Analysen zur Informationssicherheit

IT-Sicherheit verbessern mit den richtigen Schwerpunkten

| Autor / Redakteur: Reinier van Es / Peter Schmitz

Lloyd’s Register hat Daten zu Schwerpunkten bei der IT-Sicherheit ausgewertet, die es im Rahmen der ISO-27001- bzw. NEN-710-Audits bei seinen Kunden gewinnen konnte.
Lloyd’s Register hat Daten zu Schwerpunkten bei der IT-Sicherheit ausgewertet, die es im Rahmen der ISO-27001- bzw. NEN-710-Audits bei seinen Kunden gewinnen konnte. (Bild: Pixabay / CC0)

„Daten sind das Öl der Zukunft“ so optimistisch beurteilen Experten die Entwicklung der schnell anlaufenden Digitalisierung. Die Verbindung von internetgetriebenen, datengesteuerten Prozessen, vom digitalen Marketing bis hin zu einer datengesteuerten Produktion lassen Phantasien wahr werden. Aber wie immer, wo große Chancen locken, sind ebenso große Risiken nicht weit.

Datendiebstähle, mangelnder persönlicher Datenschutz des Einzelnen, Verlust von betrieblichem Know-how, Gefahr des ungeplanten betrieblichen Stillstands sind nur einige der neuen Gefahren, die viele in der Vergangenheit falsch eingeschätzt haben. Und das rächt sich jetzt. Spektakuläre Datenlecks sind längst an der Tagesordnung und Verluste in Millionenhöhe nicht mehr ungewöhnlich. Schlimmer noch sind die vielen Angriffe von Hackern auf betriebliche IT-Architekturen von Mittelständlern, die meistens überhaupt nicht auffallen, deren Schaden aber mindestens ebenso verheerend ist.

Wichtig ist es also, sich jetzt im Bereich der IT-Sicherheit ebenso schnell fortzuentwickeln, wie in der Digitalisierung von Verwaltungs– und Produktionsprozessen. Aber ebenso wie die Digitalisierung, stellt die Informationssicherheit in all ihren Facetten und Fallstricken, für viele Betriebe völliges Neuland dar. Hat man sich bisher oftmals hinsichtlich IT auf das Outsourcing von Leistungen an geeignete Dienstleister beschränkt, so stellt man jetzt fest, dass das Thema eine ganz andere Priorität in der Unternehmenssteuerung einnehmen wird. Worauf sollte man achten, welche Fehler werden oft gemacht, wie sollte man das Thema angehen? Diese Fragen rücken in das Zentrum der Entscheidungen. Werden Daten zur Lebensader eines Betriebes, so muss man sie auch dementsprechend schützen.

Bedrohungserkennung und der Fachkräftemangel

SANS Cyber Threat Intelligence Studie 2018

Bedrohungserkennung und der Fachkräftemangel

27.04.18 - Die neue SANS Cyber Threat Intelligence Studie 2018 zeigt, wie weit die Cyber Threat Intelligence (CTI) in Unternehmen bereits entwickelt ist. Die Mehrheit der Befragten gab an, dass der Fachkräftemangel eines der größten Hindernisse dabei ist, CTI in ihrem Unternehmen zu implementieren. Befragt wurden mehr als 300 Cybersicherheitsexperten aus den unterschiedlichsten Branchen. lesen

Lloyd´s Register hat aus diesem Grunde eine Reihe von Untersuchungsergebnissen aus verschiedenen Quellen und eigener Erfahrung zusammengetragen, die die Ergebnisse der Entscheidungsprozesse in den Unternehmen offensichtlich machen und somit aufzeigen, wo die typischen Schwachstellen liegen und wo die Unternehmen Investitionsbedarf sehen. Anhand von verschiedenen Checklisten kann der Entscheider sich ein strukturiertes Bild über die Sicherheitssituation seines betrieblichen Umfeldes machen. Dann kann er darauf basierend weitere Schritte planen. Grundsätzlich lässt sich sagen, dass die Unternehmen die Größe der Herausforderung erkannt haben. Die Investitionen nehmen, je nach Größe und Branche, zwischen 7 und 9 Prozent zu. Noch deutlicher wird das, wenn 59 Prozent der befragten Unternehmen angeben, dass Sie die Investitionen gegenüber dem Vorjahr anheben werden und 87 Prozent der Unternehmen planen das Budget um mindestens 50 Prozent anzuheben.

