Ihr direkter Kontakt zu uns | Tel: +49 (0)211 - 51 369 313 | E-Mail: info [ at ] data-elements.de
DATA_ELEMENTS - die Elemente für Datenschutz & Datensicherheit
  • Link zu Rss dieser Seite
  • Link zu LinkedIn
  • Link zu Mail
  • ΞLΞMΞNTS | 4U
    • ELEMENT 1 | Bestandsanalyse
    • ELEMENT 2 | Support int. DSB
    • ELEMENT 3 | Externer DSB
    • ELEMENT 4 | Hacking + Audits
  • | Das Unternehmen
    • | Aktuelle Projekte (Auszug)
    • | Kunden über uns
    • | Was für uns spricht
    • | Kontakt
    • | Impressum
    • | Datenschutzerklärung
  • | Datenschutz
    • | Gesetzliche Auflagen
    • | Verstöße im Datenschutz
    • | Top 10 der Verstöße
    • | Der Datenschutzbeauftragte
    • | Externe Datenschützer
    • | Praxisfälle
    • | DS-GVO
    • | DS-GVO 2.0 („GDPR 2.0“ !?)
    • | KI (AI)
  • | Datensicherheit
    • | Das IT-Security Audit
    • | Website Audit
    • | Datenschutz Audit
    • | Wirtschaftlichkeit
    • | Top 10 für mehr IT-Sicherheit
    • | „Sicherheitsfaktor“ Mensch
    • | NIS-2
  • | Digital Learning Solutions
    • | Security Awareness
    • | Trainings & Digitale Lernformate
    • | KI (AI) & Digital Learning
    • | IT-Expert Trainings
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü

| Top 10 für mehr IT-Sicherheit

Zurück Zurück Zurück Weiter Weiter Weiter
123456

Was sollten Unternehmen berücksichtigen, um ihren IT-Verbund bzgl. IT-Sicherheit realistisch einschätzen zu können und so zu mehr – und insbesondere nachhaltiger – Compliance und Datensicherheit zu kommen?
DATA ELEMENTS empfiehlt hier die folgenden 10 goldenen Regeln einzuhalten:

1. Objektive Testing-Tools

Herstellerunabhängige Testing-Tools einsetzen

Die erste Regel lautet: Niemals die Testwerkzeuge der Hersteller-Software nutzen.
Welches Interesse sollte ein Hersteller haben, seine eigenen Schwachstellen aufzudecken?

2. Standards ergänzen

Standards um firmenspezifische Konzepte ergänzen

Vorhandene Standards (z.B. der Prüfleitfaden von DSAG und BSI) sollten um kundenindividuelle Prüfungen ergänzt werden. Standards geben immer nur den gemeinsamen Nenner aus den Erfahrungen verschiedener Systemverantwortlicher wieder. Sie sind nie als vollständig zu betrachten. Die Standards sollten als Checkliste für die Basisprüfung gesehen werden.

Ein Beispiel ist die Empfehlung der DSAG, bestimmte Parameter zur Sicherstellung einer Passwortrichtlinie zu setzen. Doch welche Auswirkungen hat diese Richtlinienänderung in der Realität? Erst ein firmenspezifisches Konzept und die entsprechende Umsetzungserfahrung können verhindern, dass nach der Umstellung ein böses Erwachen in Form von Passwortproblemen für alle User erfolgt.

3. „Systemkonsistenz“ wahren

„Systemkonsistenz“ wahren

Es müssen Tool-Deployments auf dem Produktivsystem vermieden werden. Das eingesetzte Werkzeug sollte zwingend von außen prüfen. Jeder Transport in das System von ungeprüfter Stelle ist eine potentielle Gefahr.

4. Hybride Analysemethodik

Hybride Analysemethodik verwenden

Ein Audit wird idR aus Effizienzgründen überwiegend automatisch erfolgen. Zur Interpretation der erhobenen Daten und zur Bewertung der Ergebnisse bedarf es fachkundiger Expertise und Beratung. Es ist weder sinnvoll noch möglich, eine valide Untersuchung ohne manuelle Tätigkeiten durchzuführen.

Die Automatisierung mit Hilfe von Tools liefert die Basis für weitere, tiefere Analysen. Die Ergebnisse sind oft nur dann stichhaltig, wenn sie z.B. durch Interviews und Einordnung in die individuelle Systemsituation ergänzt und näher analysiert, geprüft und bewertet werden.

5. Schwachstellen priorisieren

Schwachstellen – Priorisierung

Um auf effiziente Weise nachhaltig einen höheren Sicherheitsstandard zu erreichen, muss gewichtet und priorisiert werden. Die größte Sicherheit wird zunächst an den Schnittstellen nach außen erreicht.

Es wäre z.B. nicht sinnvoll, zuerst detaillierte Anwendungsbereiche abzusichern und gleichzeitig bestimmte Schwachstellen bei externen Schnittstellen ins Internet zu vernachlässigen.

