Der GGW "Cyber Secure Sicherheitsaudit"

... macht konkrete Schwachstellen der IT-Sicherheit transparent und erarbeitet Strategien zur Minimierung des Cyber-Risikos.

Hamburg, 26.08.2019 – Ohne eine Vielzahl an IT-Anwendungen wäre das heutige Arbeiten - noch dazu an verschiedenen Unternehmensstandorten - kaum möglich. Ob die Maschinen in der Produktion, das Warenmanagement im Hochregallager oder die Abrechnung in der Buchhaltung - häufig werden zum Abbilden der entsprechenden Geschäftsprozesse verschiedene Programme eingesetzt, die über Schnittstellen miteinander vernetzt sind. Je komplexer die Prozesse und die benötigte IT-Landschaft, desto größer ist beispielsweise auch das Risiko, Hackern "Türen" in das Unternehmen zu öffnen.

Der GGW IT-Si­cher­heits­au­dit "Cy­ber Se­cu­re" un­ter­sucht in Zu­sam­men­ar­beit mit IT-Fo­ren­sik-Ex­per­ten in­di­vi­du­ell und ganz nach Un­ter­neh­mens­be­darf ein­zel­ne oder al­le Be­stand­tei­le der Un­ter­neh­mens-IT auf kon­kre­te Schwach­stel­len. Dar­über hin­aus wird in ei­nem Ri­si­ko-Work­shop ana­ly­siert, wel­che wirt­schaft­li­chen Aus­wir­kun­gen ein An­griff auf die Wert­schöp­fungs­ket­te des Un­ter­neh­mens ha­ben könn­te und wie das je­wei­li­ge Ri­si­ko mi­ni­miert bzw. den Aus­wir­kun­gen im Ernst­fall be­geg­net wer­den könn­te.
 

Ge­naue Prü­fung der IT auf Si­cher­heits­lü­cken und Kon­fi­gu­ra­ti­ons­feh­ler

Um den ge­nau­en Um­fang des Au­dits und den kon­kre­ten Be­darf des Un­ter­neh­mens zu er­mit­teln, wer­den vor­ab grund­le­gen­de Ein­zel­hei­ten zum Un­ter­neh­men und der IT er­fragt. Üb­li­cher­wei­se wer­den die Netz­werk-In­fra­struk­tur aus­führ­lich und gän­gi­ge An­wen­dun­gen wie ERP, CRM oder File­ser­ver stich­pro­ben­ar­tig auf mög­li­che IT-Si­cher­heits­lü­cken und Kon­fi­gu­ra­ti­ons­feh­ler un­ter­sucht. Da­zu er­fol­gen zu­nächst Ge­sprä­che mit IT-An­sprech­part­nern und an­de­ren Ver­ant­wort­li­chen über wich­ti­ge Pro­zes­se der In­for­ma­ti­ons- bzw. IT-Si­cher­heit. Da­zu ge­hö­ren bei­spiels­wei­se die Hard­ware­be­schaf­fung und -ent­sor­gung, das Pass­wort- und Be­nut­zer­kon­ten­ma­nage­ment, die räum­li­che Si­tua­ti­on des RZ-Be­rei­ches und das Si­cher­heits­ma­nage­ment von Mo­bil­ge­rä­ten. Im nächs­ten Schritt wer­den bei Pe­ne­tra­ti­ons­ver­su­chen in Form von Black-, Grey- und/oder Whi­te­box-Tests das Netz­werk mit den IT-Ge­rä­ten und An­wen­dun­gen en­u­me­riert und fort­ge­schrit­te­nen An­grif­fen, et­wa auf die Win­dows-AD-Um­ge­bung, aus­ge­setzt. Zu den Maß­nah­men des Pe­ne­tra­ti­ons­tests zäh­len bei­spiels­wei­se Netz­werk- und Port­scans, das Ab­hö­ren von Da­ten­strö­men, ge­ge­be­nen­falls mit zu­sätz­li­chem An­sto­ßen von Kom­mu­ni­ka­ti­on durch die Ver­wen­dung be­reit­ge­stell­ter oder ver­füg­ba­rer Apps so­wie ei­ne pas­si­ve Aus­wer­tung der SSL-/TLS-Ein­stel­lun­gen und der Si­cher­heit hin­sicht­lich ver­schie­de­ner Cryp­to-As­pek­te. Durch die sys­te­ma­ti­sche Über­prü­fung er­hält das Un­ter­neh­men in der Re­gel ei­nen fun­dier­ten IT-Sta­tus Quo und ei­nen um­fas­sen­den Über­blick über kon­kre­te IT-Si­cher­heits­pro­ble­me. Je nach Wunsch kön­nen auch wei­te­re Sys­te­me und An­wen­dun­gen un­ter­sucht wer­den. In der Re­gel han­delt es sich hier um die ex­ter­ne Web­sei­te des Un­ter­neh­mens, das Sys­tem der Fi­nanz­buch­hal­tung oder die Zeit­er­fas­sung. Dar­über hin­aus kön­nen auch die WLAN-In­fra­struk­tur und nach au­ßen sicht­ba­re WLAN-Netz­wer­ke er­mit­telt und von au­ßen ana­ly­siert und ge­prüft wer­den. Auch die Räum­lich­kei­ten selbst las­sen sich in Be­zug auf den IT-Schutz im Si­cher­heits­au­dit selbst­ver­ständ­lich über­prü­fen: 

