Mittwoch, Juli 24, 2024
Wie geht mein Unternehmen mit Sicherheitsproblemen um?
Foto: iStock

Eine Auswahl wichtiger Fragen von UnternehmensentscheiderInnen an ihre IT-Verantwortlichen zur Einschätzung der IT-Sicherheitslage eines Unternehmens.

Diese Liste des österreichischen nationale CERT (Computer Emergency Response Team) spricht organisatorische Themen abseits der rein technisch fokussierten Maßnahmen wie etwa Backup, Passwortrichtlinien oder physikalische Sicherheit an.

>> Informationsfluss  <<

- Wie und vor allem wer erfährt im Unternehmen von IT-Sicherheitsproblemen (wenn beispielsweise Dritte eine Sicherheitslücke melden)?

- Gibt es dazu eine klar definierte Prozesskette, wie Meldungen & Eskalationen zu erfolgen haben?

- Verfügt das Unternehmen über ein entsprechendes Social-Media- bzw. Medienmonitoring, um allfällige Sicherheitsvorfälle in Verbindung mit dem eigenen Firmen- oder Produktnamen selbst erkennen zu können, sobald berichtet wird?

>> Verantwortlichkeiten  <<

- Gibt es im Unternehmen für alle Systeme und Services klare Verantwortlichkeiten mit entsprechenden Stellvertretungsregelungen?

>> Abläufe  <<

- Wenn ein IT-Sicherheitsvorfall eingetreten ist: Gibt es entsprechende Einsatz- oder Ablaufpläne? (Idealerweise nach unterschiedlichen Kategorien sortiert).

>> Erreichbarkeit  <<

- Ist die Erreichbarkeit der wichtigsten Unternehmensbereiche (Geschäftsführung, Technik, PR) auch außerhalb der Bürozeiten sichergestellt?

>> Vertrauenswürdigkeit der Dienstleister   <<

- Sind alle extern zugekauften Dienstleistungen (von Co-Location bis hin zur Cloud) mit entsprechenden Security Service-Level-Agreements versehen, als vertrauenswürdig einzustufen und verfügen die Dienstleister über eine entsprechende Zertifizierung (z.B. ISO 27001)?

>> Versicherung  <<

- Welche IT-Risiken eines Unternehmens sind prinzipiell versicherbar?

- Bei welchen könnte das aus Sicht des Unternehmens auch wirtschaftlich vernünftig sein?

>> Eigene Zertifizierung  <<

- Was wäre der Aufwand einer IT-Security-Zertifizierung (z.B. ISO 27001) und was der potenzielle Nutzen aus Sicht des Unternehmens (Sicht von IT, Marketing, neuen Auftragsmöglichkeiten)?

- Ist das Unternehmen hinsichtlich NIS-Richtlinie selbst der »kritischen Infrastruktur« zuzuordnen?

- Wenn ja: Wie ist das Unternehmen auf die Anforderungen der europäischen NIS-Richtlinie vorbereitet?

>> Investitionen  <<

- Wieviel Aufwand (personell, finanziell) wird derzeit in IT-Security-Themen investiert?

- Wie ist das Verhältnis von reiner Angriffs-Abwehr (Prävention) zu Erkennung erfolgreicher Angriffe (Detection) im Unternehmen?

>> Verhaltensregeln  <<

- Gibt es im Unternehmen klare Richtlinien zu Privatnutzung, Verhaltensregeln und Themen wie Smartphones/Tablets?

- Kann jedes Gerät im Unternehmensnetzwerk einem Benutzer bzw. einem Verantwortlichen zugeordnet werden und ist sichergestellt, dass alle Geräte auf aktuellem Stand und sicher konfiguriert sind?

Sollten Unklarheiten oder weitere offene Fragen auftauchen, empfehlen CERT.at und GovCERT.gv.at Firmen, sich intern wie auch extern – etwa durch SicherheitsexpertInnen – näher mit IT-Sicherheit zu befassen.

Meistgelesene BLOGS

Andreas Pfeiler
27. März 2024
Die Bundesregierung hat ein lang überfälliges Wohnbauprogramm gestartet. Ausschlaggebend dafür war ein Vorschlag der Sozialpartner, der medial aber zu Unrecht auf einen Punkt reduziert und ebenso inte...
Redaktion
09. April 2024
Die Baubranche befindet sich gerade in einem riesigen Transformationsprozess. Dabei gilt es nicht nur, das Bauen CO2-ärmer und insgesamt nachhaltiger zu gestalten, sondern auch Wege zu finden, wie man...
Firmen | News
27. Mai 2024
Die Zeiten, in denen man eine Bankfiliale besuchen musste, um sich über finanzielle Produkte zu informieren, sind längst vorbei. Heute, in einer Ära, in der praktisch jede Information nur einen Klick ...
Fujitsu
05. April 2024
Die IT-Landschaft hat sich in den letzten Jahren stark verändert. Früher dominierten zentralisierte Rechenzentren, ein neuer Trend favorisiert nun aber eine verteilte IT-Infrastruktur. Diese erstreckt...
Bernd Affenzeller
02. Juni 2024
Am 9. Juni findet in Österreich die Wahl zum Europäischen Parlament statt. Überschattet wird der Wahlkampf derzeit von Vorwürfen gegen die grüne Kandidatin Lena Schilling. Trotz der heftigen Turbulenz...
Alfons A. Flatscher
02. Juni 2024
Elon Musk, Tesla-Gründer und Twitter-Eigner, ist immer gut für Sager. Jetzt wurde er gefragt, wer denn im November die Präsidentenwahlen gewinnen werde: Biden oder Trump? Er habe keine Ahnung, antwort...
Marlene Buchinger
21. April 2024
Derzeit gibt es Unmengen an Schulungsangeboten und ESG-Tools schießen wie Pilze aus dem Boden. Anstelle das Rad neu zu erfinden, lohnt es sich bestehende Strukturen zu neu zu denken. Herzlich Willkomm...
AWS (Amazon Web Services)
15. April 2024
Ein Kommentar von Alexandra Lucke, AWS ClimateTech Expert Der Ruf nach einer klimabewussteren und nachhaltigeren Welt hält auch im Jahr 2024 an. Organisationen wie die Internationale Energieagentur er...

Log in or Sign up