16.12.2019 – Alle Informationen zu schützen gelingt niemandem, aber doch wenigstens das vertrauliche Know-how sollte es sein. Die Aufgabe des Chief Information Security Officer (CISO) ist jedoch schwierig, weil er allzu oft die Sicherheit bzw. Vertraulichkeit von Prozessen gewährleisten muss, obwohl die gewachsene IT-Landschaft unübersichtlich ist und keiner mehr sämtliche Komponenten im Netzwerk kennt. Ein automatisierter Scan (Cyber Scoring) hilft bei der Risikominimierung, weil er eine Außenansicht auf sämtliche Systeme des Unternehmens liefert.
Die Aufgabe für den CISO ist klar umschrieben, er ist Gesamtverantwortlicher für die Informationssicherheit in einem Unternehmen. Kein ganz leichtes Unterfangen, wenn man selbst erst seit einigen Jahren im Unternehmen ist und die sich ständig verändernden IT-Strukturen nicht von der Pike auf kennt. Genauso wenig wie Pompeij an einem Tag erbaut wurde, entstehen Unternehmensnetzwerke auch nicht über Nacht auf der grünen Wiese. Selten sind Prozesse und Netz-Strukturen so dokumentiert, dass alles auf Anhieb überblickt werden kann. Da kommen neue Mitarbeiter ins Unternehmen, für die man einen Zugang auf das Laufwerk anlegen muss, eine neue Software für die Buchhaltung soll installiert werden oder eine Produktionsmaschine in einer Auslandsniederlassung soll angebunden werden, damit sie auch aus der Zentrale überwacht und gesteuert werden kann. Ganz zu schweigen von aufwändigen Serverstrukturen, Outsourcing-Projekten, Anbindungen von Fremdfirmen und Zugriffsberechtigungen, die ständig im Blick behalten werden sollten.
Meist gibt es gute Ansätze, alleine die strikte Dokumentation bleibt häufig auf der Strecke und damit der Überblick zu potenziellen Risiken. Der CISO ist in der Regel kein Techniker. Das heißt er ist auf die Expertise und Unterstützung der IT-Fachabteilung angewiesen. Ohne dies negativ werten zu wollen, ist hier jedoch oftmals eine gewisse Betriebsblindheit festzustellen. Eine Außenansicht auf sämtliche aus dem Internet erreichbaren Netzwerke, Server oder Anbindungen, ein sog. Cyber Scoring, schafft hier Klarheit über alle Komponenten. Mit überschaubaren Kosten erhält der CISO einen klaren Blick auf die IT-Sicherheit seines Unternehmens.
Ein Cyber-Scoring ermöglicht eine schnelle, objektive und diskrete IT Sicherheitsbewertung. Dabei wird in sieben Gefährdungskategorien klassifiziert:
- Konkrete Gefährdungslage
- Organisations- & Prozessrisiken
- Angriffsfläche im Internet
- Vertrauenswürdige Verschlüsselung
- Konfiguration der Webserver
- Länderrisiken
- Reputation im Cyberraum
- Mitarbeiterverhalten im Cyberspace
Der CISO erhält damit eine objektive Datengrundlage, aufgrund derer er die potenziellen Risiken besser einschätzen kann. Das Cyber Scoring zeigt sowohl in einem für das Management verständlichen Report die aktuelle Lage, als auch in einer detaillierten Aufschlüsselung für die IT-Verantwortlichen sämtliche Findings. Dies dokumentiert die aktuelle Lage für das Management und schafft für den CISO die Möglichkeit, gemeinsam mit der Fachabteilung Abhilfe zu schaffen und für einen umfassenden Informationsschutz zu sorgen.
—
Der Autor Christian Schaaf ist Geschäftsführer und Gründer von Corporate Trust. Als ehemaliger Kriminalbeamter ist er ein Fachmann für den Umgang mit kriminellen Bedrohungen sowie das Krisenmanagement bei Extremsituationen. In den letzten Jahren hat er sich verstärkt auf das Thema Informationsschutz spezialisiert.
E-Mail: schaaf@corporate-trust.de
Tel.: +49 89 599 88 75 80
Corporate Trust Sicherheitsblog 