Fallbeispiel: Wie sicher ist die eigene IT-Security?

Fallbeispiel: Wie sicher ist die eigene IT-Security?

Artikel erschienen in IT Magazine 2021/06

Auswahl und Ausführung

Im Unternehmen wurden bereits, hauptsächlich spezifisch auf Anwendungsfälle, sporadisch Assessments und Risikoanalysen durchgeführt. Das in der Umgebung von Bern angesiedelte KMU hatte zudem bereits zuvor mit Oneconsult zu tun, wodurch die Wahl rasch auf den Anbieter von Security Audits fiel, da es bereits eine Geschäftsbeziehung gab und man sich gegenseitig vertraute.

Dass man sich dabei für einen kompletten Security Audit entschied, hat, so Müller, vor allem damit zu tun, dass das Unternehmen nicht nur etwa die Anwendungen, das heisst den Code, die Verknüpfungen untereinander und allfällige Sicherheitslücken, die auch Kunden des Unternehmens betreffen könnten, ganz genau überprüfen lassen wollte, sondern dass zugleich auch die dahinterliegende IT-Infrastruktur geprüft werden sollte. Es sollten also alle Aspekte rund um die IT und die Security der Unternehmung beleuchtet und einem prüfenden Blick unterzogen werden.

Auf eine längere und, so Müller, intensive Vorbereitungsphase beider Parteien, in der insbesondere eine genaue Dokumentierungen der Anwendungen und derer Funktion sowie auch der IT-Infrastruktur eine Rolle spielten, folgte ein rascher und sich in der Härte exponentiell steigernder Härtetest für das Berner Unternehmen. «Gesamthaft dauert der Prozess insgesamt sechs volle Arbeitstage, zum Teil mit zwei externen Beratern seitens Onconsult», erklärt Müller dazu, und fügt an: «Die Nacharbeiten dauern aber immer noch an.» So werden aktuell, resultierend aus den gewonnenen Einblicken durch den Audit, die Findings in die Systeme und Software implementiert. «Rund 80 Prozent haben wir bereits umgesetzt», so Müller. «Der ganze Prozess dauert mittlerweile rund 3 bis 4 Monate.»

Oneconsult hat genau zu diesem Zweck einen detaillierten Bericht für das Unternehmen erstellt, in dem die Findings einerseits aufgelistet werden, der aber auch schon teilweise konkrete Hinweise darauf gibt, wie man diese behebt. «Dies geschieht anhand der Kritikalität der Findings», so Müller. «Nun werden diese abgearbeitet, zumindest wo wir Bedarf sehen». Denn nicht immer müssten alle empfohlenen Massnahmen umgesetzt werden, erklärt Müller. Dies aus verschiedenen Gründen, etwa wenn es sich um spezielle Fachapplikationen handelt, bei denen der Nutzen nicht gegeben ist. Generell spielen Kosten-Nutzen-Rechnungen dabei eine Rolle. Eines betont der Leiter IT Services aber mehrfach: «Am wichtigsten ist es, jegliches Risiko für unsere Kunden zu minimieren. Die Sicherheit für sie steht immer im Zentrum.»

Ziel ist es, nachdem alle Umsetzungen vorgenommen wurden, dass noch einmal eine Nachüberprüfung seitens Oneconsult stattfindet, so dass man sicher ist, dass die Anpassungen korrekt gemacht wurden und sich dadurch keine neuen Sicherheitsrisiken aufgetan haben.

Zusammenarbeit

«Die Zusammenarbeit war sehr zielführend», zeigt sich Müller derweil von dem Dienstleister begeistert. «So wurde etwa auch ein High-Critical-Sicherheitsrisiko gefunden, was uns sofort kommuniziert wurde und es uns ermöglichte, diese Lücke sofort zu schliessen.» Der Bericht für die Nacharbeiten sei ebenfalls sehr seriös gestaltet, zudem habe sich das Unternehmen ans Budget gehalten.

«Was sicher aber eine Herausforderung war, gerade in einem solchen speziellen Fall, wo auch die Applikations-Sicherheit überprüft wurde und nicht nur die infrastrukturelle Sicherheit, die meist einfacher zu überprüfen ist, ist das fachliche Verständnis der Tester für die einzelnen Applikationen», verrät Müller. Unter Umständen kann das zum Beispiel zu Fehlinterpreta­tionen seitens der Tester führen. «Hier hilft es sicher, wenn man im Vorhinein detailliert und gemeinsam anschaut, wieso einzelne Sachen so gemacht werden, so aufgebaut sind, wie sie es sind», so ­Müller.

Der CIO verrät zudem, dass ein Audit auch andere positive Nebeneffekte haben kann. «Wir profitieren aus diversen Aspekten des Audits. Wir hatten bei dieser Überprüfung zum Beispiel einen Fall, der einen Impact auf diverse Anwendungen hat, die von uns entwickelt worden sind – und zwar aus dem einfachen Grund, dass es den Leuten einfach nicht bewusst gewesen ist», so Müller.

Ausserdem sei auch der Schulungsaspekt wichtig, den die Mitarbeitenden durch den Audit-Prozess erfahren und der nicht zu unterschätzen sei. «Zudem ist es so, dass die eigene Mannschaft affiner wird, je mehr und je regelmässiger man solche Überprüfungen durchführt», führt Müller aus.

So würden heute etwa bereits im Vorfeld von Projekten teils ganz andere Überlegungen gemacht. «Fakt ist, wenn man ISO-Zertifizierungen richtig anwendet, und das gilt auch für die Learnings aus Assessments und Audits, profitiert man sowohl im Betrieb, in der Weiterentwicklung wie auch am Ende des Tages bei der Effizienz», so der Bereichsleiter IT Services.
(swe)
Seite 2 von 2
 

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER