Frageliste: Wie geht mein Unternehmen mit Sicherheitsproblemen um?

Eine Auswahl wichtiger Fragen von UnternehmensentscheiderInnen an ihre IT-Verantwortlichen zur Einschätzung der IT-Sicherheitslage eines Unternehmens

Cyber Angriffe können jedes Unternehmen betreffen. Egal, ob es sich dabei um einen börsennotierten Konzern, ein mittelständisches KMU oder Ein-Personen-Unternehmen handelt. Während große Firmen für gewöhnlich über entsprechendes Know-how in eigenen IT-Abteilungen verfügen, sind vor allem Kleine und Mittlere Unternehmen häufig nur unzureichend gegen Bedrohungen aus dem Netz abgesichert – und stellen somit in den Augen von Cyber Angreifern ein vergleichsweise leichtes Ziel dar.

Diese Liste versteht sich hierbei nicht als allumfassende Aufzählung sämtlicher kritischer Bereiche, sondern will gezielt organisatorische Themen abseits der klassisch rein technisch fokussierten Maßnahmen wie etwa Backup, Passwortrichtlinien oder physikalische Sicherheit ansprechen.

Informationsfluss

  • Wie und vor allem wer erfährt im Unternehmen von IT-Sicherheitsproblemen (wenn beispielsweise Dritte auf eine Sicherheitslücke gestoßen sind und diese melden wollen)?
  • Gibt es dazu eine klar definierte Prozesskette, wie (Weiter-)Meldungen & Eskalationen zu erfolgen haben?
  • Verfügt das Unternehmen über ein entsprechendes Social Media bzw. Medienmonitoring, um allfällige Sicherheitsvorfälle in Verbindung mit dem eigenen Firmen- oder Produktnamen selbst erkennen zu können, sobald darüber berichtet wird?

Verantwortlichkeiten

  • Gibt es im Unternehmen für alle relevanten Systeme und Services klare Verantwortlichkeiten bzw. Zuständige mit entsprechenden Stellvertretungs-regelungen? (Hinweis: Das betrifft in diesem Kontext alles, was einem Unternehmen potenziellen Schaden zufügen kann und inkludiert insbesondere auch extern gehostete oder outgesourcte Projekt- oder Produkt-Webseiten)

Abläufe

  • Wenn ein IT-Sicherheitsvorfall eingetreten ist: Gibt es entsprechende Einsatz- oder Ablaufpläne? (Hinweis: Idealerweise nach unterschiedlichen Kategorien sortiert; beispielsweise ob es sich um ein rein internes Problem handelt, es bereits öffentlich bekannt ist oder womöglich sogar personenbezogene Daten im Sinne des österreichischen Datenschutzgesetzes betroffen sind).

Erreichbarkeit

  • Ist die Erreichbarkeit der wichtigsten Unternehmensbereiche (beispielsweise Geschäftsführung, IT/Technik, Presse/PR) auch außerhalb der Bürozeiten sichergestellt?

Vertrauenswürdigkeit externer Dienstleister

  • Sind alle extern zugekauften Dienstleistungen (von Co-Location bis hin zur Cloud) mit entsprechenden Security Service-Level-Agreements (SLA) versehen, als vertrauenswürdig einzustufen und verfügen die Dienstleister über eine entsprechende Zertifizierung (zB ISO 27001)?

Versicherung

  • Welche IT-Risiken eines Unternehmens sind prinzipiell versicherbar?
  • Bei welchen könnte das aus Sicht des Unternehmens auch wirtschaftlich vernünftig sein?

Eigene Zertifizierung

  • Was wäre der Aufwand einer IT-Security-Zertifizierung (zB ISO 27001) und was der potenzielle Nutzen aus Sicht des Unternehmens (zB aus Sicht von IT, Marketing, neuen Auftragsmöglichkeiten etc.)?

Kritische Infrastruktur & Auswirkungen der europäischen NIS-Richtlinie

  • Wie ist das Unternehmen auf die Anforderungen der europäischen NIS-Richtlinie (siehe Kapitel 4) und der damit verbundenen nationalen Umsetzung vorbereitet?
  • Ist das Unternehmen womöglich selbst der "kritischen Infrastruktur" zuzuordnen?

Investitionen

  • Wieviel Aufwand (sowohl personell wie auch finanziell) wird derzeit in IT-Security-Themen investiert?
  • Wie ist das Verhältnis von reiner Angriffs-Abwehr (Prävention) zu Erkennung erfolgreicher Angriffe (Detection) im Unternehmen?

Verhaltensregeln

  • Gibt es im Unternehmen klare Richtlinien zu Privatnutzung, Verhaltensregeln und Themen wie Smartphones/Tablets und BYOD (Bring Your Own Device, Anm.)?
  • Kann jedes Gerät im Unternehmensnetzwerk (inkl. BYOD) einem Benutzer bzw. einem Verantwortlichen zugeordnet werden und ist sichergestellt, dass alle Geräte (insb. auch BYOD) auf aktuellem Stand und entsprechend sicher konfiguriert sind?

Sollten im Zuge der Beantwortung dieser Fragen Unklarheiten oder weitere offene Fragen auftauchen, empfehlen CERT.at und GovCERT.gv.at den Unternehmen jedenfalls, sich intern wie auch extern – beispielsweise durch externe IT-SicherheitsexpertInnen – näher mit dem Thema IT-Sicherheit zu befassen.

Neben jenen Maßnahmen, die zur Prävention von IT-Sicherheitsvorfällen gesetzt werden, sind darüber hinaus auch Maßnahmen (Investitionen und personelle Ressourcen) in die Angriffserkennung ("Detection") sowie die proaktive Systemwartung und Vorfallsbehandlung ("Remediation") von hoher Bedeutung.





<< Vorige Nächste >>