Es ist Zeit für ein externes IT-Security Audit

orangefarbenes Hexagon mit einem weißen Textzettel in der Mitte und einem Häkchen COMPLIANCE,

Klaus Kremmair

Geschäftsführer VACE Systemtechnik GmbH

E-Mail schreiben

“Jetzt ist schon wieder etwas passiert...” so startet eine bekannte österreichische Krimiserie und führt uns anschließend in die Abgründe der menschlichen Seele. Mit Gelassenheit sehen wir uns das an, machen geistig ein Häkchen darunter, weil es uns ja nicht betrifft.

So ähnlich reagieren wir auch auf die täglichen Hacking-Vorfälle. Wir sind zwar neugierig, wen es denn erwischt hat, bedauern denjenigen, ärgern uns über die Verbrecher und sind froh, dass es uns nicht betrifft.

Es gibt jedoch einen gravierenden Unterschied zwischen dem Krimi- und dem Cyber-Verbrechen. Die Wahrscheinlichkeit in Österreich Opfer eines Gewaltverbrechens zu werden, ist eher gering. Jedoch kann sich jedes Unternehmen sicher sein, Opfer eines Cyber-Angriffes zu werden. Die Frage ist nur wann.

Die Aussage “Solange wir sicherer als andere Unternehmen sind, umso geringer ist die Wahrscheinlichkeit, dass wir das nächste Opfer sind” ist absolut richtig, sollte uns aber nicht beruhigen. Eigentlich ist es eine Aufforderung in IT-Sicherheit zu investieren, damit uns die anderen nicht überholen.

Die IT-Abteilungen und die IT-Dienstleister machen ihre Arbeit gut. Sie installieren, konfigurieren, berechtigen, dokumentieren, warten und folgen somit dem Business. Nicht immer werden alle sicherheitsrelevanten Themen dabei bedacht, denn es muss schnell gehen. Jede Exekutive braucht ein Kontrollorgan und im Falle der IT ist dies die IT-Security. Die meisten Unternehmen in Österreich haben keine eigene Security-Mannschaft, die diese Überprüfungsaufgabe bewerkstelligen könnte. In den Klein- und Mittelbetrieben in Österreich ist es risikoabhängig nicht immer notwendig, aufwendige und damit teure Security-Audits von darauf spezialisierten Unternehmen durchführen zu lassen. Aber einen externen IT-Partner des Vertrauens, der ins Budget passt, über die IT drüber schauen zu lassen und damit wie bei einer Gesundenuntersuchung neue Ideen zur Vorsorge bzw. Prävention zu erlangen, das sollte das Minimum sein.

“Jetzt ist schon wieder etwas passiert...” hallte es vor wenigen Tagen auch durch unsere Büroräume. Es hat einen IT-Dienstleister samt seinen betreuten Kunden erwischt. Alles ist verschlüsselt und Millionen-Forderungen der Verbrecher stehen im Raum. Und auch dieses Mal waren wir Gott-sei-Dank nicht betroffen, aber es machte mich betroffen, weil es einen von uns Dienstleistern erwischt hat. Unsere Experten versicherten mir, dass es unwahrscheinlich ist, dass uns das passieren kann. Wir haben keine statischen Tunnel zu Kunden, Zugangsdaten sind abgesichert und unsere Malware-Erkennung ist immer auf dem neuesten Stand usw.

Grundsätzlich beruhigte mich das, jedoch war der gehackte IT-Dienstleister nicht auch ein Experte? Meine Schlussfolgerung daraus lautet, dass wir sicherer als andere Unternehmen, sicherer als andere IT-Dienstleister sein und bleiben müssen, um eben die Wahrscheinlichkeit zu reduzieren, das nächste Opfer zu sein. Und dazu brauchen auch wir Input von außen - von einem externen Partner mit zusätzlichem Know-how, weitreichender Erfahrung und vielleicht sogar mit anderen Sichtweisen.

Aufgrund der Bedeutung für uns und unsere Kunden entscheiden auch wir uns für ein externes IT-Security Audit mit einem spezialisierten Partnerunternehmen. Nehmen Sie mich gerne als Beispiel, analysieren Sie Ihr Risiko und wählen Sie den richtigen Dienstleister. Gerne würden wir für Sie Ihre IT Security Audits übernehmen.