IT-Sicherheit Wie Unternehmen Sicherheitslücken aufdecken

Seite 3/3

Geplante "Hackerangriffe" können hilfreich sein

Mit dem externen Anbieter muss genau geregelt werden, was dieser tun darf und was nicht. Keinesfalls darf durch einen „freundlichen“ Hackerangriff ein Schaden entstehen oder gar eine Sicherheitslücke vom Anbieter zu seinem eigenen Vorteil ausgenutzt werden. Es ist empfehlenswert, wenn die Interne Revision den externen Berater durchgehend begleitet und genau darauf achtet, dass dieser nicht zu weit geht.

Aufgedeckte Sicherheitslücken sollten jeweils im Einzelfall bewertet werden und darauf basierend entschieden werden, ob und wie diese Lücke weiter ausgenutzt werden kann beziehungsweise soll. Gegebenenfalls ist der Test an so einer Stelle aber auch abzubrechen, da das Risiko eines Schadens zu groß ist. In solchen Fällen müssen Schutzmaßnahmen mit dem externen Anbieter definiert werden, die auch auf eventuelle oder potenzielle nachgelagerte Schwächen, die nicht mehr getestet wurden, kurieren.

Organisationen haben die vielfältigen Herausforderungen, die durch die globalisierte, vernetzte Welt entstehen, zu meistern. EDV-Systeme, Netzwerke und Daten sind einem permanenten Bedrohungspotenzial ausgesetzt. Dieses Risiko muss durch eine angemessene Sicherheitsinfrastruktur, definierte EDV-Prozesse und klare Verfahrensanweisungen für Mitarbeiter zum Umgang mit Medien minimiert werden.

Die IT-Sicherheit sollte in eine ganzheitliche Sicherheitsstrategie, wie unter anderem auch im Forum-Beitrag vom 29.7.2015 „Das sichere Unternehmen 4.0“ dargelegt, eingebettet werden.

Es ist unumgänglich, das gesamte Umfeld immer wieder auf Schwächen zu prüfen und zu verbessern.

Während die Sicherheitsverantwortlichen für die operative Umsetzung und kontinuierliche Verbesserung der Sicherheitsstrategie und –infrastruktur verantwortlich sind, stellt die Interne Revision eine zusätzliche Kontrollinstanz dar. Sie ist nicht für die Implementierung der Sicherheitsthemen zuständig und somit auch nicht „betriebsblind“. Sie kann die Undurchlässigkeit der Strategie mit ihren eigenen Mitteln und Techniken unabhängig bewerten und IT-Sicherheitslücken aufzudecken. Die so gewonnenen Erkenntnisse werden wiederum von den Sicherheitsverantwortlichen genutzt, um weitere Verbesserungsmaßnahmen vorzunehmen.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%