Security-Startups im Blickpunkt: 4strat

Risikobewertung für IT-Sicherheit mit Plan

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

4strat bietet Unternehmen mit seinem Tool „Foresight Strategy Cockpit“ ein Planungstool für aktuelle und mögliche zukünftige IT Security-Risiken.
4strat bietet Unternehmen mit seinem Tool „Foresight Strategy Cockpit“ ein Planungstool für aktuelle und mögliche zukünftige IT Security-Risiken. (© snyGGG - Fotolia.com)

IT-Sicherheit braucht eine strukturierte und intelligente Planung, sonst verzettelt man seine Ressourcen. In Zeiten von Cloud, IoT, mobile Working und DevOps ist es aber leichter gesagt als getan, die richtigen Schwerpunkte zu setzen. Expertenwissen, komprimiert in cleveren Tools ist daher ein extrem nützliches Hilfsmittel, um in diesem komplexen Feld auf das richtige Pferd zu setzen.

Moderne und innovative Startups gibt es nicht nur in Silicon Valley. Auch in Deutschland, Österreich und der Schweiz gibt es mutige und kreative Jungunternehmerinnen und -unternehmer mit spannenden Geschäftsideen. Security-Insider präsentiert innovative, junge Startup-Unternehmen aus dem deutschsprachigen Raum, die mit neuen Ideen die IT-Sicherheit nach vorn bringen wollen.

Das Berliner-Startup 4strat, ein Joint Venture der GmbHs quedcon, Repuco und RISE, will Security-Verantwortliche in Unternehmen mit seinem Tool „Foresight Strategy Cockpit“ (FSC) bei Security-Planungen und Risikobewertungen unterstützen. Ziel war es, vorhandenes Expertenwissen von drei Einzelunternehmen in einem Joint Venture zu bündeln, um dieses Wissen in ein Tool zu transformieren.

So entstand im Mai 2016 4strat und damit auch FSC. Das Foresight Strategy Cockpit erlaubt es dem Security-Verantwortlichen eine Risikobewertung für sein Unternehmen zu entwerfen.

Die klassischen Einzelaktionen, wie:

  • Identifizieren der Risiken mit denen das Unternehmen konfrontiert wird
  • Bewerten der Eintrittswahrscheinlichkeit
  • Durchführen einer Risikominimierung zur Reduzierung der Angriffspunkte
  • Werden dabei durch das Tool unterstützt.

Die Wissensbasis

4strat inkludiert aktuell rund 40 verschiedene Datenbanken, Reports und Studien, aus deren sich mehr als 170 Indikatoren ergeben und überführt diese in die eigene SQL-DB. Diese wird stetig durch weiter Anbindungen und Spezialthemen erweitert.

Ergänzend zu diesem Tool-Knowhow kann der Kunde weitere Risiken selber erfassen, bewerten und mit Indikatoren verknüpfen. Diese Aktivität ist essentiell, denn niemand kennt das eigene Business besser als der Kunde selbst. Er weiß, wo seine Pain Points liegen und wo gegebenenfalls bereits Probleme aufgetreten sind. Sofern bereits eigene Datenbanken oder Wissenssammlungen (beispielsweise via SAP) existieren, können diese durch 4strat konvertiert und dem Wissensbestand hinzugefügt werden. 4strat bietet hier auch eine Projekt-Unterstützung an und übernimmt auf Wunsch die Detailarbeit. Mit Bezug auf diese (ergänzte) Wissenssammlung kann dann eine Risikobewertung für die aktuellen und potentiell kommenden Risiken gestartet werden. Hier kommt eine der Stärken von FSC zum Einsatz, das Trend-Management. Hier werden zum Beispiel soziale Medien, die einem teilautomatisierten Monitoring unterliegen, als möglicher Trendindikator miteinbezogen.

