IT Security September/Oktober 2023
Top-Cyberschutz – Threat Intelligence und All-in-One-Ansatz Das perfekte Ziel für Cyberkriminelle – Warum man unbedingt auf Security-Services setzen sollte Cloud-Sandboxing – Bedrohungen frühzeitig erkennen Security Orchestration perfektioniert – Für einen besseren Schutz sorge
Top-Cyberschutz – Threat Intelligence und All-in-One-Ansatz
Das perfekte Ziel für Cyberkriminelle – Warum man unbedingt auf Security-Services setzen sollte
Cloud-Sandboxing – Bedrohungen frühzeitig erkennen
Security Orchestration perfektioniert – Für einen besseren Schutz sorge
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>IT</strong> SECUR<strong>IT</strong>Y | 73<br />
PDCA ZYKLUS<br />
• Verantwortung des Top Management<br />
• Probleme erkennen und analysieren<br />
• Ursachen identifizieren<br />
• Ziele definieren<br />
PLAN<br />
• Maßnahmen planen<br />
• Umsetzung veranlassen<br />
DO<br />
• Schulungen<br />
• Umsetzung koordinieren<br />
• Ressourcen einsetzen<br />
• Dokumentieren<br />
die Grundlage des gesamten Prozesses.<br />
Compliance-Anforderungen und Risiken<br />
in der Cloud sind dabei auf verschiedene<br />
Ebenen zu beachten:<br />
• Managementbewertung<br />
• Wirksamkeit überprüfen<br />
• Nichtkonformität identifizieren<br />
• neue Ziele festlegen<br />
• Maßnahmen planen<br />
• fortlaufende Verbesserungen<br />
ACT<br />
Cloud-Sicherheit<br />
GEFAHREN EFFIZIENT HANDHABEN<br />
Peter Sakal hat einen Master in Computer<br />
Science und arbeitet seit über 20<br />
Jahren im Bereich Cybersecurity. Seit 3<br />
Jahren ist er Manager für Cybersecurity<br />
& Dataprotection bei der TÜV SÜD<br />
Akademie. Mit seiner tiefgreifenden Expertise<br />
konnte er uns interessante Einblicke<br />
darüber geben, wie Unternehmen<br />
die Herausforderungen, die mit<br />
einer Cloud-Lösung einhergehen, meistern<br />
können.<br />
it security: Wieso ist die Cloud so<br />
wichtig für Unternehmen?<br />
Peter Sakal: Mithilfe der Cloud können<br />
innovative Geschäftsmodelle entwickelt<br />
werden, welche mithilfe von<br />
moderner <strong>IT</strong>-Infrastruktur agiler und skalierbarer<br />
denn je sind. Dennoch birgt<br />
die Cloud neue Risiken. Ihre Nutzung<br />
erfordert technische und organisatorische<br />
Veränderungen in nahezu allen<br />
Bereichen des Unternehmens. Informa-<br />
ERFOLGREICHE<br />
CLOUD-SECUR<strong>IT</strong>Y<br />
IST DAS ERGEBNIS<br />
EINES ANDAUERNDEN<br />
PROZESSES.<br />
Peter Sakal, Manager Cybersecurity &<br />
Dataprotection, TÜV SÜD, www.tuvsud.com<br />
CHECK<br />
• Kontrolle und Überwachung<br />
• Monitoring<br />
• Auswertung der Ergebnisse<br />
• Interne Audits<br />
• IST-SOLL Abgleich<br />
tionssicherheits-, Compliance- und Datenschutzmaßnahmen<br />
müssen entsprechend<br />
ergänzt und angepasst werden.<br />
it security: Wie können sich Unternehmen<br />
vor diesen Gefahren schützen?<br />
Peter Sakal: Indem Sie einen CISO mit<br />
dieser Aufgabe betrauen. Die Rolle des<br />
CISO hat in den letzten Jahren massiv<br />
an Bedeutung gewonnen. Einem Angreifer<br />
reicht eine einzige Schwachstelle,<br />
um erfolgreich zu sein. Der CISO<br />
und sein Team müssen eine 360-Grad-<br />
Sicht einnehmen, um ein konstant hohes<br />
Sicherheitsniveau auf allen Ebenen der<br />
Organisation zu gewährleisten. Nur mit<br />
einer umfassenden Strategie lassen sich<br />
<strong>IT</strong>-Ausfälle, Cyber-Attacken, Verstöße<br />
gegen Datenschutzbestimmungen oder<br />
finanzielle Verluste durch Bußgelder<br />
und Rufschäden vermeiden.<br />
Ein wichtiger Bestandteil dieser Strategie<br />
ist die Risikobewertung zur Erfüllung<br />
von Compliance-Anforderungen (beispielsweise<br />
Datenschutz, <strong>IT</strong>-Sicherheitsgesetz,<br />
Telemedien-/Urheberrechtsgesetz)<br />
und Informationssicherheitsanforderungen<br />
(BSI-Grundschutz und die<br />
ISO/IEC 27000 Serie). Der Plan-Do-<br />
Check-Act-Zyklus (siehe Grafik) bildet<br />
• Gesetze im Land der Cloud-Betreiber,<br />
mit Einwirkung auf die Daten<br />
(auch auf EU-Servern).<br />
• Datenverfügbarkeit hängt allein vom<br />
Cloud-Provider ab.<br />
• Angriffsfläche bei Cloud-Strukturen<br />
ist häufig größer als On-Premises,<br />
Cyberrisiken wie Ransomware nehmen<br />
rasant zu.<br />
• Datenlöschung in der Cloud ist häufig<br />
intransparent.<br />
• Erhöhtes Risiko für Regelverstöße, da<br />
Mitarbeitern häufig unklar ist, welche<br />
Daten wo gespeichert werden.<br />
it security: Welche Lücke sehen sie<br />
in den aktuellen <strong>Security</strong>-Strategien<br />
der Unternehmen?<br />
Peter Sakal: Ein wichtiges aber oft unterschätztes<br />
Element der Cyberresilience<br />
sind Schulungen. Um Mitarbeitenden<br />
die Themen beizubringen, die – an den<br />
Arbeitsalltag angepasstes – Wissen vermitteln,<br />
müssen spezielle Lernstrategien<br />
eingesetzt werden. Unterschiedliche<br />
Schulungsformate tragen dazu bei, dass<br />
Mitarbeitende die Inhalte gemäß ihres<br />
persönlichen Lerntypus verinnerlichen<br />
und auch anwenden können. Erfolgreiche<br />
Cloud-<strong>Security</strong> ist das Ergebnis eines<br />
andauernden Prozesses. Unternehmen,<br />
die sich dessen bewusst sind, können die<br />
Chancen der Cloud umso besser nutzen.<br />
it security: Herr Sakal, wir danken<br />
für das Gespräch.<br />
www.it-daily.net | <strong>September</strong>/<strong>Oktober</strong> <strong>2023</strong>