In 5 Schritten zum Cyber-Security-Zyklus

No
12. Februar 2015

EZB, Nasdaq, Ebay – fast täglich berichten die Medien über Hackerangriffe auf Organisationen. Cyber-Kriminelle gehen dabei so professionell vor, dass der Schutz vor Datenklau und Industriespionage immer schwieriger wird. Eine einzige technische Lösung kann dies nicht leisten. Vielmehr bedarf es eines ganzen Bündels an Maßnahmen. Bewährt hat sich dafür der präventive fünfstufige Ansatz des Cyber-Security-Zyklus.

Die fünf Schritte des Cyber-Security-Zyklus bauen aufeinander auf. Der Schwerpunkt liegt auf der Etablierung eines Information Security Management Systems, bevor es zur wirklichen Abwehr von Angriffen kommen kann.

1. Etablierung eines Information Security Management Systems

Ein Managementsystem für Informationssicherheit (ISMS) stellt die angemessene Behandlung von Cyber-Risiken sicher. Es hilft Unternehmen, juristisch und intern vorgegebene Sicherheitsziele mit einem optimalen Mitteleinsatz zu erreichen.

2. Risikoidentifizierung durch Präventivmaßnahmen

Risiken werden identifiziert, die Ursachen, Quellen und Ziele aktueller Bedrohungen untersucht. Dafür sollten sich Unternehmen in die Lage der potenziellen Angreifer versetzen und wie Hacker vorgehen. Durch Security Self Assessments oder Penetrationstests lassen sich Schwachstellen ermitteln.

3. Auswahl der Schutzvorkehrungen

Im nächsten Schritt werden konkrete Technologien und Lösungen zur Abwehr aktueller Bedrohungen ausgewählt. Im Ernstfall greifen die Sicherheitsvorkehrungen und wehren die Angreifer ab.

4. Kontrolle und Management

Durch den Einsatz echtzeitbasierter IT-Sicherheitstechnologien lassen sich Event Logs von IT-Infrastrukturen sammeln und so potenzielle Hackingversuche rechtzeitig erkennen. Darüber hinaus haben sich Dashboards bewährt, welche die aktuelle Sicherheitslage in Echtzeit konsolidiert darstellen.

5. Messung & Kommunikation

Die Kontrollergebnisse müssen an die verantwortlichen Stellen entsprechend kommuniziert werden. Dafür erhält das Management monatliche Reportings, um sich mit dem Restrisiko auseinanderzusetzen.