Der GGW "Cyber Secure Sicherheitsaudit"

Hamburg, 26.08.2019 – Ohne eine Vielzahl an IT-Anwendungen wäre das heutige Arbeiten - noch dazu an verschiedenen Unternehmensstandorten - kaum möglich. Ob die Maschinen in der Produktion, das Warenmanagement im Hochregallager oder die Abrechnung in der Buchhaltung - häufig werden zum Abbilden der entsprechenden Geschäftsprozesse verschiedene Programme eingesetzt, die über Schnittstellen miteinander vernetzt sind. Je komplexer die Prozesse und die benötigte IT-Landschaft, desto größer ist beispielsweise auch das Risiko, Hackern "Türen" in das Unternehmen zu öffnen.

Der GGW IT-Si­cher­heits­au­dit "Cy­ber Se­cu­re" un­ter­sucht in Zu­sam­men­ar­beit mit IT-Fo­ren­sik-Ex­per­ten in­di­vi­du­ell und ganz nach Un­ter­neh­mens­be­darf ein­zel­ne oder al­le Be­stand­tei­le der Un­ter­neh­mens-IT auf kon­kre­te Schwach­stel­len. Dar­über hin­aus wird in ei­nem Ri­si­ko-Work­shop ana­ly­siert, wel­che wirt­schaft­li­chen Aus­wir­kun­gen ein An­griff auf die Wert­schöp­fungs­ket­te des Un­ter­neh­mens ha­ben könn­te und wie das je­wei­li­ge Ri­si­ko mi­ni­miert bzw. den Aus­wir­kun­gen im Ernst­fall be­geg­net wer­den könn­te.
 

Ge­naue Prü­fung der IT auf Si­cher­heits­lü­cken und Kon­fi­gu­ra­ti­ons­feh­ler

Um den ge­nau­en Um­fang des Au­dits und den kon­kre­ten Be­darf des Un­ter­neh­mens zu er­mit­teln, wer­den vor­ab grund­le­gen­de Ein­zel­hei­ten zum Un­ter­neh­men und der IT er­fragt. Üb­li­cher­wei­se wer­den die Netz­werk-In­fra­struk­tur aus­führ­lich und gän­gi­ge An­wen­dun­gen wie ERP, CRM oder File­ser­ver stich­pro­ben­ar­tig auf mög­li­che IT-Si­cher­heits­lü­cken und Kon­fi­gu­ra­ti­ons­feh­ler un­ter­sucht. Da­zu er­fol­gen zu­nächst Ge­sprä­che mit IT-An­sprech­part­nern und an­de­ren Ver­ant­wort­li­chen über wich­ti­ge Pro­zes­se der In­for­ma­ti­ons- bzw. IT-Si­cher­heit. Da­zu ge­hö­ren bei­spiels­wei­se die Hard­ware­be­schaf­fung und -ent­sor­gung, das Pass­wort- und Be­nut­zer­kon­ten­ma­nage­ment, die räum­li­che Si­tua­ti­on des RZ-Be­rei­ches und das Si­cher­heits­ma­nage­ment von Mo­bil­ge­rä­ten. Im nächs­ten Schritt wer­den bei Pe­ne­tra­ti­ons­ver­su­chen in Form von Black-, Grey- und/oder Whi­te­box-Tests das Netz­werk mit den IT-Ge­rä­ten und An­wen­dun­gen en­u­me­riert und fort­ge­schrit­te­nen An­grif­fen, et­wa auf die Win­dows-AD-Um­ge­bung, aus­ge­setzt. Zu den Maß­nah­men des Pe­ne­tra­ti­ons­tests zäh­len bei­spiels­wei­se Netz­werk- und Port­scans, das Ab­hö­ren von Da­ten­strö­men, ge­ge­be­nen­falls mit zu­sätz­li­chem An­sto­ßen von Kom­mu­ni­ka­ti­on durch die Ver­wen­dung be­reit­ge­stell­ter oder ver­füg­ba­rer Apps so­wie ei­ne pas­si­ve Aus­wer­tung der SSL-/TLS-Ein­stel­lun­gen und der Si­cher­heit hin­sicht­lich ver­schie­de­ner Cryp­to-As­pek­te. Durch die sys­te­ma­ti­sche Über­prü­fung er­hält das Un­ter­neh­men in der Re­gel ei­nen fun­dier­ten IT-Sta­tus Quo und ei­nen um­fas­sen­den Über­blick über kon­kre­te IT-Si­cher­heits­pro­ble­me. Je nach Wunsch kön­nen auch wei­te­re Sys­te­me und An­wen­dun­gen un­ter­sucht wer­den. In der Re­gel han­delt es sich hier um die ex­ter­ne Web­sei­te des Un­ter­neh­mens, das Sys­tem der Fi­nanz­buch­hal­tung oder die Zeit­er­fas­sung. Dar­über hin­aus kön­nen auch die WLAN-In­fra­struk­tur und nach au­ßen sicht­ba­re WLAN-Netz­wer­ke er­mit­telt und von au­ßen ana­ly­siert und ge­prüft wer­den. Auch die Räum­lich­kei­ten selbst las­sen sich in Be­zug auf den IT-Schutz im Si­cher­heits­au­dit selbst­ver­ständ­lich über­prü­fen: 