  • Welche Zutrittskontrollen in die Serverräume und das Rechenzentrum gibt es?
  • Wie ist das Unternehme generell, die Besprechungsräume oder die Produktionsstätten im Einzelnen vor fremdem Zutritt gesichert?
  • Wie könnte ein Angreifer physisch vor Ort in das IT-System gelangen?
     

Die finanziellen Auswirkungen im Blick – Workshop Cyber-Risiken

Ein wich­ti­ger Be­stand­teil des GGW Cy­ber Se­cu­re Si­cher­heits­au­dits ist der Work­shop "Cy­ber-Ri­si­ken". Im Ge­gen­satz zur IT an sich wird hier die Wert­schöp­fungs­ket­te des Un­ter­neh­mens be­trach­tet und auf die Kern­pro­zes­se so­wie mög­li­che Aus­wir­kun­gen ei­nes Cy­ber-An­griffs ge­schaut. Da­bei wer­den wirt­schaft­li­che Ri­si­ken in Scha­densze­na­ri­en mit ih­ren fi­nan­zi­el­len Aus­wir­kun­gen ana­ly­siert, Scha­den­hö­hen und Un­ter­bre­chungs­zeit­räu­me er­mit­telt und ei­ne in­di­vi­du­el­le Ri­si­ko­be­wer­tung er­stellt. Dem ent­ge­gen ge­stellt und be­wer­tet wer­den die der­zeit vom Un­ter­neh­men er­grif­fe­nen Maß­nah­men zur Ri­si­ko­steue­rung. Dar­aus er­gibt sich ein Sta­tus Quo, der ge­ge­be­nen­falls die Op­ti­mie­rung der vor­han­de­nen oder die Um­set­zung wei­te­rer Schutz­maß­nah­men emp­fiehlt.
 

