Security Management

Compliance

Cybersecurity ist in Unternehmen immer mehr auch ein Compliance-Thema und umfasst neben technischen und betriebswirtschaftlichen deshalb zunehmend auch juristische Rahmenbedingungen. IT-Sicherheit ist nicht mehr allein ein technisches Problem: fast wöchentliche Meldungen über neu entdeckte Sicherheitslücken in Softwareprogrammen und dadurch verursachte Schäden werfen zunehmend die Frage nach der rechtlichen Verantwortlichkeit der an der Herstellung und dem Einsatz von IT-Produkten Beteiligten auf, angefangen beim Hersteller, über die IT-Dienstleister, bis hin zu den IT-Anwendern in Unternehmen.

Cyber-Resilienz

Cyber-Resilienz beschreibt die Widerstandsfähigkeit eines Unternehmens im Hinblick auf die Gefahren aus dem Internet und den Ausfall von Systemkomponenten, um den sicheren Ablauf der Prozesse zu unterstützen.

Zur IT Sicherheit gehört nicht nur die Vorsorge. Die IT Sicherheit ist auch gefragt, wenn es bereits zu einem Cyberangriff gekommen ist. Hier spielt die Cyber-Resilienz als Teilbereich der IT Sicherheit eine wichtige Rolle. Im Falle eines Cyberangriffs geht es auch darum, den Schaden für das Unternehmen so gering wie möglich zu halten. Ein widerstandsfähiges Unternehmen kann demnach einen Cyberangriff besser kompensieren.

Was macht Cyber-Resilienz in einem Unternehmen aus? In anderen Worten: Wie kann ein Unternehmen einen Cyberangriff möglichst unbeschadet überstehen.

Security-Automatisierung

Zur Absicherung eines Unternehmens sind einerseits immer mehr und immer komplexere Aufgaben zu bewältigen, andererseits sind der interne Personalstamm der Security-Abteilungen eher klein und externe Spezialisten knapp und teuer. Ein möglicher Lösungsweg ist die Automatisierung möglichst vieler Aufgaben. Dies umfasst alle Arten von Infrastruktur-Checks, aber auch alltägliche kleine und zeitintensive Routineaufgaben.

Supply Chain Security

Heutige Unternehmen sind immer stärker miteinander verzahnt und daher auch vom Cybersecurity-Standpunkt aus mehr voneinander abhängig. Die immer komplexer werdenden Lieferketten bilden eine wachsende Angriffsfläche. Einerseits geht es um die Security der eigenen Lieferkette sowie von Drittparteien und Geschäftspartnern. Andererseits kann die Lieferkette von Software- und Hardware-Produkten selbst eine Schwachstelle darstellen, indem Lücken ausgenutzt werden. Prozesse müssen abgesichert werden und das Risiko minimiert werden.

Notfall-Management

Das Notfallmanagement ist Teil der IT-Sicherheitsstrategie und hat die Aufgabe, kritische Geschäftsprozesse aufrechtzuerhalten oder
wiederherzustellen. Durch planvolles und vorbereitetes Handeln soll auf verschiedene Notfallszenarien angemessen reagiert werden.

Bestandteile des Notfallmanagements sind präventive Maßnahmen zur Notfallvorsorge und Pläne zur Bewältigung von Notfällen und zur
Wiederherstellung von Geschäftsprozessen. Es sind im Rahmen des Notfallmanagements alle Aspekte der Prozesse zu betrachten, die für die
Fortführung im Notfall erforderlich sind. Prävention, Detektion, Reaktion, Aufrechterhaltung des Betriebs und die Nachbearbeitung des Vorfalls und der Einsatz von Cyberversicherungen. 

Durch das Notfallmanagement lassen sich sowohl die Wahrscheinlichkeit des Eintretens von Notfällen als auch die Auswirkungen von Notfällen reduzieren.

DevSecOps

DevSecOps bezeichnet keine Technologie, sondern einen kulturellen Wandel in der Softwareentwicklung. Ziel des DevSecOps-Ansatzes ist es, die IT-Sicherheit in den heutzutage typischerweise rasanten Entwicklungszyklen zu verankern. Um diesen Ansatz in der Praxis umzusetzen, müssen Unternehmen die im Regelfall ausgeprägte Lücke zwischen Entwicklungs- und Security-Teams schließen. Im Idealfall geschieht das so, dass möglichst viele Sicherheitsprozesse automatisiert ablaufen beziehungsweise vom Entwicklungsteam selbst erledigt werden.