Ergänzendes zum Thema
 
3 Fragen an Thomas Kolonko, Senior Consultant und Geschäftsführer bei 4strat

Risikobetrachtung

Üblicherweise orientieren sich Risikobetrachtungen an der Eintrittswahrscheinlichkeit. Dies bedeutet, je höher die Eintrittswahrscheinlichkeit eines Risikos ist und desto größer der damit potentiell verbundene Schaden, umso dringender besteht Handlungsbedarf. FSC erlaubt aber auch die Nutzung alternativer Bewertungskriterien, die Themenspezifisch festgelegt werden. Denkbar wäre es beispielsweise, sich auf das Thema „Cloud“ zu fokussieren und dafür Reputationsrisiken, rechtliche Aspekte, Datenintegrität, Verfügbarkeit, Patchmanagement, Redundanz und weitere Themen zu betrachten.

Intensivtraining gegen Phishing-Angriffe

Security-Startups im Blickpunkt: IT-SEAL

Intensivtraining gegen Phishing-Angriffe

21.03.17 - Security-Tools die heute noch den Angriffen von Cyberkriminellen erfolgreich Paroli bieten können, sind morgen vielleicht schon nutzlos gegen neue Angriffsformen. Startup- Unternehmen, neugegründet, mit Begeisterung, innovativen Ideen und kreativen Konzepten nehmen den Kampf auf und helfen den IT- und Security-Verantwortlichen, den neuen und modifizierten Bedrohungen von Morgen zu begegnen. lesen

Use Case

Um dem ganzen einen nachvollziehbaren Rahmen zu geben, soll eine fiktive Test-Betrachtung der RundumOK AG durchgeführt werden. Der Genussmittellieferant möchte seine reisenden Vertriebsmitarbeiter mit Notebooks ausstatten. Die erforderlichen Aktivitäten können mit einem Standard Office-Produkt abgewickelt werden. Um die Investition gering zu halten und die Akzeptanz zu erhöhen, will man ein BYOD-Konzept nutzen, bei dem die Mitarbeiter ihre privaten Geräte verwenden.

Neben den Risiken die ein BYOD-Konzept mit sich bringt, steuert die RundumOK AG noch weitere bei, die man im Vorfeld bei einer Befragung der Vertriebsagenten ermittelt hat. Dazu zählen beispielsweise:

  • Verschiedene OS-Plattformen (Windows und Mac OS)
  • Erhöhtes Risiko eines technischen Defekts, da die privaten Systeme teilweise schon alt sind
  • Problem, das wenig, gar keine oder veraltete Security-SW installiert ist
  • Niemand nutzt eine Festplatten-Verschlüsselung

In einem ersten Schritt werden dazu die Projekt-Parameter definiert und Basiswerte identifiziert. Ebenso erfolgt eine Auswahl der zu nutzenden Ressourcen und der jeweiligen Indikatoren. Für BYOD werden typischerweise technische Reports und Statistiken zum Einsatz kommen, die beispielsweise heutigen Trends bezüglich erhöhten Risiken durch Gerätediebstahl, mechanischer Beanspruchung und Qualität der Gerätekomponenten bewerten.

FSC ist ein Web-basiertes Tool, welches ein Rollen-Konzept mit unterschiedlichen Berechtigungen ermöglicht. Dies erlaubt es beispielsweise, ausgewählten Mitarbeitern dynamisch Parameter anzupassen. In der Praxis könnte dann beispielsweise, der Koordinator der Vertriebsagenten für das Risiko „Patch-Management“ einen besseren Wert setzen, wenn bei allen Windows-Laptops eine automatische Patch-Installation aktiviert wurde.

Feuermelder für die Webseite

Security-Startups im Blickpunkt: Nimbusec

Feuermelder für die Webseite

07.04.17 - Ohne leistungsfähige Webseite kommt heute kaum ein Unternehmen mehr aus. Wird eine Unternehmensseite gehackt kann das schnell zur Katastrophe führen, wenn Kundendaten gefährdet sind oder Cyberkriminelle darüber Schadsoftware verbreiten. Das Linzer Startup-Unternehmen Nimbusec hat sich des Problems angenommen und bietet ein Frühwarnsystem für Webseiten an, das Manipulationen erkennt und Betreiber zeitnah informiert. lesen

Die erfassten Risiken werden dann durch das Tool in einer Portfolio-Ansicht abgebildet, die sich in einem Gitter wiederfinden, bei dem auf der X-Achse der „Potentiell wirtschaftliche Schaden für das Unternehmen“ dargestellt wird und auf der Y-Achse die „Eintrittswahrscheinlichkeit“. Für die RundumOK AG bedeute dies, dass man sich primär um das Risiko der „Manipulation der Hardware und/oder Software durch Familienangehörige kümmern muss!

