IT Security September/Oktober 2023

More documents

Recommendations

Info

72 | IT SECURITY Parallele Kompendien HILFE FÜR DIE JÄHRLICHE WEITERENTWICKLUNG Kennen Sie das auch? Sie haben gerade mal ein Kompendium innerhalb eines Jahres bearbeitet – und schon kommt das nächste. Wie können Sie hier unterstützt werden? Zunächst müssen Sie die Kompendien übersichtlich darstellen. Dabei kann Ihnen ein Tool helfen, das die Bausteine und Anforderungen pro Kompendiumsjahr gut gegliedert abbildet. Und wenn Sie schon dabei sind, könnten Sie auch gleich noch Anforderungen mit Maßnahmen aus dem Datenschutz verknüpfen. Schließlich möchten wir ja auch unsere Kollegen mit umgesetzten Maßnahmen unterstützen. Mit nur einem Update zur neuen Version Hierfür kommt auch die Referenzliste des BSI zum Tragen. Welcher Baustein hat sich geändert, welche Anforderung? Was ist neu hinzugekommen? Passen meine alten Umsetzungskommentare noch? Diese Themen sollten, nein müssen Sie sich genauer ansehen. Ein Tool kann hier eine Übersicht liefern. Aber halt: Ich habe mehrere Verbünde und möchte meinen Verbund für die bevorstehende Zertifizierung nicht anpassen, sondern nur den Verbund für die neuen Anwendungen. Genau an dieser Stelle muss das Tool die Möglichkeit bieten, pro Verbund das Jahr des Kompendiums zu schlüsseln. Mit dieser Schlüsselung können Sie dann den gewünschten Verbund auf einen neuen Kompendien-Stand anheben. Durch die Anhebung erhält der Verbund neue Verbindungen. Die Verbindungen zu dem vorherigen Kompendium werden historisiert und neue Verbindungen zu dem aktuellen Kompendium geschaffen. Durch die Historisierung bleibt der Baustein immer erhalten, auch wenn er in einem neuen Kompendien-Stand entfallen sein sollte. WAS EIN TOOL „NOCH“ NICHT KANN, IST DIE ZUORDNUNG VON NEUEN BAUSTEINEN, DIE VORHER NICHT EXISTIERTEN. Sasche Kreutziger, Leiter Account-, Sales- und Marketingmanagement, HiScout GmbH, www.hiscout.com Was ein Tool „noch“ nicht kann, ist die Zuordnung von neuen Bausteinen, die vorher nicht existierten. Hier dürfen Sie bei der Modellierung noch selbst Hand anlegen. Es gibt Typen für jede Ressource. Diesen Typen können Bausteine zugeordnet werden. Wenn nun beispielsweise eine Anwendung einem Typen zugeordnet wurde, erhält die Anwendung automatisch die neuen Bausteine, wenn Sie diese auch dem Typen zugeordnet haben. Von der Modellierung zum GS-Check Durch die angehobenen Verbünde und die damit entstandenen Verbindungen zum neuen Kompendium werden die neuen Anforderungen ebenfalls verbunden und die noch gültigen Anforderungen bleiben bestehen. Im Tool werden die geänderten und neuen Anforderungen neben der normalen Sicht auf alle Anforderungen dargestellt. Damit haben Sie die Wahl, ob Sie alles sehen möchten oder nur die Veränderungen. Wenn sich an der Anforderung nichts geändert hat, brauchen Sie die Umsetzungskommentare auch nicht mehr anfassen. Jetzt schauen Sie sich die geänderten Anforderungen an. Ein Tool kann „noch“ nicht automatisch entscheiden, ob Ihr Umsetzungskommentar ausreichend ist oder nicht. Hier stellt ein Tool die Anforderungstexte der vorherigen Version und der aktuellen Version zur Verfügung. Sie müssen selbst entscheiden, ob Ihre Kommentare auch noch auf die geänderte Anforderung Gültigkeit haben. Und was passiert mit den entfallenen Anforderungen? Ein Tool vergisst nur, wenn Sie es wollen. Stellen Sie einfach den Verbund auf 2022 um und Sie sehen alles mit diesem Kompendien-Stand. Sascha Kreutziger September/Oktober 2023 | www.it-daily.net
