Home
Intern
veröffentlicht am 23. Juni 2020
Der Albtraum: Ihre Netzwerke sind trotz aller getroffenen Sicherheitsmaßnahmen von außen angreifbar. Noch schlimmer – von Ihren Servern werden Spam-Nachrichten an Kunden und Konkurrenten verschickt. Innerhalb des Unternehmens können Maßnahmen greifen, aber jede Aktivität hinterlässt im Netz einen digitalen Abdruck. Wir setzen bei unseren Mandanten ein Cyber Security Rating ein, um eine neutrale Bewertung der IT-Sicherheit vorzunehmen und Handlungsempfehlungen abzuleiten.
Über ein Cyber Security Rating werden öffentlich verfügbare Informationen über das Kommunikationsverhalten des Unternehmens im World-Wide-Web ermittelt. Die Art und Weise, wie kommuniziert wird, lässt Rückschlüsse auf die gewählten Sicherheitsmaßnahmen zu.
Sie erhalten einen Security Report im Zeitablauf. Damit können Sie genau nachvollziehen, wann welche Aktivität Einfluss auf Ihr Rating hatte. Hierzu verwertet das Instrument für die Ratings jeden Tag öffentlich zugänglichen Daten und Informationen. Sie müssen hierfür weder Personal abstellen, noch wird Ihr Unternehmen mit Penetrationstests und Virenattacken „lahmgelegt”. Beispiele für öffentliche Daten sind:
Ist erkennbar, dass Endgeräte oder Server aus dem eigenen Unternehmen mit bekannten Botnetzen kommunizieren und somit das eigenen System kompromittiert wird? Werden Endgeräte oder Server für Spam-Mails missbraucht? Werden eigene Systeme missbraucht, um Schadsoftware zu verteilen?
Kommunizieren Endgeräte über Kommunikationsprotokolle mit Dritten oder als gefährlich einzustufende Server (Tauschserver etc.) außerhalb des eigenen Unternehmens? Liegt somit der Verdacht nahe, dass eigene Anweisungen und Regelungen missachtet werden? Ist die Gefahr gegeben, dass Daten und Informationen auf diesem Weg weitergeleitet werden? Gibt es in einschlägigen Datenbanken von Sicherheitsinstitutionen Informationen, dass Userkennungen offengelegt wurden?
Sind die Systeme und Endgeräte, die offiziell mit Dritten kommunizieren (E-Mail-Server, etc.) so eingerichtet, dass auf einen sicheren oder eher unsicheren Betrieb geschlossen werden kann? Werden Best-Practice-Sicherheitsmechanismen (Verschlüsselung, Vermeidung von Man-in-the-Middle etc.), die bei Protokollen erkennbar sind, verwendet?
Unsere Mandanten sind von diesem Instrument überzeugt, denn es ist ein neutrales Tool, das Ihnen einen Anhaltspunkt gibt, wo sie ihre nächsten Ressourcen am besten investieren. Sie sind auch zufrieden damit, dass sie für die Auswertungen kein Personal abstellen müssen, denn das Instrument verwendet vollautomatisch öffentlich verfügbare Daten. Der dritte Grund ist, dass die kompakte Management-Zusammenfassung ein großer Mehrwert für sie ist und dass ihnen das Online-Tool je nach Bedarf viel Detailtiefe gibt. Wir bieten unseren Mandanten aktuell ein exklusives Kontingent an Cyber Security Ratings an und unterstützen sie dabei, eine effiziente IT-Sicherheitsorganisation zu implementieren. Schreiben Sie uns dafür mit dem Stichwort „Rating” in der Betreffzeile an und wir antworten Ihnen zeitnah.
Hannes Hahn
CISA - CSP - DSB, IT-Auditor IDW
Partner, Rödl IT Secure GmbH
Anfrage senden
Martin Mannes
Certified Information Systems Auditor (CISA)
