IT-BUSINESS Aktion:

#ITfightsCorona

Der Mittelstand ist überfordert

Tech Data hilft: Schritt für Schritt zum IT-Security-Konzept

| Autor: Melanie Staudacher

Mit präzisen Ratschlägen will Tech Data die IT-Sicherheit greifbar machen.
Mit präzisen Ratschlägen will Tech Data die IT-Sicherheit greifbar machen. (Bild: danielpankoke - stock.adobe.com)

Mit dem Cyber Scoring prüft Distributor Tech Data, ob Unternehmen hinsichtlich Security auf der Höhe der Zeit sind. Systeme, Netzwerke und Endpoints werden auf ihre Sicherheit hin analysiert und ausgewertet. Mit diesen Ergebnissen und durch Empfehlungen aus dem Security Recommendation Portal soll die IT effizienter geschützt werden.

Das Thema IT-Sicherheit stellt Unternehmen weltweit täglich vor Herausforderungen. Viele sind mit der Entwicklung eines effizienten Security-Konzeptes überfordert. Mit dem Full-Service Tech Data Cyber Scoring bietet der Distributor Unternehmen eine Übersicht über die Bedrohungslage ihrer aus dem Internet erreichbaren IT-Systeme. Mit konkreten Maßnahme-Empfehlungen aus dem Scoring und dem Recommendation-Portal sollen Systemhäuser und Managed Service Provider die Security ihrer Kunden nachhaltig verbessern können.

Reiner Technologieeinsatz scheitert

Marcel Sternkopf, ist seit April 2019 Head of Advanced Solution Services bei Tech Data.
Marcel Sternkopf, ist seit April 2019 Head of Advanced Solution Services bei Tech Data. (Bild: Tech Data)

Marcel Sternkopf, als Head of Advanced Solutions Services bei Tech Data verantwortlich für das Cyber Scoring, kritisiert den unzureichenden Umgang mit IT-Security: „Bisher ist es oft leider so, dass Systemhäuser versuchen, die fünfte Firewall zu verkaufen, ohne den tatsächlichen Schutzbedarf der Kunden zu kennen. Bevor ein Produkt oder ein Service angeboten wird, ist es wichtig herauszufinden, welche Risiken und Schutzziele das Unternehmen überhaupt hat.“

Der Versuch, IT-Security nur durch Technologieeinsatz zu erreichen, sei gescheitert, ist sich Patrick Olschewski, Head of Business Development und Marketing DACH bei Tech Data sicher. „Der Mittelstand ist mit der Aufgabe, ein funktionierendes IT-Security-Konzept einzuführen, oft überfordert.“ Deswegen brauche es konkrete Security-Vorschläge, die Lösungen passend zu den Unternehmensprozessen einsetzen.

Am Markt gibt es bereits einige Services, mit denen sich die IT-Security-Readiness überprüfen lässt: sogenannte Security Assessments oder, bei größeren Unternehmen, Penetrationstests. Diese werden aber meist nur auf der lokalen IT oder einer Web-Applikation ausgeführt. Außerdem sind diese Methoden sehr zeit- und kostenintensiv. Mit dem Cyber Scoring habe Tech Data einen sehr einfachen, günstigen und vor allem skalierbaren Ansatz für seine Partner entwickelt, sagt Sternkopf. Im Zeitalter von Managed Services und Cloud ist es nach seinen Worten weit hergeholt zu sagen, jemand habe seine IT-Sicherheit und -Strategie im Griff, solange nur die lokale IT geprüft wird. „Ich muss alles mit einbeziehen: Nicht nur meine lokale IT, sondern auch die komplette Infrastruktur, die Cloud und meine Server.“

Aus Sicht der Angreifer

Um das Scoring durchzuführen und die IT-Sicherheit einzuordnen, bedarf es nicht mehr als die Domain des zu prüfenden Unternehmens. Damit nimmt Tech Data die Perspektive eines Angreifers ein, der über sein Ziel oft auch nicht mehr weiß. „Auf Basis dieser Information lässt sich das Impressum finden und dadurch dann die im Handelsregister eingetragene Gesellschaft. Durch das Auflösen des Domain Name System können wir bereits sehr viel ableiten: Subdomains, E-Mail Server, Online-Shops und weitere Informationen und können Schwachstellen in Anwendungen schnell und einfach bewerten“, erklärt Sternkopf.

Wie viele Hacker, nutzt Tech Data das Open Source Framework OSINT (Open Source Intelligence). Aus offenen Quellen werden damit Informationen gesammelt und Systeme, Netzwerke und Endpoints analysiert, um verwertbare Erkenntnisse über mögliche Sicherheitslücken zu gewinnen. Diese Quellen können Printmedien, Radio- und Fernsehsendungen sowie das Internet sein. Außerdem fließen Kriterien der Non-Profit-Organisation OWASP (Open Web Application Security Project) ein. Open Source Frameworks werden nicht selten verwendet, um Informationen zu gewinnen. Nicht nur Hacker nutzen diese Methode, sondern auch Nachrichtendienste. Auch Anbieter für Schwachstellenscans gibt es am Markt bereits zuhauf. „Der Einsatz dieser Tools alleine ist keine Wissenschaft. Was unseren Service so einzigartig macht, ist die Zusammenfassung und Aufarbeitung der Informationen in Reports, damit diese auch für IT-Entscheider lesbar sind. Die meisten Schwachstellen-Tools liefern Informationen darüber, welche technischen Schwachstellen es gibt. Diese lassen sich aber nicht interpretieren und liefern keine konkreten Handlungsempfehlungen.“

Anhand von über 250 möglichen Parametern kann dann zum Beispiel erkannt werden, ob eine Mitarbeiter-Identität gestohlen wurde und deren Passwörter offen liegen. Oder ob ein Mitarbeiter seine geschäftliche E-Mail-Adresse für private Zwecke nutzt.