Sieht man sich genauer an, in welche Bereiche die Unternehmen investieren wollen, so wird, kaum verwunderlich, der Datenschutz von 63 Prozent der Unternehmen genannt; Allerdings folgt bereits mit 56 Prozent der Befragten die Compliance und mit 31 Prozent die Verringerung von Zwischenfällen und Sicherheitsverletzungen. Die Schwachstellen sind also eindeutig identifiziert. Die Schwerpunkte lassen sich in der EY – Untersuchung sogar noch detaillierter darstellen: 75 Prozent der Betriebe sagen, das die Ausgereiftheit der Risikobewertung bzw. Schwachstellenanalyse gering bis mäßig ist; 38 Prozent geben an, daß ein IAM-Programm nicht vorhanden bzw. fehlende Übereinstimmung bzgl. eines derartigen Programms vorliegt; immerhin 35 Prozent geben an, dass Datenschutzrichtlinien Ad-hoc-Charakter haben oder gänzlich fehlen und immerhin 12 Prozent konstatieren, dass es überhaupt kein Programm zur Feststellung von Sicherheitsverletzungen gibt.

In Übereinstimmung mit den oben erfassten Schwerpunktbereichen lässt sich ebenfalls ein Zusammenhang zu den Critical Security Controls herstellen, die das Centre for Internet Security (CIS) regelmäßig analysiert und die im SANS-Gutachten 2017 (Cyber Security Trends) ebenfalls als Bezugsrahmen herangezogen wurden.

Diese CIS-Kontrollen können den Schwerpunktbereichen zugeordnet werden. So können wir besser veranschaulichen, wo und in welche Kontrollen idealerweise investiert werden sollte, um die Ausgaben und den Etat effektiver zuzuweisen. In der nebenstehenden Grafik ist dies beispielhaft dargestellt.

Schwerpunktbereiche und CIS-Kontrollen.
Schwerpunktbereiche und CIS-Kontrollen. (Bild: Lloyd´s Register)

Um festzustellen, ob die eigene Auditpraxis von Lloyd’s Register mit diesen Entwicklungen hinsichtlich Etatzuweisung und Schwerpunktbereichen im Einklang steht, wurden Erkenntnisse ausgewertet, die das Unternehmen in den vergangenen zwei Jahren im Rahmen der ISO-27001- bzw. NEN-710-Audits bei seinen Kunden gewinnen konnte. In der folgenden Grafik sind die Bereiche dargestellt, die im Hinblick auf ISO 27001 verbesserungswürdig sind (Non Compliance/NCN).

Lloyd’s Register beobachtet in der eigenen Auditpraxis einen Verbesserungsbedarf bei der Implementierung der ISO 27001.
Lloyd’s Register beobachtet in der eigenen Auditpraxis einen Verbesserungsbedarf bei der Implementierung der ISO 27001. (Bild: Lloyd´s Register)

Betrachten wir die fünf Bereiche mit dem höchsten Verbesserungsbedarf und ordnen wir die Kernelemente je Normelement den in den Gutachten von SANS und EY ermittelten Schwerpunktbereichen zu, ergibt sich folgendes Bild:

CIS-Kontrollen können, wie das Bild beispielhaft zeigt, den Schwerpunktbereichen zugeordnet werden.
CIS-Kontrollen können, wie das Bild beispielhaft zeigt, den Schwerpunktbereichen zugeordnet werden. (Bild: Centre for Internet Security)

Fazit

Die Tabelle zeigt, dass auch Lloyd’s Register in der eigenen Auditpraxis die in den Gutachten von SANS und EY ermittelten Etats und Schwerpunktbereiche sieht. Sie stellen die fünf Bereiche mit dem höchsten Verbesserungsbedarf (NON) dar. Wenngleich diese verbesserungswürdigen Bereiche nicht immer für sich allein stehen, stützt dies in hinreichendem Maße die Ergebnisse der genannten Gutachten und zeigt auf, worauf sich Organisationen im Rahmen der Informationssicherheit konzentrieren müssen, um auch die geltenden Normen wie z. B. ISO 27001(NEN 7510) weiterhin zu erfüllen.

Über den Autor: Reinier van Es ist IT- und Cybersecurity-Spezialist bei Lloyd´s Register.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45472805 / Sicherheitsvorfälle)