Ergebnis

In der Re­gel kön­nen im vor­be­schrie­be­nen Si­cher­heits­au­dit IT-An­wen­dun­gen im Rah­men von Pe­ne­tra­ti­ons­tests gründ­lich auf mög­li­che Si­cher­heits­lü­cken über­prüft wer­den. So wer­den mit ho­her Wahr­schein­lich­keit auch in­di­vi­du­el­le oder kom­ple­xe IT-Si­cher­heits­lü­cken iden­ti­fi­ziert. Die Ri­si­ko­ana­ly­se im Rah­men des Cy­ber-Work­shops dient au­ßer­dem als Ba­sis für die Ge­stal­tung ei­nes Busi­ness-Con­ti­nui­ty-Ma­nage­ments bzw. ei­ner mög­li­chen Cy­ber-Ver­si­che­rung. Durch die er­mit­tel­ten Scha­den- und Aus­fall­kos­ten macht sie zum ei­nen die tat­säch­lich be­nö­tig­ten Ver­si­che­rungs­sum­men oder ge­son­dert be­nö­tig­te De­ckungs­ele­men­te trans­pa­rent und ver­mei­det ei­ne Über- oder Un­ter­ver­si­che­rung. Zum an­de­ren lässt sich die Ein­tritts­wahr­schein­lich­keit be­stimm­ter Ri­si­ken durch Um­set­zung zu­sätz­li­cher Schutz­maß­nah­men mög­li­cher­wei­se ver­rin­gern. Dann lie­ßen sich hö­he­re Selbst­be­hal­te für den Scha­den­fall mit dem Ver­si­che­rer ver­ein­ba­ren, was ent­spre­chend zu güns­ti­ge­ren Ver­si­che­rungs­prä­mi­en führt.
 

Ers­te Be­stands­auf­nah­me auch über den GGW "Cy­ber Se­cu­re Quick-Check"

Für eine kurze Überprüfung der IT als erste Orientierung ohne großen Aufwand empfehlen wir den

GGW "Cyber Secure Quick-Check". Er liefert schnelle erste Ergebnisse über mögliche Risiken der IT-Infrastruktur.

 

 

Sie haben Fragen? Sprechen Sie uns an!

Markus Hoffmann
Kundenbetreuer Telefon: +49 40 328101-4588
E-Mail: 

 

 

m.hoffman@ggw.de

Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Anika Wist
Veröffentlicht: 26.08.2019
Share:

Ansprechpartner

Regina Schulz
Gossler, Gobert & Wolters Assekuranz-Makler GmbH – Mitglied der Geschäfts­leitung
Sie möchten eine Publikation oder Pressematerial zugeschickt bekommen? Dann lassen Sie uns gern eine Nachricht zukommen.

Mehr zum Thema

AssVerm Leistungen

Über AssVerm

AssVerm Service

Das könnte auch von Interesse sein

AssVerm Blog

Aktuelles aus unserem Haus

Hamburg, 22.12.2023
UPDATE +++ Bundestag beschließt Gesetz zur Umsetzung der geänderten EU-KH-Richtlinie

Am 14. De­zem­ber hat der Bun­des­tag zum um­strit­te­nen The­ma...

…lesen

Leipzig, 21.12.2023
Erfolgreiche Spendenaktion bei GGW Leipzig

GGW führt re­gel­mä­ßig in­ter­ne Spen­den­ak­tio­nen durch, um...

…lesen

Hamburg, 21.12.2023
Frohe Weihnachten und ein gesundes neues Jahr!

Die ver­gan­ge­nen Mo­na­te stan­den im Zei­chen vie­ler...

…lesen

Hamburg, 13.12.2023
UPDATE +++ Wichtige Änderungen zur Kfz-Haftpflichtversicherung

Ak­tu­ell er­rei­chen uns vie­le Fra­gen zu den...

…lesen

Hamburg, 21.09.2023
UPDATE – INFORMATION FÜR UNSERE GESCHÄFTSPARTNER: WIR SIND WIEDER ERREICHBAR!

Am 16. Sep­tem­ber 2023 kam es zu ei­nem Cy­ber-An­griff auf die...

…lesen

Hamburg, 19.09.2023
Information für unsere Geschäftspartner

Seit dem 16. Sep­tem­ber 2023 sind wir von ei­nem Cy­ber-An­griff...

…lesen

AssVerm Blog

AssVerm Downloadcenter

Wichtige Unterlagen to go

In unserem Downloadcenter finden Sie aktuelle Broschüren und wichtige Formulare zum herunterladen

Zum Downloadcenter