:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/90/f7/90f77fbb7d45ab622971a24ea53da577/0111572690.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
„Security by Design“ als grundlegendes Prinzip
Ein Ausweg aus dieser Lage lässt sich bereits in vorhandenen Projektstrukturen realisieren. Es bedarf jedoch eines Umdenkens der IT-Projektverantwortlichen und der Unternehmensleitung. IT-Projekte müssen das Thema Informationssicherheit von Beginn an transparent und messbar behandeln.
Projektorganisationen in Unternehmen müssen zu einem strengeren, wiederholbaren Prozess übergehen, der das Thema Sicherheit als elementaren Baustein in jeder Phase einschließt und verbindliche Verantwortlichkeiten für den Security Manager in jeder Projektphase festlegt.
Diese Vorgaben müssen durch die Unternehmensleitung bekräftigt und legitimiert sein. Insbesondere bei den Phasenübergängen muss eine formelle Freigabe-Regelung getroffen werden, um den obligatorischen Aspekt von „Security by Design“ im IT-Prozess zu unterstreichen.
Erfahrungen zeigen, dass das Sicherheitsteam, insbesondere in der Planungs- und Realisierungsphase, in enger Abstimmung mit dem Projektteam stehen sollte. Es bietet sich daher an, einen dedizierten Security Advisor innerhalb jedes Projekts vorzusehen und vollständig in die Projektorganisation aufzunehmen. Er sollte jederzeit für alle Projektmitglieder als Ansprechpartner zur Verfügung stehen.
Kostenreduktion bei konsequenter Umsetzung
Diese Abbildung zeigt schematisch die Rollen zu Beginn eines IT-Projekts. Je mehr Beiträge der Security Manager zu Beginn des Projekts liefern kann, desto geringer sind die notwendigen Anpassungen in späteren Projektphasen und damit die Projektkosten. Dies gilt für neue Systeme wie für die „nächste Generation“ eines bestehenden Systems.
Das Sicherheitsteam sollte zusätzliche Sicherheitsanforderungen und eine verbindliche Sicherheitsarchitektur definieren sowie eine Bedrohungsanalyse durchführen. Die Ergebnisse fließen dann in die Gesamtkonzeption ein und verhindern so aufwändige Korrekturen in späteren Projektphasen.
Eine konsequente Mitarbeit des Sicherheitsteams im Verlauf des Projekts, seine Analysen und Dokumentationen, sichern den Erfolg des Projekts im Hinblick auf Datenschutz und Datensicherheit.
Messbarer Erfolg
Darüber hinaus können kosten- und zeitintensive Nacharbeiten vermieden werden, so dass Budget-Überschreitungen und Projektverzögerungen minimiert werden. Eine Reduktion von sicherheitskritischen Fehlern und eine schnellere Überführung der Lösung in das Informationssicherheits-Management-System (ISMS) dienen als weitere Kennzahlen für einen wirksamen Sicherheitsprozess.
Bei einer durchgängigen Anwendung des neuen Prozesses wird sich auch das Grundverständnis der Mitarbeiter zum Thema Informationssicherheit erhöhen. In Folgeprojekten lässt sich dementsprechend ein kürzerer Projektzyklus erreichen.
Gerade bei der Einführung dieses strengeren Prozesses sind flankierende Schulungen aller Projektmitglieder und eine regelmäßige Revision der Projekte notwendig. Die Ergebnisse und abgeleiteten Handlungsempfehlungen aus unabhängigen Audits helfen, den Prozess zu optimieren, verbleibende Schwachstellen aufzudecken und die Voll¬ständigkeit der Dokumentation zu beurteilen.
Die zunehmende Verzahnung und Abhängigkeit von IT-Systemen untereinander erhöht nicht nur die Komplexität der eigenen Lösungslandschaft, sondern auch die Anforderungen an das Sicherheits- und Projekt-Management. Neue Technologien und die Nutzung bewährter Technik in veränderten Einsatzszenarien vergrößern die Angriffsoberfläche auf die Umgebungen und die schützenswerten Daten von Unternehmen.
Waren IT-Systeme in der Vergangenheit oft Insellösungen und in klar abgrenzbare Perimeter voneinander getrennt, so verschwimmen diese Grenzen durch die steigende Vernetzung und Mobilität zusehends. IT-Projekte bedürfen mehr, als zuvor einer intensiven Planung und durchgängigen Steuerung über alle Phasen hinweg.
* Patrick Michaelis ist CISSP und CSSLP und leitet den Bereich Informationssicherheit bei AC – The Auditing Company, Sachverständigen-Sozietät Dr. Schwerhoff (AC).
(ID:43614677)
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940448/original.jpg "Die Open-Source-Gemeinschaft übernimmt die Vorreiterrolle bei der Gestaltung einer entwicklerfreundlicheren Software-Signierumgebung. (Tierney - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952500/1952573/original.jpg "CloudComputing-Insider ist Mitveranstalter der CCX II/22 Cloud Computing Virtual Conference CCX II/22. (Vogel IT-Akademie)")