6. Kosten und Nutzen

Kosten und Nutzen Rechnung

Sicherheit ist immer auch eine Frage des Budgets und des Zeitaufwands!
Bei jeder Maßnahme muss in Relation gesetzt werden, ob der Aufwand durch die Erhöhung des Standards gerechtfertigt wird.

Insbesondere sind erforderliche Maßnahmen mit geeigneten Mitteln angemessen umzusetzen.

7. Measurability

Messbarkeit herstellen

Damit die Ergebnisse vergleichbar sind, müssen sie messbar sein. Hier empfiehlt sich das Arbeiten mit sog. Security-Benchmarks. Hier werden aus verschiedenen auditierten Systemen die Schwachstellen pro Kategorie statistisch erfasst und können zum Vergleich herangezogen werden.

So kann ein System benotet und dem Verantwortlichen eine Argumentationsgrundlage zur Budgetierung zur Verfügung gestellt werden. Anhand solcher Benchmarks lässt sich auch die Wirksamkeit von Umsetzungsmaßnahmen, etwa durch Erreichen eines definiert höheren Sicherheitslevels, messen und nachvollziehen.

8. Skalierbare Analysen

Skalierbare Analysen nutzen

Mit sogenannten Standardchecks, die bei jedem Audit durchgeführt werden, wird eine Basissicherheit hergestellt. Trotzdem muss der Fokus je nach Systemausprägung auf unterschiedlichen Bereichen liegen. In einem CRM-System werden andere Komponenten betrachtet, als in einem ERP-System.

Ein flexibles Audit ist Voraussetzung. Die Analyse muss um zusätzliche Themen erweitert werden können.

9. Delta - Audits

Rollierende Delta – Audits planen

Systeme sind ständiger Veränderung unterworfen. Um einen erreichten Sicherheitsstandard zu halten bzw. weiter zu erhöhen, sollte ein Audit regelmäßig wiederholt werden. Nicht jede Änderung ist in der Realität dokumentiert und auch nicht immer beabsichtigt.

Über regelmäßige Delta-Audits lassen sich auch Sicherheitstrends erkennen und rechtzeitig Gegenmaßen einleiten.

10. Sicherheit verankern

Sicherheitsverantwortung organisatorisch verankern

Ein Audit ohne organisatorische Sicherheitsverantwortlichkeit bleibt eine reine Willensbekundung. Das Thema ist oft mit Wiederständen verbunden.

Umso wichtiger sind ein klares Konzept und ein Commitment auf Managementebene.

Wir helfen Ihnen diese Nachhaltige Überzeugung zu generieren.

|_ News _ Aktuelles

  • Datenschutz (AufsichtsB)
  • IT-Sicherheit
Neu: Newsletter "Privacy in Bavaria 04_2026"
7 Juli 2026
Neu: Vernichtung und Entsorgung von Datenträgern
19 Juni 2026
Neu: Identifizierbarkeit natürlicher Personen
19 Mai 2026
Neu: Newsletter "Privacy in Bavaria 03_2026"
6 Mai 2026
Neu: Einsatz eines LLM-gestützten Chatbots (AI in a nutshell 3)
24 April 2026
Neu: KI-basierte Sprachübersetzungstools (AI in a nutshell 2)
13 April 2026
Neu: Künstliche Intelligenz (KI)
31 März 2026
Neu: Pressemitteilung: KI mit Datenschutz in öffentlicher Hand
31 März 2026
Neu: Datenschutz bei KI-Projekten in der bayerischen Verwaltung (Orientierungshilfe)
31 März 2026
Neu: Anbindung eines RAG-Subsystems an ein KI-System mit Sprachmodell (AI in a nutshell 1)
31 März 2026
Werbeblocker Pi-hole: Update stopft hochriskante Sicherheitslücken
13 Juli 2026
Progress warnt Admins: ShareFile deaktivieren
13 Juli 2026
n8n: CERT-Bund veröffentlicht Warnmeldung zu kürzlich beseitigten Schwachstellen
9 Juli 2026
Chrome-Browser & ChromeOS LTS : Updates schließen teils kritische Lücken
9 Juli 2026
Foxit-Entwickler schließen Schwachstellen in PDF Reader und Editor
8 Juli 2026
CERT betont Wichtigkeit: Security-Patch für Geoinformationssystem-Plattform
8 Juli 2026
Zimbra Collaboration Suite: Kritische Lücke macht Classic Web Client angreifbar
7 Juli 2026
OPNsense-Update beseitigt kritische Rootlücke und weitere Sicherheitsrisiken
6 Juli 2026
Dell dichtet PowerProtect Data Domain gegen gefährliche Angriffsszenarien ab
6 Juli 2026
Coolify: Kritische Lücken können Remote-Angriffe ermöglichen
6 Juli 2026
© Copyright - DATA_ELEMENTS GmbH & Co.KG | Sicher mit Recht und Technik | Die Elemente für Datenschutz & Datensicherheit
  • Link zu Rss dieser Seite
  • Link zu LinkedIn
  • Link zu Mail
  • | Impressum
  • | Kontakt
  • | Datenschutzerklärung
Nach oben scrollen Nach oben scrollen Nach oben scrollen