:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit und Budgetierung IT-Security-Kosten, die gerne übersehen werden
Erfahrungen haben gelehrt, dass es meist kostengünstiger ist, eine Hacker-Attacke zu verhindern, als den Schaden nach einem Angriff beheben zu müssen. Welche wesentlichen Budgetposten der IT-Security werden dabei von Controllern häufig übersehen oder nicht realistisch bewertet?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Jedes Unternehmen, unabhängig von seiner Größe oder Ausrichtung am Markt, sollte ein maßgeschneidertes, genaues IT-Security-Budget erstellen. Dennoch versehen viele Unternehmen ihre IT-Security-Budgets mit kritischen Auslassungen, die sie anfällig für Hacker-Attacken und somit für erhebliche finanzielle Schäden machen können.
Da die Budgets natürlich nicht in dem Maße steigen können, wie Bedrohungen auftreten oder sich weiterentwickeln, ist es unmöglich, für alle Eventualitäten abgesichert zu sein. Das heißt, es muss eine Priorisierung erfolgen. Aber welche Budgetposten sind für die Cybersicherheit eines Unternehmens wichtig oder werden von Controllern gerne übersehen?
Personalbeschaffung und -bindung
In den vergangenen Jahren hat sich die Kluft zwischen qualifizierten Fachkräften und der quasi exponentiell wachsenden Zahl von IT-Arbeitsplätzen stetig vergrößert. Der unerbittliche Wettbewerb um hoffnungsvolle Talente geht also unbeirrt weiter. Entgegen diesem langfristigen Trend unterschätzen viele Unternehmen nach wie vor die Kosten für die Einstellung und Bindung von qualifizierten IT-Security-Experten.
IT-Security-Schulungen
Viele Unternehmen haben verstanden, dass das Verhalten der Mitarbeiter eine große Risikoquelle darstellt. Somit schlummern die größten IT-Security-Risiken im eigenen Unternehmen. Trotzdem wird insgesamt viel zu wenig in Mitarbeiterschulungen investiert. Ein gut aufgestelltes IT-Sicherheitsprogramm schließt auch alle betroffenen Mitarbeiter ein, die über ihre Pflichten im Bereich der IT-Security aufgeklärt sind. Nicht zuletzt, um sicherzustellen, dass böswillige Akteure schnell entdeckt und gefasst werden.
IT-Security-Versicherungen
Viele Unternehmen haben die Notwendigkeit von Versicherungen für die IT-Security noch nicht hinreichend erkannt - ein Versäumnis mit potenziell fatalen Folgen! Dies geschieht insbesondere vor dem Hintergrund wachsender Cyber-Bedrohungen. Gerade kleinere Unternehmen sind davon überproportional betroffen. Abgesehen davon, dass Unternehmen sich vor möglichen finanziellen Schäden schützen, kann schon allein die Beantragung einer IT-Security-Versicherung zu einer verstärkten IT-Security-Infrastruktur führen. Denn der Prozess einer Evaluierung, der nötig ist, um eine Police zu erhalten, kann schon dabei helfen, Sicherheitslücken zu identifizieren und Alternativen zur Verbesserung zu entwickeln.
Analysen durch externe Berater
Unternehmen unterschätzen des Weiteren oft die Bedeutung von Schwachstellen-Analysen durch externe Dienstleister, die das Management und Mitarbeiter über potenzielle Cyber-Bedrohungen aufzuklären. Es ist angeraten, hier ein größeres Budget vorzuhalten, damit sich Unternehmen gegebenenfalls von mehr als einem Dienstleister unterweisen zu lassen, um sicherzustellen, dass man eine sogenannte „360-Grad-Beratung“ erhält.
Nicht wenige Unternehmen glauben, Budgets für externe Meinungen wären unnötig, weil sie mit ihren eigenen Maßnahmen und den angestammten Beratern bisher nie eine Hacker-Attacke erlebt haben. Gerade wenn es um etwas sensiblere Daten geht, gilt Input von verschiedenen Sicherheitsfirmen als angezeigt. Auf diese Weise können Unternehmen sicherstellen, dass sie ihre entsprechenden technischen, administrativen und physischen Sicherheitsvorkehrungen auch umfassend getroffen haben.
Reaktion auf Vorfälle
Insbesondere wenn es um die Planung von Budgets geht, so werden gerne die indirekten Kosten für die Reaktionen auf Vorfälle (Incident Response, IR) übersehen. Dagegen würde eine sorgfältig geplante IR-Strategie die Organisation bei einem Hacker-Angriff vor finanziellen Verlusten bewahren. Es empfiehlt sich, eine Stelle dafür zu schaffen oder eine Gruppe von Experten einzustellen und zu schulen, die für die Reaktion auf solche Bedrohungen spezialisiert und verantwortlich ist. Im Krisenfall zahlt sich das weidlich aus.
Obwohl dieses Risiko tagtäglich präsent ist, versäumen es Unternehmen nach wie vor, IR-Ausgaben realistisch zu budgetieren. Angesichts der Horrormeldungen großer Unternehmen in der Presse, die offenbar trotz ausgetüftelter Sicherheitsprogrammen gehackt wurden, ist es nur schwer vorstellbar, warum kleinere Unternehmen sich nicht besser durch den Erhalt bzw. Aufbau von IR-Maßnahmen aufstellen.
Denn solche indirekte Kosten sind in der Gesamtbetrachtung nicht weniger wichtig als die direkten Kosten. Kein Budget für IR-Services zu haben, könnte dazu führen, dass sich Vorfälle wie beispielsweise Ransomware unnötig in die Länge ziehen würden, was zu ungleich größeren Geschäftsunterbrechungen, Kundenverlusten und Reputationsschäden führen könnten.
Kosten für die Wiederbeschaffung
Bei der Einordnung eines Budgets für die Wiederbeschaffung für potenziell gefährdete Anlagen nehmen viele Unternehmen eine ausgesprochen kurzsichtige Sichtweise ein, welche der Systeme von einer Sicherheitsverletzung oder Malware betroffen sein könnten. Oftmals beschränken sie den Austausch nur auf die am stärksten gefährdeten Systeme. Erfahrungsgemäß entstehen meist Verluste, die weit über den Prognosen der Unternehmen liegen.
Die jüngste Verlagerung der Arbeitsplätze in Homeoffices kann die Wiederbeschaffungskosten deutlich erhöhen und lässt vorsichtige Schätzungen aus der Zeit vor der Pandemie weit in den Hintergrund treten. Denn wer den Austausch oder die Aufrüstung gefährdeter Heimsysteme sträflich vernachlässigt, riskiert viel. Das bedeutet, wenn Homeoffices angegriffen werden, so können diese Systeme unbeabsichtigt eine Schwachstelle in das Unternehmensnetzwerk einschleusen, selbst wenn ein Unternehmen das Problem auf seiner Seite behoben hat.
(ID:47604184)
:quality(80)/p7i.vogel.de/wcms/5a/67/5a67c779d595812c4927333b8a92749f/0109712519.jpeg "Unabhängig davon, mit welchen Bedrohungen Firmen im Jahr 2023 konfrontiert werden: Die Art und Weise, wie sie Geräte und Daten schützen, muss sich weiterentwickeln. (Bild: photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/2f/c62f5fbe6b84d23e128ca7be63b0b5de/0112928783.jpeg "Service-Anbieter führen neben Patchings meist auch Wartungs- und Reparaturarbeiten automatisch durch. (Bild: greenbutterfly - stock.adobe.com)")