:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Startups im Blickpunkt: Alyne Unternehmensrisiken ganz einfach managen
IT-Risiken nehmen jedes Jahr weiter zu und die Fähigkeit diese effektiv zu verwalten wird von Jahr zu Jahr komplexer. Das RegTech-Startup Alyne will Unternehmen dabei helfen, Risiken so einfach zu managen, wie ein „Like“ in sozialen Netzwerken. Alyne bietet mit seinem Tool einen komfortablen und effektiven Weg, IT-Risiken eines Unternehmens mit verschiedenen Control Sets zu kanalisieren und zu identifizieren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Wer bei Wikipedia nach dem Begriff „Erfinder“ sucht wird eine lange Liste von Namen vorfinden und den dazugehörigen Erfindungen. Viele davon sind uns unbekannt, aber ebenso viele haben mit ihren Ideen enorme Erfolge erzielt. Auf den Spuren dieser Erfinder sind heute kreative Startups unterwegs. Überzeugt von ihrem Potential, ihrer Idee und mit einem innovativen Ansatz wollen Sie eine der Kern-Komponenten des geschäftlichen Erfolgs, die IT, sicherer machen! Nicht aus der Garage oder einer Scheune, sondern von einem Schreibtisch aus setzen sie Ihre Idee um.
Die Vision des Münchner RegTech-Strartups Alyne besteht darin, Unternehmensrisiken so einfach zu managen, wie ein „Like“ in sozialen Netzwerken. Eine Vision, die von CIOs und CISOs sicher gleichermaßen begrüßt wird, denn die IT-Risiken nehmen jedes Jahr weiter zu und die Fähigkeit diese effektiv zu verwalten wird von Jahr zu Jahr komplexer. Wie Alyne diese Herausforderung lösen will, lässt das Kofferwort „RegTech“ (bestehend aus „regulatory“ und „technology“) schon erahnen. Denn das RegTech-Ziel ist es, Unternehmen bei der Anforderung an ein regulatorisches Management mit IT-Mitteln bestmöglich zu unterstützen.
:quality(80)/images.vogel.de/vogelonline/bdb/1223500/1223509/original.jpg "Das Gründerteam von Alyne (von links nach rechts): Stefan Sulistyo (Co-Founder & Chief Customer Officer), Karl Viertel (Founder & Chief Executive Officer), Manuel Reil (Co-Founder & Chief Technology Officer) und Matthias Danner (Co-Founder & Chief Financial Officer).")
:quality(80)/images.vogel.de/vogelonline/bdb/1223500/1223510/original.jpg "Beantragen eines Test-Zugangs über die Alyne-Webseite. Für diesen Gratis-Account genügt die Angabe der eigenen E-Mail-Adresse und Vergabe eines Zugangs-Passwortes.")
:quality(80)/images.vogel.de/vogelonline/bdb/1223500/1223511/original.jpg "Das Control Set „Persönlicher Cyber Check“ mit 33 unterschiedlichen Controls welche das persönliche Security-Umfeld betreffen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1223500/1223512/original.jpg "Risikograph Klassifikation von Information für Social Media. Der Graph zeigt die Berührungspunkte zu anderen Risiken und die sich letztendlich daraus ergebenden Risiken für ein Unternehmen, bei Nichtbeachtung bzw. Nichtumsetzung von Maßnahmen zur Risikominimierung.")
Zentralismus
Der Einsatz der IT für das Risikomanagement ist nicht neu. Aber Alyne setzt bzgl. Bedienbarkeit und Vielfalt neue Maßstäbe. Knapp 900 Control Statements bieten geballte Kompetenz für das Umfeld in Cyber-Security, Risikomanagement und Compliance! Die webbasierte „Software as a Service“-Lösung offeriert rund 60 Control Sets, die neben bekannten Themenfeldern auch Themen qualifiziert abdeckt, die seltener genutzt werden. Dazu zählen z.B. Regulatoren andere Länder (UK Cyber Essentials), Frameworks zu IT Governance (Cobit 4.1 / 5) oder auch Controls für den Einkauf von Leistungen.
Alyne ermöglicht es, das Risikomanagement und entsprechende Compliance-Anforderungen durch einen Verantwortlichen unternehmensweit zu entwickeln und den Umsetzungsgrad zu messen! Der Vorteil liegt dabei klar auf der Hand. Es gibt einen Ansprechpartner (Administrator), eine Methode und eine übergreifende, zentrale Datenbasis. Das diese Datenbasis auch exportierbar ist, beispielsweise als Tabelle, für eine weitere Verarbeitung versteht sich von selbst. Ein besonderes Schmankerl, das Alyne offeriert ist der Risikograph. Hierbei wird das Risiko eines Controls Statements (CRs) in Relation zu anderen CRs grafisch dargestellt und zeigt die Berührungspunkte und eine mögliche Risikoaddition. Einschätzungen und Bewertungen werden so für den Alyne-Administrator deutlicher und können so zu eigenen (veränderten) Festlegungen führen!
