:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit in der Unternehmensführung 12 Tipps fürs Security- und Risiko-Management
Aufsichtsräte und Führungskräfte nehmen das Risiko-Management durchaus ernst. Doch vor allem hinsichtlich der Bewertung der IT-Sicherheitsrisiken besteht noch Nachholbedarf. Diesen Schluss zieht RSA aus dem Report „Governance of Enterprise Security“.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Im Auftrag von RSA hat das Carnegie Mellon CyLab untersucht, wie asiatische, europäische und nordamerikanische Unternehmen beim IT-Risiko-Management aufgestellt sind. So haben 96 Prozent der betrachteten Firmen weltweit ein Auditing-Komitee gebildet, in über drei Viertel der Fälle findet sich zusätzlich ein Komitee für Fragen der Unternehmensführung (Governance), Compliance oder Geschäftsethik.
Ein spezielles Risiko- oder Sicherheitskomitee haben bislang nur 56 Prozent der Firmen ins Leben gerufen. Am besten schneiden in diesem Bereich die asiatischen Befragten ab: 95 Prozent von ihnen geben an, dass ihr Arbeitgeber ein entsprechendes Gremium einberuft, in drei Viertel der Fälle sogar unabhängig vom Auditing-Ausschuss.
Europäische Unternehmen gehen hinsichtlich IT-Sicherheit und Datenschutz zumindest noch konsequenter vor als Firmen in den Vereinigten Staaten: Während in Europa 59 Prozent der untersuchten Firmen einen eigenen Beirat für Risiko- und Sicherheitsfragen bilden, sind es in den USA gerade einmal 28 Prozent.
Im Branchenvergleich zeigt sich, dass der Finanzsektor bei Sicherheit und Governance am besten aufgestellt ist. Vorstände im Finanzsektor legen laut RSA eine hohe Priorität auf das Risiko-Management. Im Gegensatz dazu widmen sich Vorstände in Energie- und Industrieunternehmen zunächst weniger kritischen Themen wie dem Lieferanten-Management.
Schlüsselpositionen nicht besetzt
An Vollzeit-Personal für Daten- und IT-Sicherheit mangelt es im Übrigen weltweit. Weniger als zwei Drittel der befragten Organisationen besetzen Schlüsselpositionen wie Chief Information Security Officer (CISO), Chief Security Officer (CSO), Chief Privacy Officer (CPO) oder Chief Risk Officer (CRO). Obwohl Europa in Bezug auf Datenschutzbestimmungen führend ist, geben nur drei Prozent der Befragten an, dass ihr Unternehmen einen CPO hat.
Zur Verbesserung der Unternehmensführung in Bezug auf Datenschutz und Sicherheit gibt die RSA-Studie eine Reihe von Empfehlungen, die wir auf der folgenden Seite vorstellen. Den vollständigen Governance of Enterprise Security: CyLab 2012 Report (PDF, 13,4 MB) hat RSA als Download bereitgestellt.
Was die Unternehmensführung besser machen kann
1. Etablieren Sie auf Vorstandsebene ein vom Audit-Komitee getrenntes Risiko-Komitee, das für die Überwachung der Unternehmensrisiken inklusive der IT-Risiken verantwortlich ist. Stellen Sie Führungskräfte ein, die über Erfahrung auf den Gebieten Sicherheit, IT-Governance und Cyber-Bedrohungen verfügen.
2. Stellen Sie sicher, dass die Verantwortlichkeiten für Datenschutz und Sicherheit voneinander getrennt und eindeutig zugeordnet sind. CIO, CISO/CSO und CPO sollten zudem unabhängig voneinander an die Unternehmensführung berichten.
3. Durchleuchten Sie die bestehende Organisationsstruktur und etablieren Sie ein unternehmensübergreifendes Team, das Datenschutz- und Sicherheitsaspekte bespricht sowie koordiniert und sich mindestens einmal im Monat trifft. Zu diesem Team sollten leitende Manager aus der Personal- und Rechtsabteilung, Public Relations und dem Einkauf gehören. Außerdem sollten CFO, CIO, CISO/CSO, CRO und CPO sowie die Geschäftsbereichsleiter zu diesem Team gehören.
4. Überprüfen und ergänzen Sie Ihren Unternehmenskodex, um eine Kultur zu schaffen, in der die Datenschutzrichtlinien respektiert und eingehalten werden.
5. Überprüfen Sie die Sicherheitsrichtlinien des Unternehmens und stellen Sie sicher, dass sie den höchsten Standards entsprechen. Die Richtlinien müssen einen Krisenreaktionsplan, Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie einen Krisenkommunikationsplan umfassen.
6. Stellen Sie sicher, dass Datenschutz- und Sicherheitsrichtlinien für Zulieferer (inklusive der Cloud- und Software-as-a-Service-Provider) den unternehmenseigenen Sicherheitsvorgaben entsprechen. Dazu gehören auch ein jährlicher Audit und die Vorgabe von Mindestanforderungen an Kontrollen. Die Kommunikations- und Benachrichtigungsprozesse im Falle eines sicherheitsrelevanten Vorfalls oder eines Verstoßes gegen die Sicherheitsrichtlinien sollten besonders kritisch in Augenschein genommen werden.
7. Führen Sie ein jährliches Audit der unternehmenseigenen Sicherheitsrichtlinien durch, das vom Audit-Komitee geprüft wird.
8. Überprüfen Sie jährlich das unternehmenseigene Sicherheitsprogramm und die Effektivität der Kontrollen und stellen Sie sicher, dass erkannte Schwachstellen oder Lücken geschlossen werden. Dies sollte vom Risikokomitee auf Vorstandsebene überwacht werden.
9. Fordern Sie vom leitenden Management regelmäßige Berichte über Datenschutz- und Sicherheitsrisiken ein.
10. Überprüfen Sie auf Vorstandsebene einmal jährlich die Budgets für das Management des Datenschutzes und der Sicherheitsrisiken.
11. Führen sie ein jährliches Audit ein, um die Einhaltung der Datenschutzrichtlinien sicherzustellen. Überprüfen Sie außerdem den Krisenreaktionsplan, die Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie den Krisenkommunikationsplan.
12. Bewerten Sie die aktuellen Cyber-Bedrohungen und die möglicherweise daraus resultierenden Verluste; überprüfen Sie, ob Ihre Versicherungen alle IT-Risiken adäquat abdecken.
(ID:34045890)
:quality(80)/images.vogel.de/vogelonline/bdb/1945100/1945176/original.jpg "Das IT-Risikomanagement ist als ein aktiv einzusetzendes Instrumentarium zur Unternehmenssteuerung anzusehen, das Firmen wettbewerbsfähig hält. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945940/original.jpg "Snyk weitet seine Sicherheitsstrategie auf End-to-End-Containerschutz und Cloud-Sicherheit aus. (Snyk)")