IT SECURITY | 73 PDCA ZYKLUS • Verantwortung des Top Management • Probleme erkennen und analysieren • Ursachen identifizieren • Ziele definieren PLAN • Maßnahmen planen • Umsetzung veranlassen DO • Schulungen • Umsetzung koordinieren • Ressourcen einsetzen • Dokumentieren die Grundlage des gesamten Prozesses. Compliance-Anforderungen und Risiken in der Cloud sind dabei auf verschiedene Ebenen zu beachten: • Managementbewertung • Wirksamkeit überprüfen • Nichtkonformität identifizieren • neue Ziele festlegen • Maßnahmen planen • fortlaufende Verbesserungen ACT Cloud-Sicherheit GEFAHREN EFFIZIENT HANDHABEN Peter Sakal hat einen Master in Computer Science und arbeitet seit über 20 Jahren im Bereich Cybersecurity. Seit 3 Jahren ist er Manager für Cybersecurity & Dataprotection bei der TÜV SÜD Akademie. Mit seiner tiefgreifenden Expertise konnte er uns interessante Einblicke darüber geben, wie Unternehmen die Herausforderungen, die mit einer Cloud-Lösung einhergehen, meistern können. it security: Wieso ist die Cloud so wichtig für Unternehmen? Peter Sakal: Mithilfe der Cloud können innovative Geschäftsmodelle entwickelt werden, welche mithilfe von moderner IT-Infrastruktur agiler und skalierbarer denn je sind. Dennoch birgt die Cloud neue Risiken. Ihre Nutzung erfordert technische und organisatorische Veränderungen in nahezu allen Bereichen des Unternehmens. Informa- ERFOLGREICHE CLOUD-SECURITY IST DAS ERGEBNIS EINES ANDAUERNDEN PROZESSES. Peter Sakal, Manager Cybersecurity & Dataprotection, TÜV SÜD, www.tuvsud.com CHECK • Kontrolle und Überwachung • Monitoring • Auswertung der Ergebnisse • Interne Audits • IST-SOLL Abgleich tionssicherheits-, Compliance- und Datenschutzmaßnahmen müssen entsprechend ergänzt und angepasst werden. it security: Wie können sich Unternehmen vor diesen Gefahren schützen? Peter Sakal: Indem Sie einen CISO mit dieser Aufgabe betrauen. Die Rolle des CISO hat in den letzten Jahren massiv an Bedeutung gewonnen. Einem Angreifer reicht eine einzige Schwachstelle, um erfolgreich zu sein. Der CISO und sein Team müssen eine 360-Grad- Sicht einnehmen, um ein konstant hohes Sicherheitsniveau auf allen Ebenen der Organisation zu gewährleisten. Nur mit einer umfassenden Strategie lassen sich IT-Ausfälle, Cyber-Attacken, Verstöße gegen Datenschutzbestimmungen oder finanzielle Verluste durch Bußgelder und Rufschäden vermeiden. Ein wichtiger Bestandteil dieser Strategie ist die Risikobewertung zur Erfüllung von Compliance-Anforderungen (beispielsweise Datenschutz, IT-Sicherheitsgesetz, Telemedien-/Urheberrechtsgesetz) und Informationssicherheitsanforderungen (BSI-Grundschutz und die ISO/IEC 27000 Serie). Der Plan-Do- Check-Act-Zyklus (siehe Grafik) bildet • Gesetze im Land der Cloud-Betreiber, mit Einwirkung auf die Daten (auch auf EU-Servern). • Datenverfügbarkeit hängt