Mobile-Menu

Security-Startups im Blickpunkt: 4strat Risikobewertung für IT-Sicherheit mit Plan

Autor / Redakteur: Ralph Dombach / Peter Schmitz

IT-Sicherheit braucht eine strukturierte und intelligente Planung, sonst verzettelt man seine Ressourcen. In Zeiten von Cloud, IoT, mobile Working und DevOps ist es aber leichter gesagt als getan, die richtigen Schwerpunkte zu setzen. Expertenwissen, komprimiert in cleveren Tools ist daher ein extrem nützliches Hilfsmittel, um in diesem komplexen Feld auf das richtige Pferd zu setzen.

Anbieter zum Thema

Vogel IT-Medien GmbH
sysob IT-Distribution GmbH & Co. KG
Insider Research
4strat bietet Unternehmen mit seinem Tool „Foresight Strategy Cockpit“ ein Planungstool für aktuelle und mögliche zukünftige IT Security-Risiken.
4strat bietet Unternehmen mit seinem Tool „Foresight Strategy Cockpit“ ein Planungstool für aktuelle und mögliche zukünftige IT Security-Risiken.
(© snyGGG - Fotolia.com)

Moderne und innovative Startups gibt es nicht nur in Silicon Valley. Auch in Deutschland, Österreich und der Schweiz gibt es mutige und kreative Jungunternehmerinnen und -unternehmer mit spannenden Geschäftsideen. Security-Insider präsentiert innovative, junge Startup-Unternehmen aus dem deutschsprachigen Raum, die mit neuen Ideen die IT-Sicherheit nach vorn bringen wollen.

Das Berliner-Startup 4strat, ein Joint Venture der GmbHs quedcon, Repuco und RISE, will Security-Verantwortliche in Unternehmen mit seinem Tool „Foresight Strategy Cockpit“ (FSC) bei Security-Planungen und Risikobewertungen unterstützen. Ziel war es, vorhandenes Expertenwissen von drei Einzelunternehmen in einem Joint Venture zu bündeln, um dieses Wissen in ein Tool zu transformieren.

Bildergalerie
Bildergalerie mit 8 Bildern

So entstand im Mai 2016 4strat und damit auch FSC. Das Foresight Strategy Cockpit erlaubt es dem Security-Verantwortlichen eine Risikobewertung für sein Unternehmen zu entwerfen.

Die klassischen Einzelaktionen, wie:

  • Identifizieren der Risiken mit denen das Unternehmen konfrontiert wird
  • Bewerten der Eintrittswahrscheinlichkeit
  • Durchführen einer Risikominimierung zur Reduzierung der Angriffspunkte
  • Werden dabei durch das Tool unterstützt.

Die Wissensbasis

4strat inkludiert aktuell rund 40 verschiedene Datenbanken, Reports und Studien, aus deren sich mehr als 170 Indikatoren ergeben und überführt diese in die eigene SQL-DB. Diese wird stetig durch weiter Anbindungen und Spezialthemen erweitert.

Ergänzend zu diesem Tool-Knowhow kann der Kunde weitere Risiken selber erfassen, bewerten und mit Indikatoren verknüpfen. Diese Aktivität ist essentiell, denn niemand kennt das eigene Business besser als der Kunde selbst. Er weiß, wo seine Pain Points liegen und wo gegebenenfalls bereits Probleme aufgetreten sind. Sofern bereits eigene Datenbanken oder Wissenssammlungen (beispielsweise via SAP) existieren, können diese durch 4strat konvertiert und dem Wissensbestand hinzugefügt werden. 4strat bietet hier auch eine Projekt-Unterstützung an und übernimmt auf Wunsch die Detailarbeit. Mit Bezug auf diese (ergänzte) Wissenssammlung kann dann eine Risikobewertung für die aktuellen und potentiell kommenden Risiken gestartet werden. Hier kommt eine der Stärken von FSC zum Einsatz, das Trend-Management. Hier werden zum Beispiel soziale Medien, die einem teilautomatisierten Monitoring unterliegen, als möglicher Trendindikator miteinbezogen.

Ergänzendes zum Thema
3 Fragen an Thomas Kolonko, Senior Consultant und Geschäftsführer bei 4strat

Security-Insider: Hr. Kolonko, ihr Tool „Foresight Strategy Cockpit“ (FSC) lässt sich auch für die „Zukunftsforschung“ nutzen. Macht das Sinn? Genügt es nicht, wenn man die IT-Sicherheit halbwegs zuverlässig für zwei bis drei Jahre planen kann?

Thomas Kolonko: Aus unserer Sicht reicht es nicht mehr aus, auf bereits vorhandene Trends oder Risiken zu reagieren. Vielmehr geht es bei der Zukunftsforschung darum, Themen zu identifizieren die erst in 2-3 Jahren relevant werden, so dass bereits heute Maßnahmen eingeleitet werden können, um die Zukunft proaktiv mitzugestalten.