Bekanntermaßen hat der Erfolg viele Väter – auch im Security-Risikomanagement. Ein Verantwortlicher betreibt das Management, aber die Einschätzung des jeweiligen Zustands im Unternehmen kommt von den eigenen Experten. Diese geben Input, wie es beispielsweise im Unternehmen bei der Umsetzung einer Passwort-Policy aussieht. Gibt es eine Historie der letzten zehn Begriffe und wird ein Passwort-Wechsel alle 90 Tage wirklich erzwungen?
Wobei die eigenen IT-Experten sich hier nicht durch endlose Unterlagen kämpfen müssen, sondern nur durch einen spezifischen Fragenkatalog, den der Alyne-Admin vorbereitet hat. Dies reduziert den Aufwand bei den Experten, was unter anderem auch deren Kooperationsbereitschaft optimiert.
Risiken verwalten
Alyne wird in der Regel auf eine Jahresbasis lizenziert und startet bei einem Einstiegspaket für Mittelständler oder auch kleinere Use Cases im Konzern bei etwas über 1000 Euro an Gebühren pro Monat. Alyne bietet aber auch Pilot- und POC-Projekte (Proof Of Concept) an, die eine monatliche Verrechnung erlauben. Ebenso wird auch eine Unterstützung beim Onboarding für das Tool angeboten oder weiterreichende Consulting-Unterstützung durch Partner.
Für die Umsetzung eines erfolgreichen Risikomanagements durchläuft man einen Aufgabenplan. Dieser wird immer wieder dann erneut durchlaufen wird, wenn entweder neue Security-Anforderungen zu berücksichtigen sind oder sich im Unternehmen neue oder veränderte IT-Technik etabliert hat.
- 1. Risiko identifizieren
- 2. Techniken & Standards zu Minimierung/Abwehr etablieren (Alyne: Control Set)
- 3. Implementierungsgrad definieren (Alyne: Standardreifegrad)
- 4. Umsetzung verifizieren (Alyne: Assesment durchführen)
- 5. Maßnahmen zur Nachbearbeitung ausführen
Dieser 5er-Aufgabenplan wird dabei in den wesentlichen Punkten durch das Alyne-Tool unterstützt und durch Reports, Bearbeitung von Risiken zu verknüpften Controls und eigenen Bearbeitungsmöglichkeiten ergänzt wird. Nicht zu vergessen, die innovative Assesment-Steuerung, bei der IT-Experten Ihre Einschätzung auch über das Tool eingeben, so dass die manuelle Datenübernahme oder Anpassung verschiedener Daten-Formate völlig entfällt!
Praxis
Um sich einen ersten Eindruck von den wesentlichen Funktionen zu verschaffen, kann man einfach einen Test-Zugang beantragen. Dies geschieht über die „STARTEN!“-Schaltfläche auf der Alyne-Webseite.
Von den verfügbaren Control Sets ist bei der Testnutzung das Set „Persönlicher Cyber Check“ freigeschaltete. Dieses Control Set enthält 33 Controls, die für die Verbesserung der persönlichen Sicherheit genutzt werden können. Die Controls können dabei als Blueprint genutzt werden und für das eigene Unternehmen bei Bedarf customized werden. Nutzt das Unternehmen beispielsweise keine Social Media, kann das Control „Klassifikation von Information für Social Media“ deaktiviert werden.
Für die Controls, kann man dann einfach per Mausklick („Aus Vorlage generieren“), ein eigenes Set, erstellen. Per „Assesment erzeugen“ ist es möglich, aus dem Control Set einen „Fragebogen“ zu erstellen, für den der jeweilige Experte seine Security-Einschätzung abgibt. Der Alyne-Admin kann dabei verschiedene Optionen vorgeben, wie z.B.:
- Zeitraum für die Beantwortung vorgeben
- Definition eines Reifegrads (Erwünschte Umsetzungsqualität)
- Definition der Empfänger, die dieses Assesment durchführen sollen
Das Assessment selbst wird dann per Mausklick gestartet. Es empfiehlt sich, überall Werte einzugeben (Titel, Zeitvorgaben etc.), da selbst im Test-Modus das Alyne-Tool auf verfügbare Daten achtet und bei fehlenden Daten den Start des Assesments verweigert.
