:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
9 Schritte zu den richtigen Sicherheitsstrategien Mit einer IT-Risikoanalyse Sicherheitsrisiken senken
In der Cybersicherheit geht es darum, Risiken für kritischen Vermögenswerte eines Unternehmens zu verstehen, zu verwalten, zu kontrollieren und zu minimieren. Das bedeutet, dass sich die für IT-Sicherheit verantwortlichen Teams mit dem Thema Risikomanagement beschäftigen müssen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Die Grundlage dafür ist eine systematische IT-Risikoanalyse (IT Risk Assessment), die viele IT-Verantwortliche allerdings abzuschrecken scheint. In der Praxis stehen sie oft vor der Frage, wo sie mit der Evaluierung ihrer IT-Sicherheitsrisiken beginnen sollen. Ein genauer und strukturierter Ansatz ist allerdings einfacher, als es zunächst aussieht und beginnt mit drei Fragen:
- 1. Was sind die kritischen IT-Ressourcen des Unternehmens? Das heißt, welche Daten sind es, deren Kompromittierung einen großen Einfluss auf den Geschäftsbetrieb haben würde?
- 2. Welche sind die fünf wichtigsten Geschäftsprozesse, die von diesen Informationen abhängen und ihre Verfügbarkeit voraussetzen?
- 3. Welche Cyberbedrohungen könnten die Betriebsfähigkeit dieser Geschäftsprozesse beeinträchtigen?
Sobald bekannt ist, was geschützt werden muss, kann die Entwicklung der Sicherheitsstrategien beginnen. Bevor jedoch Teile des Budgets oder die Zeit der Sicherheitsteams in die Implementierung einer Lösung zur Risikoreduzierung investiert werden, sollten folgende Fragen beantwortet werden:
- Was ist das Risiko, das reduziert wird?
- Ist es das Sicherheitsrisiko mit der höchsten Priorität?
- Wird das Risiko auf die kosteneffizienteste Weise reduziert?
Diese Fragen bringen den Kern des IT Risk Assessments auf den Punkt: Es geht um Risiken.
:quality(80)/images.vogel.de/vogelonline/bdb/1312600/1312661/original.jpg "Wie man mit dem Netwrix Auditor Office 365 überwacht, Alarme und Benachrichtigungen erstellt und wie das Tool bei der Einhaltung der DSGVO helfen kann, zeigen wir in diesem Video-Tipp. (jules - stock.adobe.com)")
Video-Tipp: Office 365 Überwachung
Office 365 mit Netwrix Auditor effizient überwachen
Was heißt Risiko?
Im Kontext eines Risk Assessments ist „Risiko“ ein Geschäftskonzept, das die Wahrscheinlichkeit eines finanziellen Verlustes für das Unternehmen nach hoch, mittel, niedrig oder Null einstuft. Bei der Risikobestimmung spielen drei Faktoren eine Rolle: Was ist die Bedrohung, wie verwundbar ist das System und wie wichtig ist der Vermögenswert, der verletzt oder dessen Verfügbarkeit bedroht wird. Mit diesen Gedanken kann ein Risiko wie folgt definiert werden:
Risiko = Bedrohung x Schwachstelle x Asset
Obwohl Risiko als mathematische Formel dargestellt wird, geht es nicht um Zahlen, sondern um ein logisches Konstrukt. Angenommen, ein Unternehmen möchte das Risiko bewerten, das mit der Bedrohung durch Hacker verbunden ist. Wenn das Netzwerk sehr anfällig ist (z. B. weil weder ein Firewall noch eine Antivirenlösung eingerichtet wurde) und das Asset unternehmenskritisch ist, ist das Risiko hoch. Wenn das System jedoch über eine gute Abwehr verfügt und die Sicherheitslücke geringfügig ist, besteht nur ein mittelgroßes Risiko, obwohl das Objekt immer noch kritisch ist.
Es gibt zwei Sonderfälle zu beachten:
- Null impliziert stets Null: Wenn einer der Faktoren Null ist, dann ist auch das Risiko Null, selbst wenn die anderen Faktoren hoch oder kritisch sind.
- Risiken passieren zufällig: Wenn etwas garantiert passiert, ist es kein Risiko.
Gängige Möglichkeiten, wie ein Unternehmen einen finanziellen Schaden erleiden kann, sind:
- Datenverlust: Der Diebstahl von Geschäftsgeheimnissen kann dazu führen, dass ein Unternehmen sein Geschäft an einen Konkurrenten verliert. Der Diebstahl von Kundendaten kann darüber hinaus zu Vertrauens- und Kundenverlust führen.
