Wie Cyberrisiko-Bewertungen die IT-Sicherheit von KMU optimieren

Blog Cybersicherheit Perseus News

Seit mehreren Jahren gehören Cyberangriffe nun schon zu den größten Geschäftsrisken für deutsche Unternehmen. Vor allem die negativen Auswirkungen, wie Datenverluste oder langandauernde Betriebsunterbrechungen, machen den Betrieben zu schaffen. Für einige kann ein Cyberangriff sogar existenzbedrohend sein. Die Verringerung des eigenen Cyberrisikos und damit die Vermeidung von Cyberangriffen sollte für Unternehmen, insbesondere für kleine und mittlere Unternehmen, ganz oben auf der Prioritätenliste stehen.

Um diese Risiken zu minimieren, müssen Unternehmen einen ganzheitlichen Ansatz verfolgen. Dazu gehören neben präventiven Maßnahmen und einem etablierten Notfallmanagement vor allem auch Risikobewertungen. Mit dem Security Baseline Check (SBC) hat Perseus einen Ansatz entwickelt, der vor allem auf die Anforderungen und Bedürfnisse von kleinen und mittleren Unternehmen ausgerichtet ist.

Im folgenden Interview mit dem Eugen Leikom, Produktmanager für den Bereich Risikobewertungen und SBC, erfahren Sie, welche Funktionen der SBC hat, woran konkret geforscht wird, wie Unternehmen vom Einsatz des SBC profitieren und welche Vision unser Produktmanager Eugen noch für den SBC hat.

 

Eugen, kannst du uns einen Überblick darüber geben, was der Security Baseline Check ist und wie er grundlegend funktioniert?

Der Security Baseline Check ist eine Überprüfung grundlegender Sicherheitsstandards in Unternehmen. Er dient dazu, die IT-Infrastruktur von Unternehmen einzusehen und Optimierungspotenziale aufzuzeigen. Es ist der erste Schritt, die Einhaltung grundlegender organisatorischer sowie technischer  Sicherheitsmaßnahmen in Unternehmen nachzuvollziehen. Besonders geeignet ist der SBC für Unternehmen mit bis zu 100 Computerarbeitsplätzen.

Der SBC besteht aus zwei Teilen: Einem Fragebogen sowie einem Live-Check. Bei dem Live-Check werden ausgewählte Systeme überprüft, um nachzuvollziehen, ob Sicherheitsstandards eingehalten werden. Darauf basierend werden Empfehlungen zur Verbesserung und Schließung potentieller Gefahrenherde gegeben. Bei Bedarf wird auch ein Blick von außerhalb auf die Systeme geworfen. So können weitere Sicherheitslücken identifiziert werden, die aus Sicht krimineller Angreifer ausnutzbar sind.

 

Was war der Anlass für die Entwicklung des Security Baseline Checks? Gab es eine bestimmte Marktlücke, die Perseus schließen wollte?

Eine regelmäßige Überprüfung des Ist-Zustandes der IT-Sicherheit ist für Unternehmen essenziell. Sie möchten nachweisen, dass sie aktiv Maßnahmen zur Sicherung ihrer Systeme ergreifen und sich kontinuierlich verbessern. Oft besteht jedoch Ungewissheit darüber, ob die derzeitigen Sicherheitsstandards ausreichen. Ähnlich wie beim TÜV für Fahrzeuge möchten Unternehmen von einem externen Fachmann bestätigt bekommen, dass ihre IT noch „verkehrssicher“ ist. Besonders in der IT-Sicherheit gilt: Was gestern als sicher galt, kann morgen bereits unzureichend sein.

 

Wie unterscheidet sich der Security Baseline Check von anderen Tools zur Bewertung der Cybersicherheit auf dem Markt?

Der Security Baseline Check unterscheidet sich von anderen Tools zur Bewertung der Cybersicherheit auf dem Markt durch seine einzigartige Herangehensweise. Während andere Sicherheitschecks sich meist entweder auf technische Anforderungen oder auf organisatorische Maßnahmen fokussieren, bietet der SBC beides. Im persönlichen Gespräch mit dem Kunden prüfen wir die technischen Anforderungen und besprechen die organisatorischen Maßnahmen, die im Unternehmen umgesetzt werden. Unser Ansatz ist speziell auf die Bedürfnisse von kleinen und mittelständischen Unternehmen (KMUs) zugeschnitten, um ihnen umfassende Einblicke in den Stand ihrer IT-Infrastruktur  zu bieten.

 

Was sind die Alleinstellungsmerkmale des Security Baseline Check, von denen du glaubst, dass sie Kunden und/oder Versicherungsunternehmen ansprechen werden?