Hier bietet sich als Lösung der Einsatz einer gesicherten Partition an oder die Datenverschlüsselung von definierten Verzeichnisstrukturen. Beide minimal durch ein Passwort oder besser, durch eine 2-Faktor-Authentisierung, abgesichert.

Hauptrisiken und nachgelagerte Risiken, wie beispielsweise eine „Überalterung der Systeme“ oder eine „reduzierte Akku-Laufzeit“ können auch in anderen Formen dargestellt werden, FSC unterstützt dabei gängigen Layouts:

  • Radar-Darstellung
  • Strategic-Flow-Abbildungen
  • Landkarten
  • Portfolio-Darstellung
  • Wabenansicht
  • Balkendiagramm
  • Liniendiagramm
  • Listenform

Wählt man die Radar-Ansicht, sieht man auf einen Blick, dass sich die meisten Risiken bei der geplanten BYOD-Nutzung für die Vertriebsagenten in der Kategorie „Software“ bewegen. Für die Kategorien „Anwendung und Compliance“ und „Hardware“ sind es deutlich weniger. Basierend auf den erkannten Risiken und den Risikobewertungen (via Tool und durch Anwender), lässt sich erkennen, das der Mehrwert der BYOD-Lösung größer ist, als die Risiken. Werden dann noch die „Risikotreiber“ minimiert (Verzeichnisverschlüsselung), sollte die RundumOK AG eine gute Lösung für die Vertriebsagenten und das Unternehmen gefunden haben. Dies wird auch im entsprechenden Management-Reports erkennbar, der u.a. die einzelnen Indikatoren darstellt.

Kosten

Planungs-Tools, so eine etablierte Aussage, lohnen sich oft nur für große Unternehmen, da die Anschaffungs- und Lizenzkosten die Budgets von kleinere Unternehmen überschreiten. 4strat geht hier den Weg, dass man die Tools projektbezogen „mieten“ kann oder auch über einen Zeitraum hinweg. Nutzerzahlen spielen dabei keine Rolle, da es sich um eine webbasierte Plattform handelt und die Zusammenarbeit gefördert werden soll.

Ergänzendes zum Thema
 
Security-Startups gesucht!

Fazit

Erfolgreiche Planung lebt von der Dynamik, diese in periodischen Zeitabständen zu wiederholen und an die Gegebenheiten anzupassen. Kann man dies mit einem Tool erledigen, welches durch den Anbieter stetig mit qualifizierte Daten erweitert wird und kombiniert dies mit den eigenen Beobachtungen, wird die Zukunft zum Teil vorhersehbar. 4strat inkludiert u.a. die Module Trendmanagement, Risikomanagement und Ideenmanagement. Damit verfügt man über ein Werkzeug, mit dem man auf verschiedenen Wegen den zukünftigen Herausforderungen für die IT Sicherheit begegnen kann. Referenzkunden wie z.B. das KSÖ (Kuratorium Sicheres Österreich) können dazu Auskunft geben. Und das alles, ohne eine magische Glaskugel!

4strat auf einen Blick
Name 4strat
Webseite http://www.4strat.de/
Geschäftsform GmbH
Standort Berlin
Gründungszeitpunkt Mai 2016
Geschäftsführer Thomas Kolonko
Anzahl Mitarbeiter 7 Mitarbeiter
Security-Sparte Prävention: Risikoeinschätzung und Trendanalyse
Produkt Foresight Strategy Cockpit (FSC)
Innovation Maschinengestützte Bewertung zur Risikominimierung im Security-Umfeld
Unternehmens-Blog ---
Investitionen möglich Ja
Startfinanzierung / Umsatz letztes Jahr 100 Prozent Eigenfinanzierung / 100.000 Euro

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44649004 / Security-Startups)