- Ausfallzeiten von Systemen oder Anwendungen: Wenn ein System seine Hauptfunktion nicht erfüllt, können Kunden keine Aufträge erteilen, Mitarbeiter können ihre Arbeit nicht verrichten oder kommunizieren usw.
- Rechtsfolgen: Wenn jemand Daten aus einer der Datenbanken entwendet, können selbst dann Bußgelder und andere Rechtskosten anfallen, wenn die Daten nicht wertvoll waren, weil die Organisation Sicherheitsanforderungen von DSGVO, PCI DSS oder anderer Compliance-Vorschriften nicht eingehalten hat.
Ein IT Risk Assessment hilft dabei, die richtigen Sicherheitsstrategien zu wählen und solche Folgen zu vermeiden. Wie funktioniert das also? Ein systematischer Ansatz umfasst neun Schritte.
:quality(80)/images.vogel.de/vogelonline/bdb/1488900/1488996/original.jpg "Für das Sicherheits-Management in Active-Directory-Umgebunbgen stehen auch kostenfreie Werkzeuge zur Verfügung. (Joos / PingCastle)")
Sicherheitslücken in Active Directory finden
Diese Tools sorgen für mehr AD-Sicherheit
Schritt 1: Assets identifizieren und priorisieren
Zu den Assets eines Unternehmens gehören Server, Kundendaten, Kontaktinformationen, sensible Partnerdokumente, Geschäftsgeheimnisse und Vergleichbares. Es sollte immer daran gedacht werden, dass das, was ein Anwender für wertvoll hält, möglicherweise nicht das ist, was für das Unternehmen tatsächlich am wertvollsten ist. Daher müssen Anwender und Management zusammenarbeiten, um eine Liste aller wertvollen Assets zu erstellen. Für jedes Objekt sollten folgende Informationen – soweit zutreffend – gesammelt werden:
- Software
- Hardware
- Daten
- Schnittstellen
- Benutzer
- Unterstützungspersonal
- Mission oder Zweck
- Kritikalität
- Funktionale Anforderungen
- IT-Sicherheitsrichtlinien
- IT-Sicherheitsarchitektur
- Netzwerktopologie
- Schutz der Datenspeicherung
- Informationsfluss
- Technische Sicherheitskontrollen
- Physische Sicherheitsumgebung
- Umweltschutz
Da die meisten Unternehmen über ein begrenztes Budget für IT Risk Assessment verfügen, muss sich der Umfang eines Projekts wahrscheinlich auf die wichtigsten Vermögenswerte beschränken. Dementsprechend müssen Firmen einen Standard zur Bestimmung der Bedeutung jedes Assets definieren. Gemeinsame Kriterien sind der monetäre Wert, die rechtlichen Anforderungen und die Bedeutung für die Organisation. Sobald der Standard durch das Management genehmigt und formell in die Sicherheitsrichtlinie zur Risikobewertung aufgenommen wurde, können die Sicherheitsteams damit beginnen, jedes von ihnen identifizierten Asset als kritisch, groß oder geringfügig zu klassifizieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1199200/1199298/original.jpg "Wie man Änderungen an Berechtigungen und Gruppenrichtlinien in einem Microsoft-Netzwerk nachverfolgen kann, zeigt unser Video-Tipp. (gemeinfrei)")
Video-Tipp: Berechtigungen überwachen
Änderungen in Microsoft-Netzwerken nachverfolgen
Schritt 2: Bedrohungen identifizieren
Eine Bedrohung ist alles, was eine Schwachstelle ausnutzen könnte, um zu Sicherheitsverletzungen zu führen und dem Unternehmen Schaden zuzufügen. Während Hacker und Malware wahrscheinlich jedem in den Sinn kommen, gibt es noch viele andere Arten von Bedrohungen, darunter:
- Naturkatastrophen: Überschwemmungen, Hurrikane, Erdbeben, Feuer und andere Naturkatastrophen können viel mehr zerstören als ein Hacker. Die betroffenen Organisationen können nicht nur Daten, sondern auch die Server und Applikationen verlieren. Wenn entschieden wird, wo die Server stehen, sollten die Wahrscheinlichkeiten einer Naturkatastrophe einbezogen werden. Beispielsweise sollte ein Serverraum nicht im Erdgeschoss eingerichtet werden, wenn in der Region ein hohes Hochwasserrisiko ausgewiesen ist.