Die Alleinstellungsmerkmale des Security Baseline Check, die sowohl Kunden als auch Versicherungsunternehmen ansprechen werden, sind vielfältig. Erstens bieten wir eine unabhängige Überprüfung der Sicherheit, die Vertrauen und Transparenz schafft. Zweitens ist unser Service speziell auf die Bedürfnisse kleiner und mittelständischer Unternehmen (KMUs) zugeschnitten, was bedeutet, dass wir ihre spezifischen Herausforderungen und Anforderungen genau verstehen. Drittens basiert unser Ansatz auf den tatsächlichen Ursachen von Sicherheitsvorfällen, die KMUs betreffen. Diese praxisorientierte Herangehensweise gewährleistet, dass unsere Empfehlungen direkt auf die realen Bedrohungen und Schwachstellen der Unternehmen abzielen.

 

Kannst du die wichtigsten Vorteile beschreiben, die ein Unternehmen nach dem Einsatz des Security Baseline Check erwarten kann?

Durch eine unabhängige Überprüfung der Sicherheit erhalten Unternehmen eine objektive Einschätzung ihres aktuellen Sicherheitsniveaus. Dies schafft Vertrauen und Transparenz, sowohl intern als auch gegenüber Kunden und Geschäftspartnern.

Nach dem Einsatz des Security Baseline Check erhalten Unternehmen einen detaillierten Bericht, der eine Einschätzung darüber gibt, inwiefern sie die erforderlichen Mindeststandards der IT-Sicherheit erfüllen. Diese klare und nachvollziehbare Darstellung unterstützt Unternehmen dabei, ihre Sicherheitsmaßnahmen gezielt zu verbessern und auf dem neuesten Stand zu halten.

Die regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen fördert eine kontinuierliche Verbesserung und hilft Unternehmen, sich besser gegen zukünftige Bedrohungen zu wappnen.

 

Wie fügt sich der Security Baseline Check in die allgemeine Cybersicherheitsstrategie eines Unternehmens ein?

Der Security Baseline Check (SBC) fügt sich nahtlos in die allgemeine Cybersicherheitsstrategie eines Unternehmens ein. Er ist ein wesentlicher Bestandteil der kontinuierlichen Überwachung und Überprüfung der Sicherheitsstandards. Als integraler Bestandteil des ganzheitlichen Risikomanagements, in dem die IT-Sicherheit eine immer größere Bedeutung gewinnt, trägt der SBC dazu bei, die Sicherheitslage des Unternehmens kontinuierlich zu verbessern.

 

Eine umfassende IT-Sicherheitsstrategie besteht aus vier zentralen Teilen: Prävention, Risikobewertung, Notfallhilfe und Absicherung des Risikos. Der Security Baseline Check spielt eine entscheidende Rolle in der Risikobewertung. Durch die regelmäßige und systematische Überprüfung der IT-Sicherheitsmaßnahmen identifiziert der SBC potenzielle Schwachstellen und Bedrohungen, was ihn zu einem unverzichtbaren Element einer effektiven IT-Sicherheitsstrategie macht.

 

 

Welche Art von Unternehmen oder Branchen können am meisten vom Security Baseline Check profitieren?

Der Security Baseline Check bietet insbesondere kleinen und mittelständischen Unternehmen (KMUs), die nicht vollständig auf Cloud-Lösungen setzen, erhebliche Vorteile. Unternehmen, bei denen der Ausfall der Systeme zu betrieblichen Störungen führt, profitieren besonders, da der SBC hilft, die Zuverlässigkeit und Sicherheit ihrer IT-Infrastruktur zu gewährleisten. Dies betrifft Unternehmen in allen Branchen, da nahezu jeder Sektor von einer stabilen und sicheren IT-Umgebung abhängig ist.

Für Unternehmen, die zu kritischen Infrastrukturen (KRITIS) gehören oder unter die NIS2-Richtlinie fallen, sind tiefgreifendere Überprüfungen notwendig. Der SBC bietet jedoch eine solide Grundlage und kann als erster Schritt dienen, um Sicherheitslücken zu identifizieren und gezielte Maßnahmen zu ergreifen. So stellt der SBC sicher, dass Unternehmen nicht nur ihre aktuellen Sicherheitsstandards erfüllen, sondern auch für zukünftige Herausforderungen gewappnet sind.

 

Gibt es eine Erfolgsgeschichte, in der der Security Baseline Check die Cybersicherheitslage eines Kunden  verbessert hat?