Je nach Größe des Unternehmens dauert das Scoring zwischen vier Stunden und zwei Tagen. Die schnelle Analyse der meist tausenden Daten entsteht laut Sternkopf durch die hohe Automatisierung des Algorithmus und der Datenbanken dahinter. Menschliche Ergänzungen und Validierungen seien kaum notwendig.

IT-Sicherheit wird verständlich

Nach erfolgreichem Scoring erhalten die Kunden zwei Berichte: einen Management- und einen Spezialisten-Report. Der Management-Report richtet sich an Geschäftsführer und IT-Manager, die selbst keine IT-Security-Analysten sind. In diesem Bericht wird der aktuelle Stand der IT-Sicherheit verständlich dargestellt. Der Leser findet die entsprechende Kette an IT-Systemen hinter der verwendeten Domain. Der Report enthält auch Informationen darüber, auf welcher Ebene es Schwachstellen gibt, wie kritisch diese sind und wo die Systeme gehostet werden, sowie eine Risikoeinschätzung über das Gesamtsystem.

Bei dem Spezialisten-Report erhält die interne IT-Abteilung oder der IT-Dienstleister des jeweiligen Unternehmens die ausführliche Auswertung, sowie schrittweise Handlungsempfehlungen, um technische Probleme zu lösen. Die gefundenen Informationen, wie E-Mail-Adressen und Passwörter, werden in den Reports anonymisiert dargestellt.

Tech-Data-Vertriebspartner, die den Partner-Workshop absolviert haben, können das Cyber Scoring als Tech Data Brand ihren Kunden anbieten. Oder sie ergänzen es als Teil ihres eigenen Managed-Service-Portfolios in einer Whitelabel-Umgebung, in der sie die Reports als Abonnement für zwölf Monate pro Kunde bestellen können.

Einen kostenlosen Test-Report zur Cyber-Sicherheit Ihres Unternehmens können Sie hier bestellen: Tech Data Blog.

360-Grad-Ansatz

Patrick Olschewski ist Team Leader Business Development DACH bei Tech Data und Ansprechpartner für das Security Recommendation Portal.
Patrick Olschewski ist Team Leader Business Development DACH bei Tech Data und Ansprechpartner für das Security Recommendation Portal. (Bild: Tech Data)

Auch im Security Recommendation Portal von Tech Data, für das Olschewski verantwortlich zeichnet, gehe es darum, den Horizont der Kunden zu erweitern. Vollständige IT-Sicherheit gibt es dem Experten zufolge nicht, sondern lediglich eine IT-Widerstandsfähigkeit, die alle Unternehmensbereich berücksichtigen muss. Die Basis dafür seien die Normen ISO 27001 und der BSI-Grundschutz, wozu neben Client- und Endpoint Security auch Anwendungen für Zugangskontrollen und Videoüberwachung gehören, ebenso wie Sicherheitstrainings für Mitarbeiter und ein Identity- und Access-Management.

„Der 360-Grad-Ansatz und die darauf basierenden Standards und Normen galten bei unserem Tech Data Security Recommendation Portal als Leitbild. Sie definieren die notwendigen technischen und organisatorischen Maßnahmen für den Aufbau einer ganzheitlichen IT-Security. Doch was bisher fehlte, waren passende Produkt- und Lösungsvorschläge. Genau diese Lücke füllen wir mit dem Portal, das unsere Vertriebspartner schon zahlreich nutzen", erklärt Olschewski. Bei der Umsetzung eines Sicherheitskonzeptes, sollen die dafür konzipierten Battlecards helfen. Diese können von Tech-Data-Partnern kostenlos im Portal heruntergeladen werden. Neben technischen Informationen enthalten sie auch detaillierte Angaben zu den erfüllten Compliance-Anforderungen und informieren über wichtige Einsatzbereiche und Funktionsmerkmale einzelner Lösungen.

Menschliche Sicherheitslücken in Unternehmen

Bewusstes Wagnis

Menschliche Sicherheitslücken in Unternehmen

29.05.20 - Das modernste und teuerste IT-Sicherheitssystem wird wirkungslos, wenn die Schwachstelle selbst vorm Bildschirm sitzt. Obwohl die eigenen Mitarbeiter zu den größten Sicherheitsrisiken gehören, vernachlässigen Unternehmen oft die Security Awareness. Warum das so ist und wie Mitarbeiter in Security-Awareness-Trainings sensibilisiert und Endgeräte geschützt werden können, erläutern Schulungsanbieter. lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46634443 / Security)