ich war hier: robots.txt » DSFallCyberAudit

Fallbeispiel: Vorbereitung auf eine IT-Ausfall-Versicherung

Analyse der Sicherheitsinfrastruktur eines Unternehmens

Szenario

Das Unternehmen U, das mit Möbelproduktion und Handel ca. 20 Mio. EUR Umsatz jährlich erwirtschaftet und etwa 50 Mitarbeiter beschäftigt, wurde bereits mehrfach Opfer kleiner Cyberangriffe. Es war auch - wegen einiger Besonderheiten der von U genutzten IT-Infrastruktur - einige Male von technischen Ausfällen betroffen, auch wenn größere Schäden bisher vermieden werden konnten.

Die Geschäftsleitung stellt fest, dass die in anderen Unternehmen bereits vorgekommenen Daten-GAUs für U das sprichwörtliche "Genickbruch" bedeuten könnten. Um sich auf diesen Fall vorzubereiten und erheblichen finanziellen Schaden abzuwenden, möchte die Geschäftsleitung eine sog. Cyber-Versicherung abschließen. Die angefragte Versicherungsgesellschaft ist bereit, eine zufriedenstellende Absicherung anzubieten, allerdings unter der Bedingung eines ausführlichen Audits und Anpassung der IT-Landschaft von U an "best practices" gemäß Vorgabe der durch die Versicherung benannten IT-Experten. Diesen Weg wollen die Geschäftsführer von U gehen.

Im ersten Gespräch mit den Beratern wird deutlich, dass die Kosten des Audits und der Beratung enorm sein werden. Sie lassen sich aber deutlich reduzieren, wenn sich U auf den Audit intern gut vorbereitet und grundlegende Maßnahmen bereits vor dem Audit vorbereitet bzw. umsetzt. In diesem Fall können die Berater Vollzug bestätigen, ohne dass hohe Kosten anfallen

Sie arbeiten bei U und sollen nun Ihr Wissen über den Umgang mit Daten- und IT-Sicherheit einbringen. Die Geschäftsleitung bittet Sie, "alles Notwendige" zu unternehmen.

Fragen

Was ist zu tun?


Die Antwort auf die Frage ist insbesondere in folgenden Artikeln enthalten:

Zu betonen sind folgende Aspekte der Vorbereitung auf die Überprüfung - sowie zur Sicherstellung eines wünschenswerten Zustands der Infrastruktur:

A. Konzeption und Implementierung des Sicherheitsprozesses
bzw. Kreislaufs
Dabei müssen auch entsprechende Analysen durchgeführt werden, wie hier beschrieben wurde.

B. Dokumentation ist anzufertigen

C. Maßnahmen sind in allen notwendigen (nicht nur technischen!) Bereichen zu ergreifen
Vgl. hier.


CategoryDatensicherheit
Diese Seite wurde noch nicht kommentiert.
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki