Teil 3 - Echolot der Sicherheit: Sicherheitsanalysen für eine sichere Reise

Ein Sturm tobt und plötzlich versagen kritische Systeme an Bord. Wären regelmässige Sicherheitschecks durchgeführt worden, hätten sich solche Mängel vermeiden lassen. In diesem Teil unserer Serie "Durch die stürmischen Gewässer der IT-Sicherheit navigieren" zeigen wir, wie unerlässlich Sicherheitsanalysen, auch Security Assessments genannt, sind, um blinde Flecken systematisch aufzudecken und Ihr Unternehmen auf Kurs zu halten. Die Diskussion über Cybersicherheit wird im Teil 1 über Governance und im Teil 2 über Cyber-Risikomanagement ergänzt.

Die Vorbereitung: Mit externen Wächtern die Gewässer sichern

Wie ein Kapitän, der für eine grosse Seefahrt einen erfahrenen Navigator hinzuzieht, können Unternehmen je nach Bedarf auf interne oder externe Sicherheitsexperten zurückgreifen. Insbesondere kleinere Teams, die oft nicht über ausreichende Fachkenntnisse oder Ressourcen verfügen, profitieren häufig von dem Einbezug externer Spezialisten. Diese Experten, ob interne oder externe, bringen eine objektive Perspektive ein und sind mit den neuesten Bedrohungen vertraut. Ihr Fachwissen ist entscheidend, um versteckte Schwachstellen aufzudecken und Ihre Cybersicherheitsstrategie auf dem neuesten Stand der Technik und Compliance zu halten.

Sicherheitsanalysen auf verschiedenen Ebenen: Der Blick in alle Richtungen

Sicherheitsanalysen sind wie gründliche Inspektionen des gesamten Schiffes und decken verschiedene Ebenen ab.

• Unternehmensebene: Diese Analysen überprüfen das gesamte Schiff und stellen sicher, dass alle Systeme und Teams einsatzbereit sind.
• ‍Produktebene: Hier wird geprüft, ob Ihre Rettungsboote – Ihre Produkte – einsatzbereit und zuverlässig sind.
• ‍Projektebene: Jedes Projekt ist wie eine spezielle Mission oder ein Beiboot-Ausflug, jeweils mit individuellen Sicherheitsanforderungen.‍
• Lieferantenbewertung: Lieferanten sind wie die Anbieter von Proviant und Ausrüstung. Es muss sichergestellt werden, dass sie zuverlässige und sichere Produkte liefern, vergleichbar mit funktionierenden Rettungswesten und frischen Lebensmitteln.‍
• Infrastrukturebene: Dies entspricht dem Rumpf und der Takelage Ihres Schiffes. Eine robuste Infrastruktur hält Ihr Schiff zusammen und gewährleistet die Sicherheit auf hoher See.

Kontrolle und Wirksamkeit: Design und Betrieb

Es ist entscheidend, nicht nur die Planung (Design) von Sicherheitsmassnahmen zu prüfen, sondern auch ihre Wirksamkeit im Betrieb. Regelmässige Überprüfungen, wie Penetrationstests und Bug-Bounty-Programme, helfen zu verifizieren, dass Ihre Cybersicherheitsstrategien unter realen Bedingungen effektiv sind. Dies ist vergleichbar mit den regelmässigen Sicherheitskontrollen an Bord eines Schiffes durch die Küstenwache oder den Kapitän, die sicherstellen, dass alle Systeme und Ausrüstungen im Ernstfall zuverlässig funktionieren.

Die drei Säulen der Sicherheitsanalyse: Menschen, Prozesse, Technologie

Eine umfassende Sicherheitsanalyse berücksichtigt die drei wesentlichen Säulen: Menschen (People), Prozesse und Technologie.

Im Bereich der Menschen konzentriert sich die Analyse darauf, wie gut das Personal auf Cyberangriffe vorbereitet ist. Dazu gehören regelmässige Schulungen zu aktuellen Bedrohungen wie Phishing und Ransomware, sowie die Bewertung der Effektivität von Sicherheitstrainings.

Bei den Prozessen liegt der Fokus auf der Überprüfung und Optimierung von Sicherheitsprotokollen. Hier werden Verfahren wie der Zugriffsrechte-Management und Incident-Response-Pläne analysiert, um sicherzustellen, dass sie im Falle einer Sicherheitsverletzung effizient funktionieren.

Der Bereich der Technologie umfasst die technische Überprüfung und Bewertung von Sicherheitssystemen und -geräten. Dazu zählen die Evaluation und das Testing von Firewalls, Intrusion Detection Systemen (IDS) und erweiterten Erkennungs- und Reaktionsplattformen (EDR, NDR, XDR), um Schwachstellen zu identifizieren und die Gesamtsicherheit zu stärken.

Lieferantenbewertungen: Selbstbewertung und externe Prüfungen

Die Bewertung von Lieferanten ist ein kritischer Bestandteil der Sicherheitsanalyse. Lieferanten können Selbstbewertungen mittels Fragebögen (Self-Assessments) durchführen, die ihre Einhaltung vertraglicher Anforderungen bestätigen, ähnlich wie Fischer, die ihre Doradenlieferungen hinsichtlich Grösse, Herkunft und Frische deklarieren. Diese Selbstbewertungen können durch Zertifikate und externe Gutachten wie Penetrationstest-Berichte unterstützt werden, die nicht nur die Deklarationen bestätigen, sondern auch die Einhaltung der Sicherheitsstandards überprüfen.  Alternativ ermöglicht das Audit-recht Unternehmen, eigene Experten oder externe Firmen für detaillierte Überprüfungen und Audits einzusetzen.  Laufende Stichprobenkontrollen und detaillierte Inspektionen stellen sicher, dass alle Anforderungen erfüllt werden, etwa, dass die Sicherheitswesten den Normen entsprechen.

Regelmässige Überprüfungen und kontinuierliche Verbesserung

Ein wesentlicher Bestandteil der Sicherheitsanalysen sind die jährlichen ISMS-Audits (Information Security Management System). Diese Audits sind vergleichbar mit regelmässigen Inspektionen Ihres Schiffes, um sicherzustellen, dass es seetüchtig bleibt und auf neue Herausforderungen vorbereitet ist. Sie überprüfen, ob die festgelegten Sicherheitsmassnahmen, wie z.B. die Einführung von Zwei-Faktor-Authentifizierung (2FA) und Mobile Device Management (MDM), erfolgreich umgesetzt wurden und identifizieren neue Restrisiken. Entdeckte Risiken erfordern die Implementierung weiterer Massnahmen. Dieser Prozess der kontinuierlichen Verbesserung ist vergleichbar mit der fortlaufenden Wartung und Aufrüstung eines Schiffes, um sicherzustellen, dass es den rauen Bedingungen auf See standhält.

Setzen Sie den Kurs: Sicherheitsanalysen als Kapitänsaufgabe

Sicherheitsanalysen sind ein unverzichtbares Werkzeug in der IT-Sicherheitsstrategie jedes Unternehmens. Sie bieten die nötige Klarheit und Systematik, um Cyberrisiken effektiv zu managen. Wie ein Kapitän, der sein Schiff vor jeder Reise sorgfältig prüft, ist es essenziell, Ihre Sicherheitsmassnahmen regelmässig zu überprüfen und anzupassen. Nutzen Sie das Audit-recht und ziehen Sie bei Bedarf externe Experten hinzu. So schützen Sie Ihr Unternehmen effektiv vor den unvorhersehbaren Herausforderungen der digitalen Welt.