Das Rezept für ein resilientes Unternehmen

Das erste, was Unternehmen dabei hilft, ihre Wehrhaftigkeit zu verbessern, ist die Basis des Unternehmens beherrschbar zu machen. Denn wenn Sie nicht wissen, dass Sie ein Kellerfenster haben, können Sie auch nicht kontrollieren, ob es geschlossen ist. Sorgen Sie daher schnellstmöglich für eine vollständige und aktuelle Übersicht der Arbeitsmittel, der Anwender und des Netzwerkverkehrs Ihrer gesamten Infrastruktur. Das hilft Ihnen, die Folgen möglicher Vorfälle einzuschätzen, und Sie können damit auch besser festlegen, wo Sie verletzbar sind und wo Sie eventuell ergänzende Maßnahmen treffen sollten. Außerdem ist eine solche Übersicht eine Voraussetzung dafür, Vorfälle rechtzeitig entdecken zu können (es gibt immer noch Unternehmen, die erst nach Monaten dahinter kommen, dass eine Sicherheitsverletzung stattgefunden hat – und dann auch noch dadurch, dass andere es ihnen erzählen).

Das zweite, wofür Sie sorgen müssen, ist dass Sie mindestens die Maßnahmen treffen, die jeder getroffen haben sollte. Wenn Sie wissen, dass in der Nachbarschaft Einbrecher unterwegs sind, und Sie lassen einfach Ihre Fenster offen, können Sie damit rechnen, dass Sie früher oder später ungebetenen Besuch bekommen. Ein Vulnerability Management sorgt dafür, dass bekannte Schwachstellen schnell beseitigt werden, beispielsweise dadurch, dass die aktuellen Patches und Updates installiert und eventuelle Konfigurationskonflikte sofort behoben werden. Bei Solvinity und bei unseren Kunden ist das ein Prozess, mit dem wir uns tagtäglich befassen.

Das klingt so selbstverständlich, aber die Liste bekannter Schwachstellen ist besonders lang, und die aktive Kontrolle, ob alle potentiellen Probleme korrekt gelöst worden sind, ist eine umfangreiche Aufgabe. Zugleich können Sie davon ausgehen, dass diese Schwachstellen auch bei den Bösewichten bekannt sind. Die gehen einfach die Liste durch und sehen nach, wer seine Hausaufgaben nicht gemacht hat. Achten Sie daher darauf, dass Sie Ihr Vulnerability Management beherrschen. Denn Sie wollen Ihren Kunden später bestimmt nicht erklären müssen, dass Ihr Sicherheitsproblem auf einfache Weise hätte vermieden werden können (Sie ahnen nicht, wie oft das noch vorkommt).

Und schließlich: Machen Sie Security zur Verantwortlichkeit für jeden Mitarbeiter Ihres Unternehmens. Die Höhe der Schäden durch Phishing hat sich, wie die niederländische Tageszeitung Volkskrant im März dieses Jahres schrieb, in einem Jahr vervierfacht. Das liegt nicht nur daran, dass die Betrüger raffinierter ans Werk gehen, sondern auch daran, dass die Menschen die Risiken nicht genügend kennen und anerkennen. Der Mensch ist also das schwächste Glied der Kette.

Das „Zauberwort“ lautet hier: Bewusstsein schaffen. Machen Sie Ihren Leuten die Risiken bewusst. Auch wir selbst testen unsere eigenen Mitarbeiter regelmäßig mit Social-Engineering-Tests verschiedenster Qualität und Raffiniertheit. Da wir das als Wettbewerb aufziehen und auch die Ergebnisse bekannt geben, komplett mit erreichten Punktzahlen und mit Gewinnerliste, achtet das gesamte Team viel genauer z. B. auf Phishing, verdächtige Links und andere Versuche, die Mitarbeiter zu verleiten, Daten preiszugeben oder Handlungen vorzunehmen, die das Unternehmen verletzbar machen.

Der Markt bietet sehr gute und teure Lösungen, mit denen man sich gegen moderne Bedrohungen von außen schützen kann. Aber Sinn macht das erst, wenn Sie Ihr eigenes Unternehmen unter Kontrolle haben. Die Einsicht in die eigene Verletzbarkeit, das sofortige Beheben von Schwachstellen und Mitarbeiter, die sich verantwortlich fühlen: Dieser Mix ist das Basisrezept für ein resilientes Unternehmen.

Das klingt so selbstverständlich, aber die Liste bekannter Schwachstellen ist besonders lang, und die aktive Kontrolle, ob alle potentiellen Probleme korrekt gelöst worden sind, ist eine umfangreiche Aufgabe. Zugleich können Sie davon ausgehen, dass diese Schwachstellen auch bei den Bösewichten bekannt sind. Die gehen einfach die Liste durch und sehen nach, wer seine Hausaufgaben nicht gemacht hat. Achten Sie daher darauf, dass Sie Ihr Vulnerability Management beherrschen. Denn Sie wollen Ihren Kunden später bestimmt nicht erklären müssen, dass Ihr Sicherheitsproblem auf einfache Weise hätte vermieden werden können (Sie ahnen nicht, wie oft das noch vorkommt).

Und schließlich: Machen Sie Security zur Verantwortlichkeit für jeden Mitarbeiter Ihres Unternehmens. Die Höhe der Schäden durch Phishing hat sich, wie die niederländische Tageszeitung Volkskrant im März dieses Jahres schrieb, in einem Jahr vervierfacht. Das liegt nicht nur daran, dass die Betrüger raffinierter ans Werk gehen, sondern auch daran, dass die Menschen die Risiken nicht genügend kennen und anerkennen. Der Mensch ist also das schwächste Glied der Kette.

Das „Zauberwort“ lautet hier: Bewusstsein schaffen. Machen Sie Ihren Leuten die Risiken bewusst. Auch wir selbst testen unsere eigenen Mitarbeiter regelmäßig mit Social-Engineering-Tests verschiedenster Qualität und Raffiniertheit. Da wir das als Wettbewerb aufziehen und auch die Ergebnisse bekannt geben, komplett mit erreichten Punktzahlen und mit Gewinnerliste, achtet das gesamte Team viel genauer z. B. auf Phishing, verdächtige Links und andere Versuche, die Mitarbeiter zu verleiten, Daten preiszugeben oder Handlungen vorzunehmen, die das Unternehmen verletzbar machen.

Der Markt bietet sehr gute und teure Lösungen, mit denen man sich gegen moderne Bedrohungen von außen schützen kann. Aber Sinn macht das erst, wenn Sie Ihr eigenes Unternehmen unter Kontrolle haben. Die Einsicht in die eigene Verletzbarkeit, das sofortige Beheben von Schwachstellen und Mitarbeiter, die sich verantwortlich fühlen: Dieser Mix ist das Basisrezept für ein resilientes Unternehmen.