- Systemfehler: Die Wahrscheinlichkeit eines Systemausfalls hängt von der Qualität eines Computers ab. Bei relativ neuen, hochwertigen Geräten ist die Wahrscheinlichkeit eines Systemausfalls gering. Wenn ein Gerät hingegen alt oder von geringer Qualität ist, steigt die Wahrscheinlichkeit eines Ausfalls deutlich höher. Daher empfiehlt es sich, hochwertige Geräte zu kaufen, oder zumindest auf einen guten Support zu achten.
- Versehentliche menschliche Eingriffe: Diese Bedrohung ist immer hoch, egal in welcher Branche. Jeder kann Fehler machen, wie z. B. versehentlich wichtige Daten löschen, Phishing-Links zu Malware anklicken oder ein Gerät versehentlich beschädigen. Daher sollten die Daten, einschließlich der Systemeinstellungen, ACLs und andere Konfigurationsinformationen, regelmäßig gesichert und alle Änderungen an kritischen Systemen sorgfältig verfolgt werden.
- Bösartige Akteure: Es gibt drei Arten von bösartigem Verhalten: 1. Eine Störung bedeutet, dass jemand dem Unternehmen Schaden zufügt, indem er Daten löscht, einen Distributed Denial of Service (DDOS) gegen die Unternehmensseite aufsetzt, physisch einen Computer oder Server stiehlt usw. 2. Eine Interception ist das klassische Hacking, bei dem Daten gestohlen werden. 3. Der Identitätsdiebstahl ist der Missbrauch der Zugangsdaten einer anderen Person, die oft durch Social Engineering-Angriffe oder Brute-Force-Angriffe erworben oder im Darkweb gekauft werden.
Schritt 3: Schwachstellen identifizieren
Im dritten Schritt müssen Schwachstellen erkannt werden. Eine Schwachstelle ist eine Sicherheitslücke, die ein potenzieller Angreifer ausnutzen kann, um die Sicherheit zu verletzen und das Unternehmen zu schädigen. Schwachstellen können durch Schwachstellenanalysen, Auditberichte, die NIST -Datenbank, Herstellerdaten, kommerzielle Incident Response-Teams und die Sicherheitsanalyse der Systemsoftware identifiziert werden.
Das Testen des IT-Systems ist ebenfalls ein wichtiges Instrument zur Identifizierung von Schwachstellen. Die Prüfung kann folgende Punkte beinhalten:
- Test- und Bewertungsverfahren für die Informationssicherheit (englisch Security Test and Evaluation, ST&E)
- Penetrationstests
- Automatisierte Tools zum Scannen von Schwachstellen
Mit einem ordnungsgemäßen Patch-Management kann die IT-Sicherheit softwarebasierte Schwachstellen reduzieren. Aber die physischen Schwachstellen dürfen nicht vergessen werden. Wenn beispielsweise ein Serverraum in den zweiten Stock des Gebäudes verlegt wird, sinkt die Anfälligkeit für Hochwasser bereits stark.
:quality(80)/images.vogel.de/vogelonline/bdb/1438600/1438670/original.jpg "Das Active Directory ist unverzichtbar und wird mit Tools von Drittherstellern noch besser. (© Kheng Guan Toh - stock.adobe.com)")
Erst Drittanbieter-Tools machen das AD praktikabel
Herausforderung in Active Directory erkennen und lösen
Schritt 4: Sicherheitskontrollen analysieren
Eine Analyse der Sicherheitskontrollen, die bereits vorhanden sind oder sich in der Planungsphase befinden, minimiert die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle im System ausnutzt. Die Kontrollen können mit technischen Mitteln wie Computerhardware oder -Software, Verschlüsselung, Intrusion Detection-Lösungen sowie durch Subsysteme zur Identifizierung und Authentifizierung implementiert werden. Zu den nicht-technischen Kontrollen gehören Sicherheitsrichtlinien, Verwaltungsmaßnahmen sowie physische und die Firmenumgebung betreffende Mechanismen.
Sowohl technische als auch nicht-technische Kontrollen können weiterhin in präventive Kontrollen und Detective-Kontrollen unterteilt werden. Wie der Name impliziert, versuchen präventive Kontrollen, Angriffe zu verhindern und aufzuhalten. Beispiele für präventive technische Kontrollen sind Geräte zur Verschlüsselung und Authentifizierung. Detective-Kontrollen werden verwendet, um Angriffe oder Ereignisse zu erkennen, z. B. durch ein Audit Trail und Intrusion Detection Systeme.