Per E-Mail und auch im Alyne-Dashboard werden die ausgewählten IT-Experten nun aufgefordert, sich in die Web-GUI einzuloggen und Ihre Einschätzung zum Reifegrad der IT abzugeben. Diese Bearbeitung erfolgt als Frageform mit vorgegebenen Multiple-Choice-Antworten. Angenehm ist, das auch bei größeren Fragemengen, wie sie sich bei Querschnittsthemen auftreten ergeben, der Aufwand für den Experten in einem akzeptablen Rahmen bleibt.
Haben alle IT-Experten ihre Fragen beantwortet und die Daten zurück in das System gespiegelt, kann ein Report erstellt werden. Der Alyne-Admin wählt dazu das entsprechende Menü an und generiert einen Standard-Report, der ein Management-Summary, ein Risiko-Diagramm und auch ein „Abweichungs-Radar“ enthält, welches die Pain-Points im eigenen Risikomanagement darstellt.
Alyne bietet mit seinem Tool einen höchst komfortablen und effektiven Weg, die Risiken eines Unternehmens mit verschiedenen Control Sets zu kanalisieren und so eine IST-Analyse zu erreichen. Anhand des Reports kann wiederum das größte Risiko identifiziert werden bzw. die Themenfelder, bei denen der größte Handlungsbedarf besteht. Auf dieser Basis kann das Management Entscheidungen priorisieren und auch eine Budget-Planung vornehmen. Budget, welches z.B. für interne Aktivitäten (Security Awareness, Prozessdefinitionen) oder auch neue Produkte (Hard- und Software) verwendet wird und so Defizite beseitigt, die durch das vorausgegangene Risikomanagement aufgedeckt wurden.
Fazit
Jeder weiß, dass IT-Systeme zwar gewaltig zum wirtschaftlichen Erfolg eines Unternehmens beitragen, aber dennoch mit Risiken verbunden sind. Die Aufgabe des Managements und der IT-Abteilung ist es nicht, alle Risiken abzuwehren — das wäre illusorisch — sondern Risiken zu bewerten, zu priorisieren und festzulegen, bei welchen Risiken Handlungsbedarf besteht und welche man einfach als Risiko akzeptiert.
Die Vision von Alyne ist es, Unternehmensrisiken einfach zu managen! Mit der durchdachten Weblösung und dem Software- as-a-Service Konzept gelingt dies auch sehr effektiv. Die interne Revision, ein externer (Wirtschafts-)Prüfer oder Auditor muss sich nicht mehr durch Papierunterlagen kämpfen, sondern kann einfach auf digitale Daten zugreifen die via Alyne ermittelt und aufbereitet wurden. Die gelebte IT Sicherheit wird nachvollziehbar und damit auch für das Unternehmen selbst transparent und damit besser beherrschbar. Denn mit Alyne bekommt man Licht in „Das war schon immer so!“-Abläufe und in die dunklen Ecken, in denen noch das „Hey Joe“-Prinzip zuhause ist. Alyne ein Tool, das man sich ansehen sollte!
| Alyne auf einen Blick | |
|---|---|
| Name | Alyne |
| Webseite | https://www.alyne.com/de/ |
| Geschäftsform | GmbH |
| Standort | München |
| Gründungszeitpunkt | 9.9.2015 |
| Geschäftsführer | Karl Viertel, Stefan Sulistyo, Manuel Reil, Matthias Danner |
| Anzahl Mitarbeiter | 8 |
| Security-Sparte | Prävention: Risikoeinschätzung |
| Produkt | Alyne |
| Innovation | B2B-Unternehmen mit rund 900 Controls zur Risiko- Identifizierung |
| Unternehmens-Blog | https://www.alyne.com/en/blog.html (englisch) |
| Investitionen möglich | Ja, vorrausichtlich in 2018 nächste Finanzierungsrunde |
| Startfinanzierung / Umsatz letztes Jahr | Eigenfinanziert durch Gründer, Seed Finanzierungen durch Angel Investoren und Barclays Techstars, weitere in Kürze |
(ID:44668788)
:quality(80)/p7i.vogel.de/wcms/23/3e/233e4bbfd0aa83be9c4adb4d6a1f7313/0105055815.jpeg "0105055815 (Bild: iStock)")
:quality(80)/p7i.vogel.de/wcms/86/5b/865b607805e874f2192cb286d90e4ddd/0105243756.jpeg "Das Startup Rimian, aus Füssen im Allgäu unterstützt Unternehmen dabei, Cyberrisiken ins Verhältnis zu den davon betroffenen Geschäftsprozessen zu setzen. (Bild: thodonal - stock.adobe.com)")