Cybersecurity Assessment: Leider nötiger denn je

Lange haben Unternehmen in der Schweiz oder Deutschland die Notwendigkeit eines Schutzes vor Cyber-Angriffen in ganz weiter Ferne gesehen, aber die Erfahrungen aus der jüngsten Zeit zeigen, dass ein Cybersecurity Assessment, bei dem durch eine unabhängige Firma bewertet wird, wie effektiv die Informationssicherheit im eigenen Unternehmen gestaltet ist, heute notwendiger denn je ist. Es vergeht nicht ein Tag, indem nicht in der Presse über neue Fälle von Cyber-Crime berichtet wird: Von lahmgelegten Rechenzentren über blockierte Rechner bis hin zu Erpressungen, bei denen man Riesensummen in Bitcoins zahlen soll, damit man wieder auf die eigenen Rechner zugreifen kann.

Cyber-Sicherheit ist oft nur gefühlt gut, aber nicht tatsächlich. Ein Cybersecurity Assessment kann da Gewissheit verschaffen

Prozesse und Organisation gehören auf den Prüfstand

Viele Unternehmen schieben eine solche Überprüfung durch ein neutrales Unternehmen auf die lange Bank. Vielleicht, weil es Geld kostet oder, weil man sicher fühlt. Die Realität zeigt aber, dass das Gegenteil oft der Fall ist. Die Einfallstore für clevere Hacker sind oft deutlich grösser, als man das selber einschätzt und könnten aber – und das ist die gute Nachricht – mit einfachen Mitteln oft auch geschlossen werden. Deswegen ist ein Cybersecurity Assessment sehr wichtig, denn dort wird geprüft und bewertet:

• Organisation der Informationssicherheit
• Prozesse, die zur Informationssicherheit gehören
• Vorhandene Risiken im Unternehmen
• Was könnten diese Risiken bewirken?

Durch ein solches Cybersecurity Assessment ist man in der Lage, die Sicherheitsorganisation in Sachen IT und alle IT-Prozesse kontinuierlich besser und sicherer zu gestalten.

Manche Versicherer fordern das auch

Manche Versicherer, die eine Cyber-Versicherung anbieten, fordern auch ein solches Cybersecurity Assessment oder aber gewähren Nachlässe auf die Prämie, wenn man nachweisen kann, dass man sich einer solchen Bewertung unterzogen hat.

Wer ein aktuelles, neutrales Bild seiner Cyber-Sicherheit haben will, ist mit einem solchen Assessment in Sachen Cyber-Security mit Sicherheit gut beraten.

Die Erfahrung lehrt: Daten sind oft nicht so sicher weggeschlossen wie man glaubt.

Wie gehen Profis dabei in Sachen Cyber-Sicherheit vor?

Die Vorgehensweise ist meist gleich:

• Erfassung des Ist-Zustands, ggf. durch Telefonate oder Ausfüllen von Fragebögen
• Analyse des bisherigen Regelwerks, welches zur Anwendung kommt
• Erstellung eines Reports über die aktuelle Situation
• Empfehlung von konkreten Massnahmen zur Verbesserung der Cyber-Sicherheit

Kleine und mittlere Unternehmen oft besonders gefährdet

In der Praxis hat sich gezeigt, dass kleine und mittlere Unternehmen (KMU) oft besonders gefährdet sind, Opfer von Cyber-Angriffen zu werden, weil dort häufig die Gefahr unterschätzt wird und selbst vor bekannten Gefahren kein effizienter Schutz vorhanden ist. Teilweise gibt es am Markt schon Schnelltests für KMU, wo diese online grob feststellen können, ob sie auf der Höhe der Zeit sind, wenn es um Cyber-Sicherheit geht.

Grosse Business-Risiken werden oft unterschätzt

Man schützt sich vor dem Einbruch durch dicke Türen und Schlösser an den Türen und schliesst Aktenordner nachts in Schränke, aber die Einfallstore zu den Datenkanälen stehen teilweise sperrangelweit auf. Diese Gefahr ist aber den meisten Firmen nicht bewusst, obwohl Cyberattacken mit zu den grössten Risiken für Firmen gehören. Auch gesetzliche und regulatorische Anforderungen werden häufig nicht erfüllt. Sicherheitsbewertungen und Penetrationstests zeigen i.d.R. schnell Schwachstellen im Unternehmen auf, die man meist bis dahin nicht kannte oder unterschätzt hatte. Angreifer gehen jedoch immer geschickter und skrupelloser vor, weswegen man sich davor schützen sollte.