Die Durchführung eines internen Sicherheitsaudits ist eine großartige Möglichkeit, Ihr Unternehmen auf den richtigen Weg zu bringen, um sich vor einer Datenpanne und anderen teuren Sicherheitsbedrohungen zu schützen. Viele IT- und Sicherheitsexperten halten ein Sicherheitsaudit für eine anstrengende, teure Lösung, um die Sicherheitskonformität ihres Unternehmens zu bewerten (das ist es auch, denn die Kosten für ein externes Sicherheitsaudit bewegen sich im Bereich von 50 000 Dollar). Dabei übersehen sie jedoch, dass ein internes Sicherheitsaudit mit der richtigen Schulung, den richtigen Ressourcen und den richtigen Daten die Sicherheit ihres Unternehmens effektiv bewerten und wichtige, umsetzbare Erkenntnisse zur Verbesserung des Unternehmensschutzes liefern kann.
Es gibt fünf Schritte, die Sie unternehmen müssen, um sicherzustellen, dass Ihr internes Sicherheitsaudit Ihre Investition rentabel macht:
- Definieren Sie Ihr Audit
- Bestimmen Sie Ihre Bedrohungen
- Bewerten Sie die aktuelle Sicherheitsleistung
- Priorisieren Sie (Risikobewertung)
- Formulieren Sie Sicherheitslösungen
Extern vs. Internes Sicherheitsaudit
Bevor wir uns mit den Einzelheiten der einzelnen Schritte befassen, ist es wichtig, den Unterschied zwischen einem externen und einem internen Sicherheitsaudit zu verstehen. Ein externes Sicherheitsaudit ist für Unternehmen unglaublich wertvoll, aber für kleinere Unternehmen unerschwinglich und hängt immer noch stark von der Zusammenarbeit und Koordination der internen IT- und Sicherheitsteams ab. Diese Teams müssen in erster Linie einen angesehenen und erschwinglichen externen Auditpartner finden, aber sie müssen auch Ziele/Erwartungen für die Auditoren festlegen, alle relevanten und genauen Daten bereitstellen und die empfohlenen Änderungen umsetzen.
Es gibt jedoch einen Grund, warum sich größere Organisationen zusätzlich zu den von internen Teams durchgeführten Prüfungen und Bewertungen auf externe Prüfungen verlassen (und warum Finanzinstitute gemäß dem Gramm-Leach-Bliley Act zu externen Prüfungen verpflichtet sind).
Externe Prüfungen werden von erfahrenen Fachleuten durchgeführt, die über alle geeigneten Instrumente und Software verfügen, um eine gründliche Prüfung durchzuführen – vorausgesetzt, sie erhalten die erforderlichen Daten und Anweisungen. Da sie von Personen außerhalb des Unternehmens durchgeführt werden, ist auch sichergestellt, dass keine Geschäftseinheit aufgrund interner Voreingenommenheit übersehen wird. Auditoren haben den Vorteil, dass sie alle Sicherheitsprotokolle kennen und darin geschult sind, Schwachstellen sowohl in physischen als auch in digitalen Systemen zu erkennen.
Trotz der Vorteile entscheiden sich viele IT- und Sicherheitsexperten für interne Sicherheitsaudits, da diese schneller, kostengünstiger, effizienter und konsistenter sind.
Mit einem internen Sicherheitsaudit können Sie eine Ausgangsbasis schaffen, an der Sie Verbesserungen für zukünftige Audits messen können. Da diese internen Audits im Wesentlichen kostenlos sind (abzüglich des Zeitaufwands), können sie häufiger durchgeführt werden. Außerdem wird das Sammeln und Sortieren relevanter Daten vereinfacht, da sie nicht an Dritte weitergegeben werden. Ein weiterer Vorteil ist, dass interne Sicherheitsaudits die Arbeitsabläufe der Mitarbeiter weniger stören.
Wenn Sie sich für ein internes Sicherheitsaudit entscheiden, müssen Sie sich unbedingt mit den Compliance-Anforderungen vertraut machen, die zur Einhaltung der Sicherheitsprotokolle erforderlich sind. Wenn Sie damit vertraut sind, wissen Sie, worauf Sie achten müssen, und können mit der internen Sicherheitsprüfung beginnen.
Hier sind die fünf einfachen, kostengünstigen Schritte, die Sie zur Durchführung eines internen Sicherheitsaudits unternehmen können:
Definieren Sie Ihr Audit
Ihre erste Aufgabe als Auditor ist es, den Umfang Ihres Audits zu definieren – das bedeutet, dass Sie eine Liste aller Ihrer Vermögenswerte aufschreiben müssen. Zu den Vermögenswerten gehören offensichtliche Dinge wie Computerausrüstung und sensible Unternehmens- und Kundendaten, aber auch Dinge, ohne die das Unternehmen Zeit oder Geld benötigen würde, um sie zu reparieren, wie z.B. wichtige interne Unterlagen.
