Wiki source for DSFallCyberAudit
===== Fallbeispiel: Vorbereitung auf eine IT-Ausfall-Versicherung =====
== Analyse der Sicherheitsinfrastruktur eines Unternehmens ==
=== Szenario ===
Das Unternehmen U, das mit Möbelproduktion und Handel ca. 20 Mio. EUR Umsatz jährlich erwirtschaftet und etwa 50 Mitarbeiter beschäftigt, wurde bereits mehrfach Opfer kleiner Cyberangriffe. Es war auch - wegen einiger Besonderheiten der von U genutzten IT-Infrastruktur - einige Male von technischen Ausfällen betroffen, auch wenn größere Schäden bisher vermieden werden konnten.
Die Geschäftsleitung stellt fest, dass die in anderen Unternehmen bereits vorgekommenen Daten-GAUs für U das sprichwörtliche "Genickbruch" bedeuten könnten. Um sich auf diesen Fall vorzubereiten und erheblichen finanziellen Schaden abzuwenden, möchte die Geschäftsleitung eine sog. Cyber-Versicherung abschließen. Die angefragte Versicherungsgesellschaft ist bereit, eine zufriedenstellende Absicherung anzubieten, allerdings unter der Bedingung eines ausführlichen Audits und Anpassung der IT-Landschaft von U an "best practices" gemäß Vorgabe der durch die Versicherung benannten IT-Experten. Diesen Weg wollen die Geschäftsführer von U gehen.
Im ersten Gespräch mit den Beratern wird deutlich, dass die Kosten des Audits und der Beratung enorm sein werden. Sie lassen sich aber deutlich reduzieren, wenn sich U auf den Audit intern gut vorbereitet und grundlegende Maßnahmen bereits vor dem Audit vorbereitet bzw. umsetzt. In diesem Fall können die Berater Vollzug bestätigen, ohne dass hohe Kosten anfallen
Sie arbeiten bei U und sollen nun Ihr Wissen über den Umgang mit Daten- und IT-Sicherheit einbringen. Die Geschäftsleitung bittet Sie, "alles Notwendige" zu unternehmen.
=== Fragen ===
Was ist zu tun?
Die Antwort auf die Frage ist insbesondere in folgenden Artikeln enthalten:
- [[DSManagementGrundlagen über die grundlegende Vorgehensweise im Sicherheitsmanagement]],
- [[DSMassnahmen über die Maßnahmen zur Sicherstellung der Datensicherheit]]
Zu betonen sind folgende Aspekte der Vorbereitung auf die Überprüfung - sowie zur Sicherstellung eines wünschenswerten Zustands der Infrastruktur:
((1)) Konzeption und Implementierung des Sicherheitsprozesses
bzw. Kreislaufs
Dabei müssen auch entsprechende Analysen durchgeführt werden, wie [[http://wdb.fh-sm.de/DSManagementGrundlagen#section_3 hier beschrieben wurde]].
((1)) Dokumentation ist anzufertigen
((1)) Maßnahmen sind in allen notwendigen (nicht nur technischen!) Bereichen zu ergreifen
Vgl. [[http://wdb.fh-sm.de/DSMassnahmen#section_1 hier]].
----
CategoryDatensicherheit
== Analyse der Sicherheitsinfrastruktur eines Unternehmens ==
=== Szenario ===
Das Unternehmen U, das mit Möbelproduktion und Handel ca. 20 Mio. EUR Umsatz jährlich erwirtschaftet und etwa 50 Mitarbeiter beschäftigt, wurde bereits mehrfach Opfer kleiner Cyberangriffe. Es war auch - wegen einiger Besonderheiten der von U genutzten IT-Infrastruktur - einige Male von technischen Ausfällen betroffen, auch wenn größere Schäden bisher vermieden werden konnten.
Die Geschäftsleitung stellt fest, dass die in anderen Unternehmen bereits vorgekommenen Daten-GAUs für U das sprichwörtliche "Genickbruch" bedeuten könnten. Um sich auf diesen Fall vorzubereiten und erheblichen finanziellen Schaden abzuwenden, möchte die Geschäftsleitung eine sog. Cyber-Versicherung abschließen. Die angefragte Versicherungsgesellschaft ist bereit, eine zufriedenstellende Absicherung anzubieten, allerdings unter der Bedingung eines ausführlichen Audits und Anpassung der IT-Landschaft von U an "best practices" gemäß Vorgabe der durch die Versicherung benannten IT-Experten. Diesen Weg wollen die Geschäftsführer von U gehen.
Im ersten Gespräch mit den Beratern wird deutlich, dass die Kosten des Audits und der Beratung enorm sein werden. Sie lassen sich aber deutlich reduzieren, wenn sich U auf den Audit intern gut vorbereitet und grundlegende Maßnahmen bereits vor dem Audit vorbereitet bzw. umsetzt. In diesem Fall können die Berater Vollzug bestätigen, ohne dass hohe Kosten anfallen
Sie arbeiten bei U und sollen nun Ihr Wissen über den Umgang mit Daten- und IT-Sicherheit einbringen. Die Geschäftsleitung bittet Sie, "alles Notwendige" zu unternehmen.
=== Fragen ===
Was ist zu tun?
Die Antwort auf die Frage ist insbesondere in folgenden Artikeln enthalten:
- [[DSManagementGrundlagen über die grundlegende Vorgehensweise im Sicherheitsmanagement]],
- [[DSMassnahmen über die Maßnahmen zur Sicherstellung der Datensicherheit]]
Zu betonen sind folgende Aspekte der Vorbereitung auf die Überprüfung - sowie zur Sicherstellung eines wünschenswerten Zustands der Infrastruktur:
((1)) Konzeption und Implementierung des Sicherheitsprozesses
bzw. Kreislaufs
Dabei müssen auch entsprechende Analysen durchgeführt werden, wie [[http://wdb.fh-sm.de/DSManagementGrundlagen#section_3 hier beschrieben wurde]].
((1)) Dokumentation ist anzufertigen
((1)) Maßnahmen sind in allen notwendigen (nicht nur technischen!) Bereichen zu ergreifen
Vgl. [[http://wdb.fh-sm.de/DSMassnahmen#section_1 hier]].
----
CategoryDatensicherheit
