Was man in der IT-Sicherheitsplanung nie tun sollte

Was man in der IT-Sicherheitsplanung nie tun sollte

Was man in der IT-Sicherheitsplanung nie tun sollte

Die Liste, der Fehler und Versäumnisse für die IT-Sicherheit im Unternehmen ist lang. Gehört auch Ihr Unternehmen dazu, welches die folgenden Punkte völlig außer Acht lässt oder nur rudimentär angeht? Entdecken Sie den einen oder anderen Punkt, „was man in der IT-Sicherheitsplanung NIE tun sollte“, in Ihrem Unternehmen, oder können Sie die Tragweite und Risiken der mangelnden Schutzmechanismen nicht einschätzen, dann ist dringender Handlungsbedarf geboten.


Zahlreiche und leider alltägliche Mankos auf einen Blick

  • Keine Bewertung der Risiken und Schwachstellen der vorhandenen IT-Infrastruktur
  • Ein Verzicht auf klare und umfassende Sicherheitsrichtlinien für Mitarbeitende und Prozesse
  • Keine, unregelmäßige oder unzureichende Schulungen oder Sensibilisierung aller Mitarbeitenden zum Thema IT-Sicherheit, zur aktuellen Bedrohungslandschaft und zu den Facetten und Einfallstoren möglicher Angriffsarten, Phishing, Social Engineering, Ransomware u. a.
  • Keine fest verankerte und alle Endpunkte abdeckende Zugriffskontrolle oder ein Berechtigungsmanagement, sprich einen unwissentlich unbegrenzten Zugriff auf sensible Daten oder Systeme ohne eine Zugriffsbeschränkung
  • Ignorieren oder Vernachlässigen eines vollständigen Patch- und Update-Managements von Betriebssystemen, aller Arten von Anwendungen und bisheriger Sicherheitslösungen
  • Erlauben von schwachen Passwörtern ohne eine Durchsetzung von hausinternen strengen und eindeutig definierten Passwortrichtlinien
  • Ein Verzicht auf eine Verschlüsselung von Daten, sowohl im Ruhezustand als auch während der Übertragung
  • Fehlende oder vernachlässigte Überwachung der Netzwerkaktivitäten oder Protokollierung von Sicherheitsereignissen
  • Kein oder ein wenig umfassendes Zero Trust Network Access (ZTNA), welches dezidierte und sicherer Verbindungen zwischen autorisierten Nutzern und Anwendungen vermittelt, auch über Cloud-Verbindungen hinweg und mit einem universellen Ansatz, der sämtliche Netzwerkprozesse umfasst
  • Unterlassung regelmäßiger Schwachstellenscans zum Identifizieren von Sicherheitslücken
  • Vernachlässigen und Ignorieren der physischen IT-Sicherheit von Serverräumen, Rechenzentren und anderer sensibler Infrastrukturen gegenüber Hitze, Kälte, Feuchtigkeit und Zugangsbeschränkungen
  • Vernachlässigen und Ignorieren der physischen IT-Sicherheit von mobilen Geräten wie Laptops und Smartphones zum Schutz vor Diebstahl, Verlust oder unbefugten Zugriff
  • Mangelnde regelmäßige Backups aller Daten und Systeme und das Wissen darüber, in welcher Frequenz Backups oder unterschiedliche Arten von Backup-Typen stattdessen notwendig und sinnvoll wären
  • Keine Incident Response-Planung aufgrund einer fehlenden und mangelhaften Erstellung eines vordefinierten Plans zur Reaktion auf Sicherheitsvorfälle
  • Fehlende Netzwerksegmentierung und das Betreiben eines gesamten Netzwerks ohne eine Aufteilung in logische Teilnetze
  • Fehlende oder nicht aktuell gehaltene Antivirus- und Antimalware-Lösungen
  • Fehlende Zwei-Faktor-Authentifizierung (2FA) oder ein Verzicht auf die Implementierung von zusätzlichen Authentifizierungsfaktoren für den Zugriff auf sensible Systeme und Daten
  • Keine regelmäßigen Sicherheitsüberprüfungen von Drittanbietern oder ein blindes Vertrauen auf die Sicherheitsmaßnahmen eines externen Dienstleisters
  • Cloud-Dienst-Nutzung von Mitarbeitenden ohne Kontrolle und Genehmigungen, wer was wann darin abwickelt
  • Fehlende oder vernachlässigte Datenschutzmaßnahmen zum Schutz personenbezogener Daten auf Basis der derzeitigen und kommenden DSGVO-Bestimmungen im Kontext der Informationssicherheitsplanung.
  • Unzureichender Schutz von WLAN-Netzwerken ohne angemessene Verschlüsselung und Authentifizierung
  • Fehlende Kontrolle mobiler Geräte, insbesondere wenn private Geräte im Einsatz sind (Prinzip BYOD) und keine oder ungeeignete Sicherheitskontrollen und Richtlinien vorherrschen
  • Keine regelmäßige Aktualisierung der Sicherheitsdokumentation wegen einer vernachlässigten und kontinuierlichen Aktualisierung von Sicherheitsrichtlinien, Handbüchern und Protokollen
  • Fehlende regelmäßige Sicherheitsbewertungen seitens Dritter in Bezug auf die ausgeübten Sicherheitsmaßnahmen und deren Vollständigkeit und Effizienz
  • Nicht vorhandene Sicherheitsbarrieren wie Next-Generation-Firewalls, Intrusion Detection/Prevention Systems (IDS/IPS), Secure Sockets Layer/Transport Layer Security (SSL/TSL), Security Information und Event Management (SIEM), Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) oder Network Access Control (NAC),
  • Mangelnde Sicherheitsmaßnahmen für Webanwendungen durch ein Vernachlässigen oder unzureichend implementierte Sicherheitsmechanismen wie Web Application Firewalls (WAF), Web Content Filtering oder regelmäßiges Penetration Testings
  • Mangelnde Kenntnis darüber, dass das eigene Unternehmen ggf. als KRITIS-Unternehmen zu werten ist oder von Regularien der EU-Richtlinie NIS2  betroffen ist und damit strengeren gesetzlichen Auflagen unterliegt
  • Mangelnde frische Security-Kenntnisse oder fehlende unternehmenseigene Security-Verantwortliche, Unwissen zu Aktualisierungen oder alternativen, besser geeigneten technischen KI-Sicherheitslösungen oder Prozessen im Workflow der Mitarbeitenden oder innerhalb der IT-Infrastruktur zum Erwerb oder Erhalt angemessener und zukunftsfähiger IT-Sicherheit

Diese Liste erhebt keinen Anspruch auf Vollständigkeit, sie gibt Ihnen aber hier erste Ansatzpunkte zur Selbstkontrolle bzw. zur Analyse Ihrer IT-Architektur auf Sicherheitsaspekte.

UNSERE KATEGORIEN

Ebenfalls Interessant