Das passende Sicherheitskonzept finden

Bei der IT-Sicherheit fehlt oft das richtige Maß

Seite: 3/3

Anbieter zum Thema

Unternehmen setzen auf Standardlösungen

Wollen die Unternehmen diese Auswirkungen fehlender IT-Sicherheitskonzepte vermeiden, benötigen sie eine IT-Compliance, in der die gesetzlichen Anforderungen ebenso berücksichtigt werden wie die spezifischen Voraussetzungen des Unternehmens. Laut der Studie „IT-Security“ ist dies aber mehrheitlich nicht der Fall.

Nur die wenigsten IT-Verantwortlichen behalten demnach angesichts der Vielfalt der gesetzlichen Anforderungen (u.a. BDSG, MaRisk, SOX, PCI DSS) den Überblick und sind in der Lage, aus diesen die für ihr Unternehmen relevanten Vorgaben zu erkennen und umzusetzen. In der Hoffnung, zumindest die gesetzlichen Vorgaben abzudecken, orientieren sich Unternehmen an Standards wie der ISO-27000-Reihe oder dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Ein Beispiel dafür ist der „Payment Card Industry Data Security Standard“ (PCI DSS). Als verbindliches Regelwerk im Zahlungsverkehr von Kreditkarten wird dieser Standard von allen wichtigen Kreditkartenorganisationen unterstützt. Das Problem: Viele IT-Administratoren in den Unternehmen wissen nicht, welche Parameter an welchen Geräten angewendet werden.

Sie sind damit nicht in der Lage, sich auf die Erhebung der Daten zu beschränken, die für die IT-Sicherheit ihres Unternehmens maßgeblich sind. Das führt zu dem oben skizzierten Problem der fehlenden Datenkontrolle und den möglichen rechtlichen Konsequenzen.

Externer Sicherheitsservice

Wie aber können Unternehmen ihre IT effektiv und verlässlich gegen mögliche Risiken absichern? Die Antwort kann ein externer Service liefern. Auf die IT-Sicherheit spezialisierte Experten überprüfen dabei das IT-System des Unternehmens auf die richtlinienkonforme Konfiguration sowie mögliche Schwachstellen. Dabei wird das System auch hinsichtlich der Konformität mit gängigen IT-Sicherheitsstandards wie zum Beispiel den IT-Grundschutz-Maßnahmenkatalogen des BSI analysiert.

Anschließend passen die Experten das Sicherheitsniveau des Unternehmens ständig den sich verändernden gesetzlichen und regulatorischen Anforderungen an und berücksichtigen dabei auch Ankündigungen möglicher Bedrohungsszenarien. Die Mitarbeiter der entsprechenden Dienstleister werden regelmäßig geschult und verfügen damit über ein Know-how, das sich Unternehmen nur mit großem personellen und finanziellen Aufwand selber beschaffen könnten.

Unternehmen, die bei der Sicherstellung ihrer IT-Sicherheit auf externe Partner setzen, erhalten zumeist ein „Rundum-Sorglos-Paket“, das die Aufsetzung von Überwachungs- und Kontrollprozessen sowie ein regelmäßiges Monitoring umfasst. Damit können Unstimmigkeiten und Bedrohungen der IT-Sicherheit rechtzeitig erkannt und korrigiert werden.

Der Dienstleister benötigt hierfür lediglich eine Schnittstelle für den Fernzugriff auf die erhobenen Daten, firmenfremde Programme müssen nicht auf dem zu prüfenden Gerät installiert werden. Damit verbleiben sämtliche Prüfungsergebnisse im Unternehmensnetzwerk des Kunden und können auf Wunsch in verschiedenen Berichten, zum Beispiel für die interne Revision, ausgewertet werden

Ein externer IT-Sicherheitsservice kann Unternehmen somit mehrere Vorteile bieten: Sie sparen Zeit und Kosten und erhalten einen aktuellen Überblick über das aktuelle Sicherheitsniveau. Durch das Preismodell „Pay per use“ ist zudem die Transparenz bei den Ausgaben gewährleistet. Nicht zuletzt spart das Unternehmen durch die Auslagerung der IT-Sicherheit wertvolle personelle Ressourcen, die für firmeneigene IT-Projekte eingesetzt werden können.

Über die AutorenWolfram Funk und Dr. Gerald Spiegel sind Experten für IT-Sicherheit bei Steria Mummert Consulting.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:34032450)