allein vom Cloud-Provider ab. • Angriffsfläche bei Cloud-Strukturen ist häufig größer als On-Premises, Cyberrisiken wie Ransomware nehmen rasant zu. • Datenlöschung in der Cloud ist häufig intransparent. • Erhöhtes Risiko für Regelverstöße, da Mitarbeitern häufig unklar ist, welche Daten wo gespeichert werden. it security: Welche Lücke sehen sie in den aktuellen Security-Strategien der Unternehmen? Peter Sakal: Ein wichtiges aber oft unterschätztes Element der Cyberresilience sind Schulungen. Um Mitarbeitenden die Themen beizubringen, die – an den Arbeitsalltag angepasstes – Wissen vermitteln, müssen spezielle Lernstrategien eingesetzt werden. Unterschiedliche Schulungsformate tragen dazu bei, dass Mitarbeitende die Inhalte gemäß ihres persönlichen Lerntypus verinnerlichen und auch anwenden können. Erfolgreiche Cloud-Security ist das Ergebnis eines andauernden Prozesses. Unternehmen, die sich dessen bewusst sind, können die Chancen der Cloud umso besser nutzen. it security: Herr Sakal, wir danken für das Gespräch. www.it-daily.net | September/Oktober 2023
Page 1 and 2:
Detect. Protect. Respond. September
Page 3 and 4:
INHALT | 3 Inhalt 04 COVERSTORY 4 T
Page 5 and 6:
COVERSTORY | 5 interpretiert werden
Page 7 and 8:
THOUGHT LEADERSHIP | 7 Security Ser
Page 9 and 10:
THOUGHT LEADERSHIP | 9 haben, die s
Page 11 and 12:
IT-SA SPEZIAL | 11 the place to be
Page 13 and 14:
IT-SA SPEZIAL | 13 bei Organisation
Page 15 and 16:
IT-SA SPEZIAL ADVERTORIAL | 15 Acce
Page 17 and 18:
IT-SA SPEZIAL | 17 werden. Brieskor
Page 19 and 20:
IT-SA SPEZIAL ADVERTORIAL | 19 Rans
Page 21 and 22: IT-SA SPEZIAL | 21 it security: Wor
Page 23 and 24: IT-SA SPEZIAL | 23 an, fällt ein T
Page 25 and 26: IT-SA SPEZIAL | 25 Außerdem erkenn
Page 27 and 28: IT-SA SPEZIAL ADVERTORIAL | 27 Mobi
Page 29 and 30: IT-SA SPEZIAL | 29 obwohl der Onboa
Page 31 and 32: IT-SA SPEZIAL ADVERTORIAL | 31 Die
Page 33 and 34: IT-SA SPEZIAL | 33 Carina Mitzschke
Page 35 and 36: IT-SA SPEZIAL | 35 Bild: ESET verd
Page 37 and 38: IT-SA SPEZIAL ADVERTORIAL | 37 Vers
Page 39 and 40: IT-SA SPEZIAL | 39 Auf dem macmon S
Page 41 and 42: IT-SA SPEZIAL ADVERTORIAL | 41 it-s
Page 43 and 44: 19.09.22 12:34 IT-SA SPEZIAL ADVERT
Page 45 and 46: IT-SA SPEZIAL | 45 cherheitsproblem
Page 47 and 48: IT-SA SPEZIAL | 47 Arbeitswelt der
Page 49 and 50: IT-SA SPEZIAL | 49 Directory-Konto
Page 51 and 52: IT-SA SPEZIAL ADVERTORIAL | 51 Sich
Page 53 and 54: IT-SA SPEZIAL | 53 durchführen, wo
Page 55 and 56: IT-SA SPEZIAL | 55 Cyberresilienz M
Page 57 and 58: IT SECURITY | 57 einander. Das Schw
Page 59 and 60: ADVERTORIAL | 59 Ganzheitliche mobi
Page 61 and 62: IT SECURITY | 61 müssen entspreche
Page 63 and 64: ADVERTORIAL | 63 Cloud-PAM WENN PRI
Page 65 and 66: IT SECURITY | 65 protekt 2023 KRITI
Page 67 and 68: ADVERTORIAL | 67 Die eigene Sicherh
Page 69 and 70: IT SECURITY | 69 samkeit erfahren,
Page 71: IT SECURITY | 71 Schritt sollten An
Page 75 and 76: IT SECURITY | 75 Krypto-Agilität D
Page 77 and 78: IT SECURITY | 77 Organisation Daten
Page 79 and 80: Data Lake: Die etwas ANDERE ART des
show all

IT Security September/Oktober 2023

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?