Fallbeispiel: Vorbereitung auf eine IT-Ausfall-Versicherung
Analyse der Sicherheitsinfrastruktur eines Unternehmens
Szenario
Das Unternehmen U, das mit Möbelproduktion und Handel ca. 20 Mio. EUR Umsatz jährlich erwirtschaftet und etwa 50 Mitarbeiter beschäftigt, wurde bereits mehrfach Opfer kleiner Cyberangriffe. Es war auch - wegen einiger Besonderheiten der von U genutzten IT-Infrastruktur - einige Male von technischen Ausfällen betroffen, auch wenn größere Schäden bisher vermieden werden konnten.Die Geschäftsleitung stellt fest, dass die in anderen Unternehmen bereits vorgekommenen Daten-GAUs für U das sprichwörtliche "Genickbruch" bedeuten könnten. Um sich auf diesen Fall vorzubereiten und erheblichen finanziellen Schaden abzuwenden, möchte die Geschäftsleitung eine sog. Cyber-Versicherung abschließen. Die angefragte Versicherungsgesellschaft ist bereit, eine zufriedenstellende Absicherung anzubieten, allerdings unter der Bedingung eines ausführlichen Audits und Anpassung der IT-Landschaft von U an "best practices" gemäß Vorgabe der durch die Versicherung benannten IT-Experten. Diesen Weg wollen die Geschäftsführer von U gehen.
Im ersten Gespräch mit den Beratern wird deutlich, dass die Kosten des Audits und der Beratung enorm sein werden. Sie lassen sich aber deutlich reduzieren, wenn sich U auf den Audit intern gut vorbereitet und grundlegende Maßnahmen bereits vor dem Audit vorbereitet bzw. umsetzt. In diesem Fall können die Berater Vollzug bestätigen, ohne dass hohe Kosten anfallen
Sie arbeiten bei U und sollen nun Ihr Wissen über den Umgang mit Daten- und IT-Sicherheit einbringen. Die Geschäftsleitung bittet Sie, "alles Notwendige" zu unternehmen.
Fragen
Was ist zu tun?Die Antwort auf die Frage ist insbesondere in folgenden Artikeln enthalten:
Zu betonen sind folgende Aspekte der Vorbereitung auf die Überprüfung - sowie zur Sicherstellung eines wünschenswerten Zustands der Infrastruktur:
bzw. Kreislaufs
Dabei müssen auch entsprechende Analysen durchgeführt werden, wie hier beschrieben wurde.
B. Dokumentation ist anzufertigen
C. Maßnahmen sind in allen notwendigen (nicht nur technischen!) Bereichen zu ergreifen
Vgl. hier.
CategoryDatensicherheit