Contact
QR code for the current URL

Story Box-ID: 620554

msg Robert-Bürkle-Straße 1 85737 Ismaning/München, Germany https://www.msg.group
Contact Ms Susanne Koerber-Wilhelm +49 89 961011538
Company logo of msg
msg

msg systems: Sicherheitszertifizierungen bieten noch keine echte Sicherheit

Das IT-Beratungsunternehmen empfiehlt individuell abgestimmte Audits zur Identifizierung von IT-Risiken

(PresseBox) (Ismaning/München, )
Immer mehr Unternehmen lassen Sicherheitsaudits durchführen, da sie ihre Daten und Informationen schützen und sicherstellen wollen, dass dieser Schutz tatsächlich vorhanden ist. Obgleich Zertifizierungen wie ISO/IEC 27001 oder das IT-Grundschutz-Zertifikat ein gewisses Sicherheitsniveau bescheinigen, gewährleisten sie keine vollständige Risikofreiheit. Auch bei Unternehmen, die über derartige Zertifizierungen verfügen, haben die Experten von msg systems im Rahmen von individuellen Audits dennoch zahlreiche Sicherheitsrisiken identifiziert.

Bei Sicherheitszertifizierungen werden manche Aspekte - wie beispielsweise Datenabfluss - nicht intensiv genug überprüft. In vielen Fällen ist die Überprüfung zwar lückenlos, aber die technische oder organisatorische Durchsetzung entsprechender Policies wird nicht konsequent erreicht oder ist leicht zu umgehen. Das betrifft nicht nur neue Technologien; auch bei "klassischen Sicherheitsthemen" wie Rollen und Berechtigungen sind nach wie vor ernst zu nehmende Risiken erkennbar.

Typische Brennpunkte hierbei sind:

- Mängel beim Rechtemanagement: Häufig genießen Administratoren zu viele Rechte und ihre Zugriffe werden zu wenig kontrolliert. Im Interesse der Sicherheit müssten hier beispielsweise das 4-Augen-Prinzip oder eine technische Protokollierung für bestimmte administrative Tätigkeiten an unternehmenskritischen Systemen, etwa HR- oder Kundensystemen, verbindlich werden.

- Auch Mitarbeiter haben oft zu umfangreiche Rechte. Insbesondere ist darauf zu achten, dass nicht mehr benötigte Rechte, etwa von Mitarbeitern, die aus dem Unternehmen ausscheiden oder in andere Bereiche wechseln, zeitnah entzogen werden. Der Einsatz von Identity-Management-Systemen kann dies sinnvoll forcieren.

- Der Problemkreis Datenabfluss/Datenmitnahme wird ebenfalls häufig unterschätzt: Mitarbeiter, die das Unternehmen verlassen wollen, können sich unerlaubt Projekt-, Kunden- und Vertriebsdaten aneignen. Data Leakage Prevention (DLP)-Systeme oder Information Rights Management (IRM)-Systeme helfen hier, Firmengeheimnisse zu wahren.

- Datenübertragung und Mailverschlüsselung: Wenn sensible Daten unverschlüsselt über unsichere Übertragungswege wie E-Mails oder USB-Sticks laufen, nutzt auch der sicherste Speicherort im Unternehmen nur wenig.

- Bring Your Own Device (BYOD): In vielen Unternehmen können Mitarbeiter mit ihren Notebooks und Smartphones auf Unternehmensdaten zugreifen. Hier sind unternehmensweite Vorgaben, wie eine BYOD-Policy, sowie eine technische Geräteauthentisierung, etwa nach 802.1X, dringend geboten.

- Mobile Device Management (MDM): Notebooks sind inzwischen meist verschlüsselt, bei Tablets und Smartphones sieht das oft noch anders aus. Um ein Mindestmaß an Sicherheit herzustellen, ist der Einsatz einer MDM-Lösung ein wichtiger Anfang.

- Mangelnde Durchsetzung von Vorgaben: Die beste Vorgabe bringt nichts, wenn sie leicht zu umgehen ist oder ihre Einhaltung nicht geprüft wird. Technische Maßnahmen, beispielsweise zur Passwortänderung, helfen, Policies verbindlich durchzusetzen.

"Diese Sicherheitsprobleme werden bei den gängigen Zertifizierungsprüfungen meist zu oberflächlich betrachtet", betont Bernhard Weber, Experte für Information Security bei msg systems. "Unternehmen, die einen angemessenen und wirksamen Schutz wünschen, empfehlen wir risikoorientierte Audits, zum Beispiel in Anlehnung an IDW PS330, durchführen zu lassen. Denn diese ermöglichen es, mit relativ geringem Aufwand die Top-Risiken zu identifizieren und die Sicherheit im Unternehmen deutlich zu erhöhen."

Website Promotion

Website Promotion

msg

msg systems ist eine unabhängige, international agierende Unternehmensgruppe mit weltweit mehr als 4.000 Mitarbeitern. Sie bietet ein ganzheitliches Leistungsspektrum aus einfallsreicher strategischer Beratung und intelligenten, nachhaltig wertschöpfenden IT-Lösungen für die Branchen Automotive, Financial Services, Food, Insurance, Life Science & Healthcare, Public Sector, Telecommunications & Media, Travel & Logistics sowie Utilities und hat in über 30 Jahren einen ausgezeichneten Ruf als Branchenspezialist erworben. Die Bandbreite unterschiedlicher Branchen- und Themenschwerpunkte decken im Unternehmensverbund eigenständige Gesellschaften ab: Dabei bildet die msg systems ag den zentralen Kern der Unternehmensgruppe und arbeitet mit Tochtergesellschaften fachlich und organisatorisch eng zusammen. So werden die Kompetenzen, Erfahrungen und das Know-how aller Mitglieder zu einem ganzheitlichen Lösungsportfolio mit messbarem Mehrwert für die Kunden gebündelt. msg systems nimmt im Ranking der IT-Beratungs- und Systemintegrationsunternehmen in Deutschland Platz 5 ein.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.