• Welche Zutrittskontrollen in die Serverräume und das Rechenzentrum gibt es?
• Wie ist das Unternehme generell, die Besprechungsräume oder die Produktionsstätten im Einzelnen vor fremdem Zutritt gesichert?
• Wie könnte ein Angreifer physisch vor Ort in das IT-System gelangen?
   

Die finanziellen Auswirkungen im Blick – Workshop Cyber-Risiken

Ein wich­ti­ger Be­stand­teil des GGW Cy­ber Se­cu­re Si­cher­heits­au­dits ist der Work­shop "Cy­ber-Ri­si­ken". Im Ge­gen­satz zur IT an sich wird hier die Wert­schöp­fungs­ket­te des Un­ter­neh­mens be­trach­tet und auf die Kern­pro­zes­se so­wie mög­li­che Aus­wir­kun­gen ei­nes Cy­ber-An­griffs ge­schaut. Da­bei wer­den wirt­schaft­li­che Ri­si­ken in Scha­densze­na­ri­en mit ih­ren fi­nan­zi­el­len Aus­wir­kun­gen ana­ly­siert, Scha­den­hö­hen und Un­ter­bre­chungs­zeit­räu­me er­mit­telt und ei­ne in­di­vi­du­el­le Ri­si­ko­be­wer­tung er­stellt. Dem ent­ge­gen ge­stellt und be­wer­tet wer­den die der­zeit vom Un­ter­neh­men er­grif­fe­nen Maß­nah­men zur Ri­si­ko­steue­rung. Dar­aus er­gibt sich ein Sta­tus Quo, der ge­ge­be­nen­falls die Op­ti­mie­rung der vor­han­de­nen oder die Um­set­zung wei­te­rer Schutz­maß­nah­men emp­fiehlt.
 

Ergebnis

In der Re­gel kön­nen im vor­be­schrie­be­nen Si­cher­heits­au­dit IT-An­wen­dun­gen im Rah­men von Pe­ne­tra­ti­ons­tests gründ­lich auf mög­li­che Si­cher­heits­lü­cken über­prüft wer­den. So wer­den mit ho­her Wahr­schein­lich­keit auch in­di­vi­du­el­le oder kom­ple­xe IT-Si­cher­heits­lü­cken iden­ti­fi­ziert. Die Ri­si­ko­ana­ly­se im Rah­men des Cy­ber-Work­shops dient au­ßer­dem als Ba­sis für die Ge­stal­tung ei­nes Busi­ness-Con­ti­nui­ty-Ma­nage­ments bzw. ei­ner mög­li­chen Cy­ber-Ver­si­che­rung. Durch die er­mit­tel­ten Scha­den- und Aus­fall­kos­ten macht sie zum ei­nen die tat­säch­lich be­nö­tig­ten Ver­si­che­rungs­sum­men oder ge­son­dert be­nö­tig­te De­ckungs­ele­men­te trans­pa­rent und ver­mei­det ei­ne Über- oder Un­ter­ver­si­che­rung. Zum an­de­ren lässt sich die Ein­tritts­wahr­schein­lich­keit be­stimm­ter Ri­si­ken durch Um­set­zung zu­sätz­li­cher Schutz­maß­nah­men mög­li­cher­wei­se ver­rin­gern. Dann lie­ßen sich hö­he­re Selbst­be­hal­te für den Scha­den­fall mit dem Ver­si­che­rer ver­ein­ba­ren, was ent­spre­chend zu güns­ti­ge­ren Ver­si­che­rungs­prä­mi­en führt.
 

Ers­te Be­stands­auf­nah­me auch über den GGW "Cy­ber Se­cu­re Quick-Check"

Für eine kurze Überprüfung der IT als erste Orientierung ohne großen Aufwand empfehlen wir den

GGW "Cyber Secure Quick-Check". Er liefert schnelle erste Ergebnisse über mögliche Risiken der IT-Infrastruktur.

Sie haben Fragen? Sprechen Sie uns an!

Markus Hoffmann
Kundenbetreuer Telefon: +49 40 328101-4588
E-Mail: 

m.hoffman@ggw.de