Wenn Sie eine lange Liste von Vermögenswerten haben, müssen Sie Ihren Sicherheitsbereich festlegen.
Ein Sicherheitsbereich unterteilt Ihre Vermögenswerte in zwei Bereiche: Dinge, die Sie prüfen werden, und Dinge, die Sie nicht prüfen werden. Es ist unvernünftig, zu erwarten, dass Sie alles prüfen können. Wählen Sie Ihre wertvollsten Werte aus, bauen Sie einen Sicherheitsbereich um sie herum auf und konzentrieren Sie sich zu 100 % auf diese Werte.
Bestimmen Sie Ihre Bedrohungen
Als Nächstes nehmen Sie Ihre Liste wertvoller Werte und schreiben Sie eine entsprechende Liste potenzieller Bedrohungen für diese Werte auf.
Das kann von schlechten Mitarbeiterpasswörtern zum Schutz sensibler Unternehmens- oder Kundendaten bis hin zu DDoS-Angriffen (Denial of Service) reichen und kann sogar physische Verletzungen oder Schäden durch Naturkatastrophen umfassen. Im Grunde genommen sollte jede potenzielle Bedrohung in Betracht gezogen werden, solange sie Ihr Unternehmen legitimerweise einen beträchtlichen Geldbetrag kosten kann.
Hier ist eine Liste häufiger Bedrohungen, an die Sie bei diesem Schritt denken sollten:
- Nachlässige Mitarbeiter: Ihre Mitarbeiter sind Ihre erste Verteidigungslinie – wie gut sind sie darin geschult, verdächtige Aktivitäten (z. B. Phishing) zu erkennen und die von Ihrem Team festgelegten Sicherheitsprotokolle zu befolgen? Verwenden sie persönliche Passwörter, um sensible Unternehmenskonten zu schützen?
- Phishing-Angriffe: Die Täter nutzen zunehmend Phishing-Betrügereien, um sich Zugang zu sensiblen Informationen zu verschaffen. Über 75 % der Phishing-Angriffe sind finanziell motiviert.
- Schlechtes Passwortverhalten: Bei 81 % der Hackerangriffe sind schwache oder gestohlene Passwörter die am häufigsten verwendete Methode der Täter.
- Böswillige Insider: Es ist wichtig zu bedenken, dass es jemanden in Ihrem Unternehmen gibt oder jemand, der über eine Verbindung zu einem Dritten Zugang zu Ihren Daten hat, der sensible Informationen stehlen oder missbrauchen könnte.
- DDos-Angriffe: Ein verteilter Denial-of-Service-Angriff (DDoS) liegt vor, wenn mehrere Systeme ein Zielsystem (in der Regel einen Webserver) überfluten und überlasten, so dass es unbrauchbar wird.
- BYOD (Bring Your Own Device): Erlaubt Ihr Unternehmen BYOD? Wenn ja, ist die Angriffsfläche für Angreifer größer und schwächer. Jedes Gerät, das Zugang zu Ihren Systemen hat, muss berücksichtigt werden, auch wenn es nicht Ihrem Unternehmen gehört.
- Malware: Dies umfasst eine Reihe verschiedener Bedrohungen wie Würmer, Trojaner, Spyware und eine immer beliebtere Bedrohung: Ransomware.
- Physische Verletzung oder Naturkatastrophe: Auch wenn es unwahrscheinlich ist, können die Folgen eines oder beider dieser Ereignisse unglaublich teuer sein. Wie anfällig ist Ihr Unternehmen?
Bewertung der aktuellen Sicherheitsleistung
Nachdem Sie nun eine Liste der Bedrohungen erstellt haben, müssen Sie die Fähigkeit Ihres Unternehmens, sich gegen diese Bedrohungen zu verteidigen, offen darlegen. An diesem Punkt bewerten Sie die Leistung der bestehenden Sicherheitsstrukturen, was im Wesentlichen bedeutet, dass Sie die Leistung von sich selbst, Ihrem Team oder Ihrer Abteilung bewerten.
Dies ist ein Bereich, in dem ein externes Audit zusätzlichen Nutzen bringen kann, da es sicherstellt, dass keine internen Voreingenommenheiten das Ergebnis des Audits beeinflussen.