Schritt 5: Wahrscheinlichkeit für einen Vorfall bestimmen
Unternehmen müssen für jede Schwachstelle einschätzen, wie hoch die Wahrscheinlichkeit ist, dass sie tatsächlich ausgenutzt wird. Dazu sollte die Art der Schwachstelle, die Fähigkeiten und Motive der Gefahrenquelle sowie der Existenz und Wirksamkeit der eigenen Kontrollen berücksichtigt werden. Anstatt eines numerischen Wertes verwenden viele Unternehmen die Kategorien hoch, mittel und niedrig, um die Wahrscheinlichkeit eines Angriffs oder eines anderen unerwünschten Ereignisses zu bewerten.
:quality(80)/images.vogel.de/vogelonline/bdb/1248700/1248734/original.jpg "Tipps und Tricks, wie man SQL- und Exchange-Datenbanken durch automatische Überwachung sicherer macht, zeigen wir in diesem Video-Tipp. (canjoena - stock.adobe.com)")
Video-Tip: Sichere Datenbanken
SQL- und Exchange-Server mit Netwrix Auditor überwachen
Schritt 6: Auswirkungen einer Bedrohung analysieren
Die Wirkungsanalyse sollte die folgenden Faktoren umfassen:
- Die Aufgabe des Systems, einschließlich der vom System implementierten Prozesse.
- Die Kritikalität des Systems, bestimmt durch seinen Wert und den Wert der Daten für das Unternehmen.
- Die Anfälligkeit des Systems und seiner Daten.
Die für eine Folgenabschätzung erforderlichen Informationen können aus der vorhandenen Dokumentation des Unternehmens gewonnen werden, einschließlich einer Business Impact Analyse (BIA). Dieses Dokument verwendet entweder quantitative oder qualitative Maßstäbe, um die Auswirkungen zu bestimmen, die durch eine Kompromittierung oder Schäden an den Informationsbeständen des Unternehmens verursacht würden.
Ein Angriff oder ein unerwünschter Zwischenfall kann zu einer Beeinträchtigung oder zum Verlust der Reputation, Integrität und Verfügbarkeit des Informationssystems führen. Wie bei der Wahrscheinlichkeitsbestimmung kann die Auswirkung auf das System qualitativ als hoch, mittel oder niedrig bewertet werden.
Die folgenden zusätzlichen Punkte sollten in die Folgenabschätzung einbezogen werden:
- Die geschätzte Häufigkeit der Ausnutzung einer Schwachstelle durch die Bedrohung auf jährlicher Basis.
- Die ungefähren Kosten für jedes dieser Ereignisse.
- Eine Gewichtung, die auf der relativen Auswirkung einer spezifischen Bedrohung basiert, wenn sie eine bestimmte Schwachstelle ausnutzt.
Schritt 7: Risiken priorisieren
Für jedes Paar aus Bedrohung und Schwachstelle wird jetzt das Risikoniveau für das IT-System, basierend auf den folgenden Angaben ermittelt:
- Die Wahrscheinlichkeit dafür, dass die Bedrohung die Schwachstelle ausnutzt.
- Die Auswirkungen einer Bedrohung, die Schwachstelle erfolgreich ausgenutzt wurde.
- Die Angemessenheit bestehender oder geplanter Sicherheitskontrollen des Informationssystems zur Risikobeseitigung oder -verringerung.
Ein nützliches Instrument zur Risikoabschätzung ist die Risikostufenmatrix. Eine hohe Wahrscheinlichkeit für das Eintreten der Bedrohung wird mit einem Wert von 1,0, eine mittlere Wahrscheinlichkeit mit einem Wert von 0,5 und eine geringe Eintrittswahrscheinlichkeit mit einer Bewertung von 0,1 angegeben. Ebenso wird hohen Auswirkungen ein Wert von 100, mittleren Auswirkungen 50 und einer geringfügigen Auswirkung 10 zugeordnet. Das Risiko wird berechnet, indem die Werte für die Wahrscheinlichkeit und Auswirkung multipliziert werden. Die Risiken können anschließend auf Basis des Werts als hoch, mittel oder niedrig eingestuft werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1226400/1226459/original.jpg "Tipps und Tricks, wie man Performance-Probleme bei Gruppenrichtlinien erkennt und behebt, bevor es dadurch zu Sicherheitsproblemen kommt, zeigen wir in diesem Video-Tipp. (Natchapon - Fotolia.com)")
Video-Tipp: Performance-Troubleshooting
Performance-Troubleshooting gegen Sicherheitsprobleme mit Gruppenrichtlinien
Schritt 8: Passende Kontrollen empfehlen
Auf Grundlage des Risikoniveaus können Organisationen festlegen, welche Maßnahmen das Top-Management und andere Verantwortliche ergreifen müssen, um das Risiko zu minimieren. Abhängig vom Risikoniveau gibt es einige allgemeine Empfehlungen, damit umzugehen.