Security-Insider: IoT ist für viele das Thema der nächsten Jahre und im Umfeld Smart Home werden enorme Wachstumswerte erwartet. Wie kann FSC die Unternehmen unterstützen?

Kolonko: IoT und Smart Home sind ohne Frage zwei sehr stark wachsende Themen. Um diese der breiten Bevölkerungsmasse zugänglich zu machen, wird ein sehr starker Fokus auf die Benutzerfreundlichkeit gelegt (Bsp. Einrichten der WLAN Steckdose). Dabei werden oft die IT-Risiken vernachlässigt. Unser Tool unterstützt dabei, Trends und Innovationen fortlaufend zu monitoren, mit dazugehörige Risiken zu verknüpfen und rechtzeitig Maßnahmen abzuleiten.

Security-Insider: Was planen Sie für die nächsten Monate? Wird das Thema Maschinenlernen und Big Data auch bei 4strat mehr Gewicht erlangen?

Kolonko: Wir arbeiten aktiv daran, dass unser Tool den Nutzer beim Monitoring von Trends, Risiken oder Themen unterstützt. So werden dem Nutzer bald quantitative und qualitative Daten automatisch bereitgestellt. Diese Daten werden anschließend durch das Tool aufbereitet, so dass der Nutzer diese schnell interpretieren kann. Des Weiteren entwickeln wir gerade eine intelligente Suche, damit das FSC aus verschiedenen Quellen (Patentdatenbanken, Blogs, Soziale Medien) neue Trends und Risiken identifizieren kann.

Risikobetrachtung

Üblicherweise orientieren sich Risikobetrachtungen an der Eintrittswahrscheinlichkeit. Dies bedeutet, je höher die Eintrittswahrscheinlichkeit eines Risikos ist und desto größer der damit potentiell verbundene Schaden, umso dringender besteht Handlungsbedarf. FSC erlaubt aber auch die Nutzung alternativer Bewertungskriterien, die Themenspezifisch festgelegt werden. Denkbar wäre es beispielsweise, sich auf das Thema „Cloud“ zu fokussieren und dafür Reputationsrisiken, rechtliche Aspekte, Datenintegrität, Verfügbarkeit, Patchmanagement, Redundanz und weitere Themen zu betrachten.

Use Case

Um dem ganzen einen nachvollziehbaren Rahmen zu geben, soll eine fiktive Test-Betrachtung der RundumOK AG durchgeführt werden. Der Genussmittellieferant möchte seine reisenden Vertriebsmitarbeiter mit Notebooks ausstatten. Die erforderlichen Aktivitäten können mit einem Standard Office-Produkt abgewickelt werden. Um die Investition gering zu halten und die Akzeptanz zu erhöhen, will man ein BYOD-Konzept nutzen, bei dem die Mitarbeiter ihre privaten Geräte verwenden.

Neben den Risiken die ein BYOD-Konzept mit sich bringt, steuert die RundumOK AG noch weitere bei, die man im Vorfeld bei einer Befragung der Vertriebsagenten ermittelt hat. Dazu zählen beispielsweise:

  • Verschiedene OS-Plattformen (Windows und Mac OS)
  • Erhöhtes Risiko eines technischen Defekts, da die privaten Systeme teilweise schon alt sind
  • Problem, das wenig, gar keine oder veraltete Security-SW installiert ist
  • Niemand nutzt eine Festplatten-Verschlüsselung

In einem ersten Schritt werden dazu die Projekt-Parameter definiert und Basiswerte identifiziert. Ebenso erfolgt eine Auswahl der zu nutzenden Ressourcen und der jeweiligen Indikatoren. Für BYOD werden typischerweise technische Reports und Statistiken zum Einsatz kommen, die beispielsweise heutigen Trends bezüglich erhöhten Risiken durch Gerätediebstahl, mechanischer Beanspruchung und Qualität der Gerätekomponenten bewerten.

FSC ist ein Web-basiertes Tool, welches ein Rollen-Konzept mit unterschiedlichen Berechtigungen ermöglicht. Dies erlaubt es beispielsweise, ausgewählten Mitarbeitern dynamisch Parameter anzupassen. In der Praxis könnte dann beispielsweise, der Koordinator der Vertriebsagenten für das Risiko „Patch-Management“ einen besseren Wert setzen, wenn bei allen Windows-Laptops eine automatische Patch-Installation aktiviert wurde.

Die erfassten Risiken werden dann durch das Tool in einer Portfolio-Ansicht abgebildet, die sich in einem Gitter wiederfinden, bei dem auf der X-Achse der „Potentiell wirtschaftliche Schaden für das Unternehmen“ dargestellt wird und auf der Y-Achse die „Eintrittswahrscheinlichkeit“. Für die RundumOK AG bedeute dies, dass man sich primär um das Risiko der „Manipulation der Hardware und/oder Software durch Familienangehörige kümmern muss!

