Warum sind IT Security Audits in Zeiten von zunehmender Cyberbedrohung so wichtig?

Durch die fortschreitende Digitalisierung und Implementierung neuer Technologien (wie z.B. WebAssembly, 5G) werden Tür und Tor für Cyberkriminalität noch weiter geöffnet. Erste Anzeichen dafür kann man im Entwurf des neuen IT-Sicherheitsgesetzes 2.0 sehen. Dieses wird im Vergleich zu dem Vorgänger einen deutlich höheren Adressatenkreis haben.

So werden künftig nicht nur kritische Unternehmen zu Security Audits verpflichtet sein, sondern auch solche Unternehmen, welche von „besonderem öffentlichem Interesse“ sind. Sie werden in Zukunft regelmäßig dazu verpflichtet sein eine Selbsterklärung zur IT-Sicherheit abzugeben.

Angriffe auf namhafte Unternehmen

Cyberangriffe gerade auch in Oberösterreich wo zuletzt mehrere namhafte Unternehmen durch gezielte Angriffe mittels Verschlüsselung ganzer Netzwerke, Datenabflüsse und Lösegeld-Erpressungsversuche stattgefunden hatten, zeigen auf wie wichtig es ist, interne geeignete Absicherungsmaßnahmen zu treffen und diese regelmäßig auf Stand der Technik neu zu evaluieren.

Die DSGVO gibt zwar in Art. 32 “Sicherheit der Verarbeitung”, vor, geeignete Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung umzusetzen, dabei in der Beurteilung des angemessenen Schutzniveaus insbesondere die damit verbundenen Risiken zu berücksichtigen.

Und damit sind mehrere Themen zu adressieren:

Thema #1

Maßnahmen zur wirksamen Awareness der Organisation (Sensibiliserung im Umgang mit IT Systemen und deren schützenswerten Daten). Dies gilt es Top-Down und Bottom-Up entsprechend umzusetzen und regelmäßig zu überprüfen.

Thema #2

Die eingesetzte IT-Infrastruktur ist soweit möglich angemessen auf Stand der Technik (Hier hilft der Telestrust des BSI) anzupassen, auf Stand zu halten, und durch geeignete technische Überprüfungen (Audits, PEN-Tests) zu testen.

Um hierzu eine nachaltige Wirksamkeit sicherzustellen sind entsprechende Überprüfungsaudits nicht nur sinnvoll sondern künftig auch verpflichtend, auch um im Rahmen eines Vorkommnisses ggf. versichert zu sein, bzw. in der Wirksamkeit der vorhandenen Abwehrmaßnahmen (Hardening) diesen Angriffen widerstehen zu können.

Der Hacker schläft nicht!

Ein altes Sprichwort sagt auch: “Nach dem Vorfall ist vor dem Vorfall!”.
Man sollte rasch aus den Erkenntnissen die Lehren ziehen und damit künftig noch besser vorbereitet sein. Es wird leider sehr oft übersehen auch die externen Dienstleister, die sogenannten “Auftragsverarbeiter regelmäßig auf deren durch uns verpflichtete technische Sicherheitsmaßnahmen zu kontrollieren. 

Dies kann durch deren Zugriffsmöglichkeiten, Authenthifizierungsvorgaben, Passwörter und Berechtigungen sehr weitreichende Auswirkungen nach sich führen, wenn es hier Schwachstellen gibt. Nur ein ganzheitliches Schwachstellenmanagement und daraus abgeleitete Risikovorsorgemaßnahmen hilft hier gegenzuhalten.

Eine sehr gute Quelle zur Orientierung bietet hier auch das BSI.

Sprechen Sie mit uns, wir helfen Ihnen Ihre Organisation auf Herz und Nieren zu diesen Themen zu evaluieren und mit geeigneten Umsetzungsmaßnahmen zu unterstützen.

Wir sind die Datenschutz und CyberSecurity Experten.

Gefällt Ihnen dieser Artikel?

Share on Facebook
Share on Twitter
Share on Linkdin
Share on Pinterest

Wir halten Sie am Laufenden!

Abonnieren Sie unseren Newsletter – mit uns verpassen Sie keine Updates und Infos zum Themenkomplex Datenschutz.