• IT & Datenschutz

IT-Sicherheit unter Beschuss

Cyberangriffe plagen viele Unternehmen. Das TÜV Hessen-Qualitätssiegel „Validierte IT-Sicherheit“ zeigt, wie ein Schutzschild aufgebaut werden kann.

Im Wettkampf um Einfluss und Macht von Wirtschaftsunternehmen und öffentlichen Institutionen wird der eigene Vorteil immer häufiger im Angriff der Konkurrenten gesucht. Nach Angaben des Symantec Security Insider-Berichts 2019 haben immerhin 41 Prozent der IT-Security-Verantwortlichen in Unternehmen angegeben, dass sie eine Attacke auf die IT-Infrastruktur ihres Unternehmens für unvermeidlich halten. Und der Bitkom-Bericht 2019 dokumentiert, dass etwa jeder zweite Nutzer des Internets bereits Opfer von Cyberkriminellen geworden ist.

Doch wer online Präsenz zeigt, ist nicht zwangsläufig das sprichwörtlich gelähmte Kaninchen im Fokus der Schlange. Mit dem Qualitätssiegel „Validierte IT-Sicherheit“ hat TÜV Hessen in Zusammenarbeit mit den Cyberexperten der Infraforce GmbH einen Weg speziell für mittelständische Unternehmen entwickelt, die Widerstandsfähigkeit gegen Cyberattacken auf technischer, organisatorischer und personeller Ebene zu analysieren. „Zunehmend erkennen Verantwortliche in Unternehmen, dass es auch im digitalen Zeitalter darum geht, existenzielle Unternehmenswerte zu schützen. Mit unserem Qualitätssiegel profitieren gerade mittelständische Unternehmen sowie Kommunen davon, einen Gesamtüberblick über ihre Informationssicherheit zu erhalten, selbstverständlich mit den passenden Handlungsempfehlungen, wie auf Schwachstellen zu reagieren ist“, sagt Björn Eibich, Leiter des Bereichs „Cyber- und Informationssicherheit“ von TÜV Hessen. Dabei kann das Q-Siegel ein erster Schritt auf dem Weg zu einer Zertifizierung nach der ISO/IEC 27001 sein. Doch auch solitär betrachtet bildet es einen guten Ist-Zustand des firmeneigenen digitalen Sicherheitsniveaus ab und dient in der Außendarstellung gegenüber Unternehmenspartnern als glaubwürdiges Zeichen eines umsichtigen und angemessenen Umgangs mit der IT-Sicherheit.

 

Koordinierte und wiederkehrende Attacken

„Über viele Jahre konnten Sicherheitsbeauftragte und IT-Verantwortliche in Unternehmen noch darauf setzen, dass Attacken auf die eigene Systemintegrität eher zufällig und vergleichsweise selten stattfinden. Doch wir wissen, dass Angreifer inzwischen sehr koordiniert und zielgerichtet arbeiten und das Potenzial haben, Unternehmensabläufe auch dauerhaft massiv zu schädigen — etwa wenn die Produktion still steht oder die Reputation durch Bekanntwerden von Datenlecks in der Öffentlichkeit geschädigt wird“, betont Björn Eibich. „Die Zeit, einfach zu hoffen, dass alles schon irgendwie gut geht, ist vorbei.“

Der Standard des Qualitätssiegels „Validierte IT-Sicherheit“ beinhaltet die Themen Endpoint-Security und Datenschutz, blickt auf die Widerstandsfähigkeit der Firewall, vorhandene Backup-Systeme für sensible Daten, die Weiterbildung von Mitarbeitern und Notfallpläne im Schadensfall.

 

Hohes Know-how

Mit einer umfassenden Analyse ist die Infraforce GmbH aus Marburg als Beteiligungsgesellschaft von TÜV Hessen nicht nur kompetenter Partner, sondern bringt über viele Jahre kontinuierlich erworbenes Know-how mit, das auf die individuellen Bedürfnisse der Auftraggeber abgestimmt wird. Geschäftsführer Frank German Franke wirbt dabei für die Simulation des kompletten Spektrums von Angriffsszenarien, um Schwachstellen in Unternehmen zu enttarnen: „Wir müssen IT-Infrastruktur durch die Augen der Kriminellen betrachten und arbeiten täglich daran, ihre Methoden zu analysieren, Angriffsvektoren nachzuvollziehen und dagegen wirksame Schutzmechanismen aufzubauen.“

Ein geeignetes Mittel ist dabei die sogenannte „Continuous Attack and Thread Simulation“ (CAT). Dabei werden mehrere hundert reale Angriffsszenarien – fortlaufend und nicht nur punktuell wie bei singulären Penetrationstests – auf die Sicherheitsstrukturen simuliert, um deren Schutzmechanismen zu testen. Natürlich werden alle Ebenen einer IT-Infrastruktur berücksichtigt: Angriffe auf die Clients im System, auf die Server, aber auch horizontale Verknüpfungen, wie etwa die Weitergabe von Daten innerhalb eines Mitarbeiterpools. Dabei unterliegen CAT-Simulationen einem stetigen Wandel. So innovativ auf Seiten der Kriminellen Angriffsszenarien entwickelt oder modifiziert werden, so schnell muss auf der Absicherungsebene reagiert werden, um neue Bedrohungen möglichst schnell zu entschärfen.

 

Fehler antizipieren

„Alle Beteiligten von Infraforce und TÜV Hessen stehen dafür, dass sich eine äußerst wichtige Erkenntnis in den Führungsebenen von Unternehmen durchsetzt“, betont Frank German Franke. „Die Tatsache, dass viele Unternehmen ihre Sicherheitsstandards im IT-Bereich hochgefahren haben, bedeutet leider nicht, dass solide Niveaus in diesem Bereich auch von allen Unternehmenspartnern eingehalten werden. Es ist ein bisschen wie im Straßenverkehr: Wer wirklich sicher unterwegs sein möchte, muss mögliche Fehler von anderen Verkehrsteilnehmern antizipieren und frühzeitig die eigene Strategie — etwa durch ein hohes Maß an Wachsamkeit — modifizieren.“

„Das Q-Siegel ‚Validierte IT-Sicherheit‘ von TÜV Hessen ist der ideale Ansatz, um auf Basis dieser fundierten IST-Analyse anschließend gezielt und effizient die IT-Sicherheit kontinuierlich zu verbessern“, sagt Björn Eibich.


Autor: Sebastian Philipp

Cyber-Sicherheit und Informationssicherheit

Rüsten Sie sich gegen kriminelle Hacks und andere Angriffe auf Ihre Unternehmenswerte. Mit den individuellen Leistungen und pragmatischen Lösungen von TÜV Hessen geben Sie Ihrer Zukunft Gewissheit.

Qualitätssiegel „Validierte IT-Sicherheit“

IT-Systeme spielen eine zentrale Rolle für Unternehmen. Umso wichtiger ist es, deren Sicherheit zu prüfen. Unsere Experten übernehmen das gerne für Sie und bestätigen Ihnen mit unserem Qualitätssiegel „Validierte IT-Sicherheit“ den Schutz Ihrer Systeme.

Einen Kommentar schreiben

* Pflichtfeld

Keine Kommentare