Hier bietet sich als Lösung der Einsatz einer gesicherten Partition an oder die Datenverschlüsselung von definierten Verzeichnisstrukturen. Beide minimal durch ein Passwort oder besser, durch eine 2-Faktor-Authentisierung, abgesichert.

Hauptrisiken und nachgelagerte Risiken, wie beispielsweise eine „Überalterung der Systeme“ oder eine „reduzierte Akku-Laufzeit“ können auch in anderen Formen dargestellt werden, FSC unterstützt dabei gängigen Layouts:

  • Radar-Darstellung
  • Strategic-Flow-Abbildungen
  • Landkarten
  • Portfolio-Darstellung
  • Wabenansicht
  • Balkendiagramm
  • Liniendiagramm
  • Listenform

Wählt man die Radar-Ansicht, sieht man auf einen Blick, dass sich die meisten Risiken bei der geplanten BYOD-Nutzung für die Vertriebsagenten in der Kategorie „Software“ bewegen. Für die Kategorien „Anwendung und Compliance“ und „Hardware“ sind es deutlich weniger. Basierend auf den erkannten Risiken und den Risikobewertungen (via Tool und durch Anwender), lässt sich erkennen, das der Mehrwert der BYOD-Lösung größer ist, als die Risiken. Werden dann noch die „Risikotreiber“ minimiert (Verzeichnisverschlüsselung), sollte die RundumOK AG eine gute Lösung für die Vertriebsagenten und das Unternehmen gefunden haben. Dies wird auch im entsprechenden Management-Reports erkennbar, der u.a. die einzelnen Indikatoren darstellt.

Kosten

Planungs-Tools, so eine etablierte Aussage, lohnen sich oft nur für große Unternehmen, da die Anschaffungs- und Lizenzkosten die Budgets von kleinere Unternehmen überschreiten. 4strat geht hier den Weg, dass man die Tools projektbezogen „mieten“ kann oder auch über einen Zeitraum hinweg. Nutzerzahlen spielen dabei keine Rolle, da es sich um eine webbasierte Plattform handelt und die Zusammenarbeit gefördert werden soll.

Ergänzendes zum Thema
Security-Startups gesucht!

Security-Insider präsentiert innovative, junge Startups, aus Deutschland, Österreich und der Schweiz, die es sich zur Aufgabe gemacht haben, die IT-Sicherheit mit einfallsreichen, neuen Ansätzen und einem kreativen Blick auf die Security-Landschaft zu verbessern.

Wir stehen bei der Suche nach den interessantesten IT-Security-Startups aus dem deutschsprachigen Raum bereits mit vielen Verbänden, Inkubatoren, Acceleratoren und Universitäten in Kontakt. Aber wenn Sie ein Startup aus dem Bereich der IT-Sicherheit kennen, oder selbst Gründer eines solchen jungen Unternehmens sind, das nicht älter als drei Jahre ist und das wir unbedingt kennenlernen sollten, dann schreiben Sie uns!

Fazit

Erfolgreiche Planung lebt von der Dynamik, diese in periodischen Zeitabständen zu wiederholen und an die Gegebenheiten anzupassen. Kann man dies mit einem Tool erledigen, welches durch den Anbieter stetig mit qualifizierte Daten erweitert wird und kombiniert dies mit den eigenen Beobachtungen, wird die Zukunft zum Teil vorhersehbar. 4strat inkludiert u.a. die Module Trendmanagement, Risikomanagement und Ideenmanagement. Damit verfügt man über ein Werkzeug, mit dem man auf verschiedenen Wegen den zukünftigen Herausforderungen für die IT Sicherheit begegnen kann. Referenzkunden wie z.B. das KSÖ (Kuratorium Sicheres Österreich) können dazu Auskunft geben. Und das alles, ohne eine magische Glaskugel!

4strat auf einen Blick
Name 4strat
Webseite http://www.4strat.de/
Geschäftsform GmbH
Standort Berlin
Gründungszeitpunkt Mai 2016
Geschäftsführer Thomas Kolonko
Anzahl Mitarbeiter 7 Mitarbeiter
Security-Sparte Prävention: Risikoeinschätzung und Trendanalyse
Produkt Foresight Strategy Cockpit (FSC)
Innovation Maschinengestützte Bewertung zur Risikominimierung im Security-Umfeld
Unternehmens-Blog ---
Investitionen möglich Ja
Startfinanzierung / Umsatz letztes Jahr 100 Prozent Eigenfinanzierung / 100.000 Euro

(ID:44649004)

Weiterführende Inhalte