- Hoch: Ein Plan für die Maßnahmen sollte so schnell wie möglich entwickelt werden.
- Mittel: Ein Plan für die Maßnahmen sollte innerhalb eines angemessenen Zeitraums entwickelt werden.
- Niedrig: Die Entscheidungsträger müssen abwägen, ob sie das Risiko akzeptieren oder eine Maßnahme erarbeiten wollen.
Wenn eine Kontrolle zur Minderung eines Risikos in Betracht gezogen wird, sollten folgende Punkte berücksichtigt werden:
- Unternehmenseigene Richtlinien
- Kosten-Nutzen-Analysen
- Operative Auswirkungen
- Durchsetzbarkeit
- Geltende Vorschriften
- Die gesamte Wirksamkeit der empfohlenen Kontrollen
- Sicherheit und Zuverlässigkeit der Kontrolle
Schritt 9: Ergebnisse dokumentieren
Der letzte Schritt eines IT Risk Assessments besteht darin, eine angemessene Dokumentation zu entwickeln, die dem Management hilft, geeignete Entscheidungen über Budget, Policies, Verfahren und Ähnliches zu treffen. Für jede Bedrohung sollte der Bericht die entsprechenden Schwachstellen, die gefährdeten Vermögenswerte, die Auswirkungen auf die IT-Infrastruktur, die Wahrscheinlichkeit eines Eintritts des Ereignisses und die empfohlenen Kontrollen beschreiben.
Der Bericht hilft dabei, wichtige Sicherheitsmaßnahmen zu identifizieren, mit denen sich mehrere Risiken gleichzeitig reduzieren lassen. So kann beispielsweise sichergestellt werden, dass regelmäßig Backups erstellt und an einem getrennten Ort aufbewahrt werden, um das Risiko einer versehentlichen Löschung von Dateien und auch das Risiko im Fall einer Überschwemmung zu verringern. Jeder dieser Schritte sollte mit den damit verbundenen Kosten in Beziehung gesetzt werden und einen echten Nutzen zur Reduzierung der Risiken beitragen. Es sollte daran gedacht werden, sich auf die geschäftlichen Gründe für jede Implementierung der Verbesserungen zu konzentrieren.
Während des vorgestellten Prozesses erhalten Unternehmen eine bessere Vorstellung davon, wie die Institution sowie seine Infrastruktur aufgebaut ist und wie sie noch besser funktionieren können. Anschließend kann eine Policy für das IT Risk Assessment erstellt werden, die definiert, was das Unternehmen regelmäßig (meist jährlich) tun muss, wie ein Risiko angegangen und reduziert werden soll (z. B. durch eine minimale Risikoschwelle, die akzeptabel ist) und wie das Unternehmen nachfolgende IT Risk Assessments für die Komponenten seiner IT-Infrastruktur und andere Vermögenswerte durchführen soll.
Jedes Unternehmen sollte daran denken, dass die Risikobewertung in der IT-Sicherheit und die Prozesse des Unternehmens für das Risikomanagement das Herzstück der Cybersicherheit bilden, wie auch Ryan Brooks im Netwrix-Blog schreibt. Dies sind die Prozesse, aus denen sich die Regeln und Richtlinien des gesamten IT-Sicherheitsmanagements ableiten und die Antworten darauf geben, welche Bedrohungen und Schwachstellen einem Unternehmen finanziellen Schaden zufügen können und wie sie gemildert werden sollten.
Über den Autor: Jürgen Venhorst ist Country Manager DACH bei Netwrix.
(ID:45998051)
:quality(80)/p7i.vogel.de/wcms/37/9e/379ee05430913e01a240c25fc149e2f3/0113547797.jpeg "Für eine Risikoanalyse müssen Unternehmen erst einmal alle kritischen Assets kennen und in den meisten Fällen kommt die Asset-Bestandsaufnahme zu kurz oder die Bestandslisten sind veraltet. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/0f/660f253c1ce9fd3246898882cf964279/0113604227.jpeg "Eine TPRM-Lösung eines Drittanbieters steigert die Effizienz und spart Zeit und Kosten, indem die Leistung des Anbieters in Echtzeit überwacht wird. (Bild: Elnur - stock.adobe.com)")