Was sollten Unternehmen berücksichtigen, um ihren IT-Verbund bzgl. IT-Sicherheit realistisch einschätzen zu können und so zu mehr – und insbesondere nachhaltiger – Compliance und Datensicherheit zu kommen?
DATA ELEMENTS empfiehlt hier die folgenden 10 goldenen Regeln einzuhalten:
Herstellerunabhängige Testing-Tools einsetzen
Die erste Regel lautet: Niemals die Testwerkzeuge der Hersteller-Software nutzen.
Welches Interesse sollte ein Hersteller haben, seine eigenen Schwachstellen aufzudecken?
Standards um firmenspezifische Konzepte ergänzen
Vorhandene Standards (z.B. der Prüfleitfaden von DSAG und BSI) sollten um kundenindividuelle Prüfungen ergänzt werden. Standards geben immer nur den gemeinsamen Nenner aus den Erfahrungen verschiedener Systemverantwortlicher wieder. Sie sind nie als vollständig zu betrachten. Die Standards sollten als Checkliste für die Basisprüfung gesehen werden.
Ein Beispiel ist die Empfehlung der DSAG, bestimmte Parameter zur Sicherstellung einer Passwortrichtlinie zu setzen. Doch welche Auswirkungen hat diese Richtlinienänderung in der Realität? Erst ein firmenspezifisches Konzept und die entsprechende Umsetzungserfahrung können verhindern, dass nach der Umstellung ein böses Erwachen in Form von Passwortproblemen für alle User erfolgt.
„Systemkonsistenz“ wahren
Es müssen Tool-Deployments auf dem Produktivsystem vermieden werden. Das eingesetzte Werkzeug sollte zwingend von außen prüfen. Jeder Transport in das System von ungeprüfter Stelle ist eine potentielle Gefahr.
Hybride Analysemethodik verwenden
Ein Audit wird idR aus Effizienzgründen überwiegend automatisch erfolgen. Zur Interpretation der erhobenen Daten und zur Bewertung der Ergebnisse bedarf es fachkundiger Expertise und Beratung. Es ist weder sinnvoll noch möglich, eine valide Untersuchung ohne manuelle Tätigkeiten durchzuführen.
Die Automatisierung mit Hilfe von Tools liefert die Basis für weitere, tiefere Analysen. Die Ergebnisse sind oft nur dann stichhaltig, wenn sie z.B. durch Interviews und Einordnung in die individuelle Systemsituation ergänzt und näher analysiert, geprüft und bewertet werden.
Schwachstellen – Priorisierung
Um auf effiziente Weise nachhaltig einen höheren Sicherheitsstandard zu erreichen, muss gewichtet und priorisiert werden. Die größte Sicherheit wird zunächst an den Schnittstellen nach außen erreicht.
Es wäre z.B. nicht sinnvoll, zuerst detaillierte Anwendungsbereiche abzusichern und gleichzeitig bestimmte Schwachstellen bei externen Schnittstellen ins Internet zu vernachlässigen.
Kosten und Nutzen Rechnung
Sicherheit ist immer auch eine Frage des Budgets und des Zeitaufwands!
Bei jeder Maßnahme muss in Relation gesetzt werden, ob der Aufwand durch die Erhöhung des Standards gerechtfertigt wird.
Insbesondere sind erforderliche Maßnahmen mit geeigneten Mitteln angemessen umzusetzen.
Messbarkeit herstellen
Damit die Ergebnisse vergleichbar sind, müssen sie messbar sein. Hier empfiehlt sich das Arbeiten mit sog. Security-Benchmarks. Hier werden aus verschiedenen auditierten Systemen die Schwachstellen pro Kategorie statistisch erfasst und können zum Vergleich herangezogen werden.
So kann ein System benotet und dem Verantwortlichen eine Argumentationsgrundlage zur Budgetierung zur Verfügung gestellt werden. Anhand solcher Benchmarks lässt sich auch die Wirksamkeit von Umsetzungsmaßnahmen, etwa durch Erreichen eines definiert höheren Sicherheitslevels, messen und nachvollziehen.
Skalierbare Analysen nutzen
Mit sogenannten Standardchecks, die bei jedem Audit durchgeführt werden, wird eine Basissicherheit hergestellt. Trotzdem muss der Fokus je nach Systemausprägung auf unterschiedlichen Bereichen liegen. In einem CRM-System werden andere Komponenten betrachtet, als in einem ERP-System.
Ein flexibles Audit ist Voraussetzung. Die Analyse muss um zusätzliche Themen erweitert werden können.
Rollierende Delta – Audits planen
Systeme sind ständiger Veränderung unterworfen. Um einen erreichten Sicherheitsstandard zu halten bzw. weiter zu erhöhen, sollte ein Audit regelmäßig wiederholt werden. Nicht jede Änderung ist in der Realität dokumentiert und auch nicht immer beabsichtigt.
Über regelmäßige Delta-Audits lassen sich auch Sicherheitstrends erkennen und rechtzeitig Gegenmaßen einleiten.
Sicherheitsverantwortung organisatorisch verankern
Ein Audit ohne organisatorische Sicherheitsverantwortlichkeit bleibt eine reine Willensbekundung. Das Thema ist oft mit Wiederständen verbunden.
Umso wichtiger sind ein klares Konzept und ein Commitment auf Managementebene.
Wir helfen Ihnen diese Nachhaltige Überzeugung zu generieren.