Für die Legitimität und Wirksamkeit Ihrer internen Sicherheitsprüfung ist es von entscheidender Bedeutung, dass Sie versuchen, jegliche Emotionen oder Voreingenommenheit auszublenden, die Sie bei der Bewertung und Beurteilung Ihrer bisherigen Leistung und der Leistung Ihrer Abteilung insgesamt haben.
Vielleicht ist Ihr Team besonders gut darin, Ihr Netzwerk zu überwachen und Bedrohungen zu erkennen, aber sind Ihre Mitarbeiter auch auf dem neuesten Stand, was die neuesten Methoden angeht, mit denen sich Hacker Zugang zu Ihren Systemen verschaffen? Als erste Verteidigungslinie sollten Sie vielleicht Bedrohungen, die sich gegen Mitarbeiter richten, stärker gewichten als Bedrohungen im Zusammenhang mit der Netzwerkerkennung. Natürlich gilt dies in beide Richtungen, je nach den Stärken und Schwächen Ihres Teams in Bezug auf die Bedrohungen, mit denen Sie konfrontiert sind.
Die Berücksichtigung der Fähigkeit Ihres Unternehmens, sich entweder gut gegen bestimmte Bedrohungen zu verteidigen oder wertvolle Ressourcen gut zu schützen, ist beim nächsten Schritt von unschätzbarem Wert: der Festlegung von Prioritäten.
Priorisierung (Risikobewertung)
Dies ist vielleicht die wichtigste Aufgabe, die Sie als Prüfer haben. Wie setzt man Prioritäten?
Nehmen Sie Ihre Liste der Bedrohungen und wägen Sie den potenziellen Schaden einer Bedrohung gegen die Wahrscheinlichkeit ab, dass sie tatsächlich eintritt (und weisen Sie so jeder Bedrohung einen Risikowert zu). Beispielsweise kann eine Naturkatastrophe ein Unternehmen auslöschen (hoher Risikowert), aber wenn sich Ihre Anlagen an einem Ort befinden, der noch nie von einer Naturkatastrophe heimgesucht wurde, sollte der Risikowert entsprechend gesenkt werden.
Vergessen Sie nicht, die Ergebnisse der aktuellen Bewertung der Sicherheitsleistung (Schritt Nr. 3) in die Bewertung der relevanten Bedrohungen einzubeziehen.
Bei der Bewertung der Bedrohungen ist es wichtig, einen Schritt zurückzutreten und zusätzliche Faktoren zu berücksichtigen:
- Geschichte Ihres Unternehmens: Hat Ihr Unternehmen in der Vergangenheit bereits einen Cyberangriff oder eine Sicherheitsverletzung erlebt?
- Aktuelle Trends in der Cybersicherheit: Was ist die aktuelle Methode der Wahl für Täter? Welche Bedrohungen werden immer beliebter, und welche werden seltener? Welche neuen Lösungen gibt es, um sich gegen bestimmte Bedrohungen zu schützen?
- Trends auf Branchenebene: Angenommen, Sie arbeiten in der Finanzbranche, wie wirkt sich das nicht nur auf Ihre Daten, sondern auch auf die Wahrscheinlichkeit eines Verstoßes aus? Welche Arten von Sicherheitsverletzungen kommen in Ihrer Branche häufiger vor?
- Vorschriften und Einhaltung von Bestimmungen: Sind Sie ein öffentliches oder privates Unternehmen? Welche Art von Daten verarbeiten Sie? Speichert und/oder übermittelt Ihr Unternehmen sensible finanzielle oder persönliche Daten? Wer hat Zugang zu welchen Systemen?
Formulieren Sie Sicherheitslösungen
Der letzte Schritt Ihrer internen Sicherheitsprüfung ist einfach – nehmen Sie Ihre nach Prioritäten geordnete Liste von Bedrohungen und schreiben Sie eine entsprechende Liste von Sicherheitsverbesserungen oder bewährten Verfahren auf, um diese zu negieren oder zu beseitigen. Diese Liste ist nun Ihre persönliche To-Do-Liste für die kommenden Wochen und Monate.
Hier eine Liste gängiger Sicherheitslösungen, über die Sie bei diesem Schritt nachdenken sollten:
- Sensibilisierung der Mitarbeiter: 50 % der Führungskräfte geben an, dass sie kein Schulungsprogramm für das Sicherheitsbewusstsein ihrer Mitarbeiter haben. Das ist inakzeptabel. Die Mitarbeiter sind das schwächste Glied in der Sicherheit Ihres Netzes. Schaffen Sie Schulungen für neue Mitarbeiter und Aktualisierungen für bestehende Mitarbeiter, um das Bewusstsein für bewährte Sicherheitspraktiken zu schärfen, z. B. wie man eine Phishing-E-Mail erkennt.
