Donnerstag, März 28, 2024
Wie geht mein Unternehmen mit Sicherheitsproblemen um?
Foto: iStock

Eine Auswahl wichtiger Fragen von UnternehmensentscheiderInnen an ihre IT-Verantwortlichen zur Einschätzung der IT-Sicherheitslage eines Unternehmens.

Diese Liste des österreichischen nationale CERT (Computer Emergency Response Team) spricht organisatorische Themen abseits der rein technisch fokussierten Maßnahmen wie etwa Backup, Passwortrichtlinien oder physikalische Sicherheit an.

>> Informationsfluss  <<

- Wie und vor allem wer erfährt im Unternehmen von IT-Sicherheitsproblemen (wenn beispielsweise Dritte eine Sicherheitslücke melden)?

- Gibt es dazu eine klar definierte Prozesskette, wie Meldungen & Eskalationen zu erfolgen haben?

- Verfügt das Unternehmen über ein entsprechendes Social-Media- bzw. Medienmonitoring, um allfällige Sicherheitsvorfälle in Verbindung mit dem eigenen Firmen- oder Produktnamen selbst erkennen zu können, sobald berichtet wird?

>> Verantwortlichkeiten  <<

- Gibt es im Unternehmen für alle Systeme und Services klare Verantwortlichkeiten mit entsprechenden Stellvertretungsregelungen?

>> Abläufe  <<

- Wenn ein IT-Sicherheitsvorfall eingetreten ist: Gibt es entsprechende Einsatz- oder Ablaufpläne? (Idealerweise nach unterschiedlichen Kategorien sortiert).

>> Erreichbarkeit  <<

- Ist die Erreichbarkeit der wichtigsten Unternehmensbereiche (Geschäftsführung, Technik, PR) auch außerhalb der Bürozeiten sichergestellt?

>> Vertrauenswürdigkeit der Dienstleister   <<

- Sind alle extern zugekauften Dienstleistungen (von Co-Location bis hin zur Cloud) mit entsprechenden Security Service-Level-Agreements versehen, als vertrauenswürdig einzustufen und verfügen die Dienstleister über eine entsprechende Zertifizierung (z.B. ISO 27001)?

>> Versicherung  <<

- Welche IT-Risiken eines Unternehmens sind prinzipiell versicherbar?

- Bei welchen könnte das aus Sicht des Unternehmens auch wirtschaftlich vernünftig sein?

>> Eigene Zertifizierung  <<

- Was wäre der Aufwand einer IT-Security-Zertifizierung (z.B. ISO 27001) und was der potenzielle Nutzen aus Sicht des Unternehmens (Sicht von IT, Marketing, neuen Auftragsmöglichkeiten)?

- Ist das Unternehmen hinsichtlich NIS-Richtlinie selbst der »kritischen Infrastruktur« zuzuordnen?

- Wenn ja: Wie ist das Unternehmen auf die Anforderungen der europäischen NIS-Richtlinie vorbereitet?

>> Investitionen  <<

- Wieviel Aufwand (personell, finanziell) wird derzeit in IT-Security-Themen investiert?

- Wie ist das Verhältnis von reiner Angriffs-Abwehr (Prävention) zu Erkennung erfolgreicher Angriffe (Detection) im Unternehmen?

>> Verhaltensregeln  <<

- Gibt es im Unternehmen klare Richtlinien zu Privatnutzung, Verhaltensregeln und Themen wie Smartphones/Tablets?

- Kann jedes Gerät im Unternehmensnetzwerk einem Benutzer bzw. einem Verantwortlichen zugeordnet werden und ist sichergestellt, dass alle Geräte auf aktuellem Stand und sicher konfiguriert sind?

Sollten Unklarheiten oder weitere offene Fragen auftauchen, empfehlen CERT.at und GovCERT.gv.at Firmen, sich intern wie auch extern – etwa durch SicherheitsexpertInnen – näher mit IT-Sicherheit zu befassen.

Meistgelesene BLOGS

Martin Szelgrad
18. Dezember 2023
Wie der Ausschluss von Technologieanbietern vom Mobilfunkmarkt Schaden für den Wirtschaftsstandort verursacht. Westliche Werte vs. Dominanz aus China – darum geht es im Hintergrund aktueller politisch...
Der Bewerb um die höchste staatliche Auszeichnung für Unternehmensqualität in Österreich ist eröffnet. Gemeinsam mit dem Bundesministerium für Arbeit und Wirtschaft (BMAW) sucht Quality Austria wieder...
Kirchdorfer
07. Dezember 2023
Der siebenstöckige Businesskomplex thront unübersehbar an der westlichen Stadteinfahrt Gleisdorfs – das neue Unit Center, das mithilfe von MABA-Knowhow innerhalb kürzester Zeit sprichwörtlich auf die ...
AWS (Amazon Web Services)
05. Dezember 2023
Mai-Lan Tomsen Bukovec, Vice President of Technology bei Amazon Web Services (AWS) erklärt, wie sich das Cloud Computing seit der Jahrtausendwende bis heute verändert hat und was die Zukunft noch brin...
Alfons A. Flatscher
02. Jänner 2024
... das Alte geht. Die Welt ist im Wandel. Wir wandeln uns mit. Der REPORT ist im Wandel und erscheint in neuem Kleid: Mit neuem Layout, auf besserem Papier und mit einer Weiterentwicklung des inhaltl...
Redaktion
14. Dezember 2023
Eine Brücke in die digitale Zukunft: Die „Seeds for the Future Scholarships" von Huawei unterstützen junge Studierende auf ihrem Bildungsweg – so auch an der Universität Klagenfurt. Immer häufiger ste...
Redaktion
14. Dezember 2023
Machen Sie technische Produkte intelligent und Ihr Unternehmen zukunftsfähig – das berufsbegleitende Weiterbildungsprogramm „Embedded Systems Design" an der Universität für Weiterbildung Krems vermitt...
Mario Buchinger
04. Dezember 2023
Die Klimakrise passiert und dieses Jahr bekamen wir in Form von Unwettern einen kleinen Vorgeschmack, was uns die nächsten Jahre bevorsteht. Wenn wir unseren Wohlstand erhalten wollen, müssen wir viel...

Log in or Sign up