-Angriffe haben deutlich zugenommen.

Während große Unternehmen ihre IT schon gut abgesichert haben, fehlt es im Mittelstand dafür vielfach an Zeit und Geld. Mit schwerwiegenden Folgen. „Um den Status quo der eigenen IT-Sicherheit festzustellen, braucht es eine detaillierte Analyse der IT-Schwachstellen. Dies lässt sich innerhalb von zwei Tagen bewerkstelligen“, erklärt Michael Bölk, CTO der mosaic IT Group, einem Anbieter von kundenspezifischen Managed Services für Cybersecurity- und Cloud-Lösungen. „IT-Manager und IT-Security-Verantwortliche ermitteln so in kürzester Zeit ihr aktuelles Risiko und erhalten Handlungsempfehlungen für wirksame Schutzmaßnahmen.“

Bei einem Cybersecurity Assessment geht es nicht nur darum, nach möglichen technischen Einfallstoren zu suchen. Vielmehr gilt es, den allgemeinen Sicherheitsstatus des Unternehmens zu evaluieren – einschließlich Sicherheitsrichtlinien, Prozessen und Mitarbeiterbewusstsein. Der Weg zu einem umfassenden Statusbericht führt daher über 5 Schritte.

Schritt 1: Analysieren der technischen Infrastruktur

Der erste Schritt ist die Bestandsaufnahme der gesamten technischen Infrastruktur, bestehend aus Netzwerken, Servern, Cloud-Umgebungen, Datenbanken. Auch IoT-Geräte und sämtliche Endpoints wie PCs, Laptops, Tablets oder Smartphones gilt es zu erfassen. Alle Systeme werden hinsichtlich Konfiguration, Patch-Status und Sicherheitseinstellungen geprüft und potenzielle Schwachstellen aufgedeckt.

Schritt 2: Prüfen von Daten und Anwendungen

Personenbezogene Daten von Kunden, Interessenten, Mitarbeitern und Partnern genießen besonderen Schutz; und auch sensible Geschäftsdaten dürfen nicht in unbefugte Hände gelangen. Besonderes Augenmerk gilt daher der Frage, welche Arten von Daten gespeichert werden und wie gut diese durch Zugriffsberechtigungen, Datenverschlüsselung oder sichere Methoden der Datenübertragung geschützt sind.

Schritt 3: Check von Prozessen und Richtlinien

In der Regel existieren Unternehmensrichtlinien dafür, wie Mitarbeiter mit IT-Systemen, Daten und Sicherheitsrisiken umgehen sollen. Doch werden diese auch angewandt? Ein Cybersecurity Assessment bewertet, wie umfassend Passwortrichtlinien, Zugriffskontrollen oder Notfallpläne bereits umgesetzt sind. Und ob Mitarbeiter für das Erkennen von Phishing- oder Malware-Attacken ausreichend sensibilisiert sind.

Schritt 4: Einbeziehen externer Beteiligter

Auch externe Partner greifen häufig auf kritische Daten, Anwendungen oder Netzwerke des Unternehmens zu. Sie tragen damit potenziell zu Schwachstellen in der IT-Umgebung bei. Stichwort: Lieferketten-Angriffe. Eine Sicherheitsüberprüfung aller genutzten Cloud-Dienste sowie Schnittstellen und Zugriffsberechtigungen externer Dienstleister ist daher zwingend Bestandteil eines Assessments. Sicherheitsmaßnahmen und insbesondere Maßnahmen zur IT-Sicherheit sind immer nur so gut wie für das schwächste Glied in der Kette. Unternehmen sollten deshalb unbedingt ihre gesamte Lieferkette in den Blick nehmen.

Schritt 5: Umsetzen von Compliance-Anforderungen

Regulatorische Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) oder NIS2 zielen darauf ab, Datenschutz und Cybersicherheit in Unternehmen zu verbessern. Werden diese nicht eingehalten, drohen rechtliche Konsequenzen und Reputationsschäden. Mehr noch: Bei schuldhaften Versäumnissen können Vorstände, Geschäftsführer und IT-Leiter persönlich auf Schadensersatz verklagt werden.

Cybersecurity-Assessment-Typen

Idealerweise kombiniert ein Cybersecurity Assessment unterschiedliche Methoden, um eine ganzheitliche Sicherheitsbewertung zu bieten. Nur so entsteht ein vollständiges Bild des aktuellen Schutzstatus. Die vier häufigsten Typen sind:

• Vulnerability-Scans sind automatisierte Tests, bei denen Systeme, Netzwerke und Anwendungen auf Widerstandsfähigkeit gegen bekannte Sicherheitslücken (Common Vulnerabilities and Exposures, CVE) geprüft werden. Sie lassen sich mithilfe spezieller Tools schnell und kosteneffizient durchführen und liefern eine Liste potenzieller Schwachstellen.
• Penetrationstests (Pen-Tests) simulieren reale Cyberangriffe auf die IT-Infrastruktur. Sie gehen deutlich weiter als ein Vulnerability-Scan, indem sie berücksichtigen, wie Schwachstellen kombiniert oder ausgenutzt werden können. Außerdem schließen sie eine Risikobewertung ein.
• Social-Engineering-Tests bewerten die Widerstandsfähigkeit von Mitarbeitern gegen soziale Manipulationen wie Phishing, Pretexting oder Tailgating. Der Test simuliert, wie Angreifer menschliches Verhalten ausnutzen, um an vertrauliche Informationen zu gelangen.
• Risikoanalysen/Security Assessments berücksichtigen sowohl technische als auch organisatorische Faktoren, bewerten deren Eintrittswahrscheinlichkeit und definieren Maßnahmen zur Risikominderung.

Fazit

IT-Sicherheit ist kein Zustand – IT-Sicherheit ist ein Prozess, den man aktiv betreiben muss. Durch eine umfassende Analyse der IT-Infrastruktur lassen sich technische, organisatorische und menschliche Sicherheitsrisiken identifizieren und effektive Schutzmaßnahmen ableiten.

„Grundsätzlich kann jedes Unternehmen selbst ein Cybersecurity Assessment durchführen. Allerdings fehlt es oft an der Zeit oder der nötigen Expertise“, unterstreicht Michael Bölk. „Außerdem sind externe Berater nicht in interne Prozesse oder Denkweisen verstrickt, was für eine unvoreingenommene Bewertung der Sicherheitslage sorgt.“