- E-Mail-Schutz: Phishing-Angriffe werden heutzutage immer beliebter und sind immer schwieriger zu erkennen. Einmal angeklickt, bietet eine Phishing-E-Mail dem Täter eine Reihe von Möglichkeiten, sich über die Installation von Software Zugang zu Ihren Daten zu verschaffen. Spam-Filter sind hilfreich, aber auch die Kennzeichnung von E-Mails als „intern“ oder „extern“ für Ihr Netzwerk ist sehr wertvoll (Sie können dies an jede Betreffzeile anhängen, damit die Mitarbeiter wissen, woher die E-Mails stammen).
- Passwortsicherheit und Zugangsverwaltung: Passwörter sind schwierig, da sie komplex und für jedes Konto einzigartig sein müssen. Menschen sind einfach nicht dafür gemacht, sich Dutzende oder Hunderte von Passwörtern zu merken, und neigen daher dazu, sie entweder wiederzuverwenden oder sie in ungeschützten Word-Dokumenten oder Notizblöcken zu speichern. Investieren Sie in einen Passwort-Manager für Unternehmen, verhindern Sie die Wiederverwendung von Passwörtern, erhöhen Sie die Komplexität von Passwörtern und ermöglichen Sie die gemeinsame Nutzung sicherer Passwörter. Als Administrator können Sie auch verwalten, wer im gesamten Unternehmen Zugriff auf welche Passwörter hat, um sicherzustellen, dass sensible Konten nur für die entsprechenden Mitarbeiter zugänglich sind. Vergessen Sie nicht, die Zwei-Faktor-Authentifizierung für eine zusätzliche Sicherheitsebene zu verwenden.
- Netzwerküberwachung: Täter versuchen oft, sich Zugang zu Ihrem Netzwerk zu verschaffen. Mit Hilfe von Netzwerküberwachungssoftware können Sie sich über fragwürdige Aktivitäten, unbekannte Zugriffsversuche und vieles mehr informieren, damit Sie potenziell gefährlichen Eindringlingen immer einen Schritt voraus sind. Diese Softwaresysteme, wie z. B. Darktrace, bieten rund um die Uhr Schutz und nutzen künstliche Intelligenz, um Cyberkriminalität zu erkennen, bevor sie auftritt, sind aber in der Regel recht teuer.
- Datensicherung: Es ist erstaunlich, wie oft Unternehmen diesen einfachen Schritt vergessen. Wenn Ihren Daten etwas zustößt, ist Ihr Unternehmen wahrscheinlich erledigt. Sichern Sie Ihre Daten konsequent und sorgen Sie dafür, dass sie im Falle eines Malware-Angriffs oder eines physischen Angriffs auf Ihre Hauptserver sicher und getrennt sind.
- Software-Updates: Es ist von unschätzbarem Wert für die Sicherheit Ihrer Zugangspunkte, wenn Sie dafür sorgen, dass alle Mitglieder Ihres Netzwerks mit der neuesten Software ausgestattet sind. Sie können Software-Updates manuell erzwingen oder eine Software wie Duo verwenden, um Ihre sensiblen Konten für Mitarbeiter zu sperren, deren Software nicht auf dem neuesten Stand ist.
Ihre interne Sicherheitsprüfung ist abgeschlossen
Glückwunsch, Sie haben jetzt die Werkzeuge, um Ihre erste interne Sicherheitsprüfung durchzuführen. Denken Sie daran, dass Audits ein sich wiederholender Prozess sind, der eine kontinuierliche Überprüfung und Verbesserung für zukünftige Audits erfordert.
Ihr erstes Sicherheitsaudit sollte als Grundlage für alle zukünftigen Audits dienen – die Messung Ihrer Erfolge und Misserfolge im Laufe der Zeit ist die einzige Möglichkeit, die Leistung wirklich zu bewerten.
Indem Sie Ihre Methoden und Prozesse kontinuierlich verbessern, schaffen Sie eine Atmosphäre der konsequenten Sicherheitsüberprüfung und stellen sicher, dass Sie immer in der besten Position sind, um Ihr Unternehmen vor jeder Art von Sicherheitsbedrohung zu schützen.
Interessieren Sie sich für einen Passwort-Manager für Unternehmen, der Ihnen dabei hilft, die Wiederverwendung von Passwörtern zu verhindern und Sie vor Nachlässigkeit der Mitarbeiter zu schützen? Informieren Sie sich über Dashlane Business, dem mehr als 7.000 Unternehmen weltweit vertrauen und das von großen und kleinen Unternehmen für seine Wirksamkeit bei der Änderung des Sicherheitsverhaltens und sein einfaches Design gelobt wird, das eine unternehmensweite Einführung ermöglicht.