Eine bemerkenswerte Erfolgsgeschichte des Security Baseline Check zeigt, wie er die Cybersicherheits- lage eines Kunden erheblich verbessert hat. Oft wird Kunden erst während des Termins bewusst, dass ihre unternehmenskritischen Datensicherungen einem hohen Risiko unterliegen. Dabei deckt der SBC nicht nur durch Hacker ausnutzbare Schwachstellen, sondern auch technische Störungen ab.

Ein besonders eindrucksvolles Beispiel ist ein Fall, in dem wir beim Live-Check festgestellt haben, dass die Backups seit Wochen nicht mehr durchgeführt worden waren. Der IT-Dienstleister des Kunden hatte fest behauptet, dass Fehlermeldungen bei nicht erfolgreichen Backups vorliegen würden. Diese falsche Einschätzung hätte zu einem erheblichen Datenverlust führen können.

Kunden, die durch den SBC erkennen, dass sie gewisse Eventualitäten nicht bedacht haben, erhalten wertvolle Erkenntnisse. Diese Erkenntnisse geben ihnen etwas zum Nachdenken mit und helfen ihnen, sich für die Zukunft sicherer aufzustellen. Solche Erfolge zeigen, wie der Security Baseline Check dazu beiträgt, die Sicherheitslage eines Unternehmens zu verbessern und es gegen diverse Bedrohungen besser vorbereitet zu sein.

 

Was ist die Vision für die Zukunft des Security Baseline Check? Gibt es neue Funktionen oder Erweiterungen, auf die wir uns freuen sollten?

Die Vision für die Zukunft des Security Baseline Check (SBC) ist es, die Cybersicherheitslage von Unternehmen kontinuierlich zu verbessern und sich an die sich ständig weiterentwickelnden Bedrohungen anzupassen. Eine unserer neuesten Funktionen ist die Integration externer Scans mit dem Hacktor von Enginsight, die wir mit einem vollständigen Bericht anbieten. Diese Funktion deckt öffentlich sichtbare Schwachstellen auf, die auch von Angreifern erkannt werden können, wie ungepatchte Server oder offene Wartungszugänge.

Zukünftig werden wir uns verstärkt der E-Mail-Sicherheit widmen. Angriffe, bei denen Kontonummern auf digitalen Rechnungen gefälscht werden, führen immer häufiger zu erheblichen finanziellen Verlusten im fünfstelligen Bereich. Diese Angriffe sind oft auf schwache E-Mail-Sicherheitsstandards zurückzuführen. Hier besteht noch viel Bedarf an Verständnis und Verbesserungen, insbesondere bei kleinen und mittelständischen Unternehmen (KMUs).

Unsere kontinuierlichen Erweiterungen und neuen Funktionen zielen darauf ab, Unternehmen proaktiv vor neuen Bedrohungen zu schützen und ihnen die Werkzeuge und das Wissen zu geben, um ihre IT-Sicherheit stetig zu verbessern. Mit diesen Maßnahmen möchten wir sicherstellen, dass der SBC auch in Zukunft ein unverzichtbares Instrument für die Cybersicherheitsstrategie von Unternehmen bleibt.

 

Warum sollten Unternehmen den Security Baseline Check einem tiefer gehenden Penetrationstest oder anderen detaillierten Bewertungen vorziehen?

Der Security Baseline Check bietet eine kosteneffiziente und zeitsparende Alternative. Gerade für viele kleine Unternehmen ist diese Form der regelmäßigen Überprüfung bereits ausreichend. Ein teurer und zeitintensiver Penetrationstest ist oft überdimensioniert und für ihre Bedürfnisse nicht notwendig. Der SBC liefert präzise Einblicke in die grundlegenden Sicherheitsstandards und ermöglicht es Unternehmen, ihre IT-Sicherheit effektiv zu überwachen und zu verbessern, ohne dabei das Budget zu sprengen oder Ressourcen unnötig zu binden.

 

Mit Hinblick auf unsere Versicherungspartner: Wie können Sie am meisten vom SBC profitieren? Welche Erkenntnisse sind besonders relevant für Versicherer?

Unsere Versicherungspartner können besonders vom Security Baseline Check (SBC) profitieren, indem sie ihre Kunden dazu motivieren, diesen durchzuführen. Durch den SBC wird die Sicherheit der Kunden deutlich erhöht, selbst wenn es nur um die Sensibilisierung für Sicherheitsmaßnahmen geht.

Auch für Versicherer sind bestimmte Erkenntnisse besonders relevant: Wenn der SBC mit Vorteilen bei der Versicherung verknüpft ist, motiviert dies Unternehmen zusätzlich, mehr für ihre Sicherheit zu tun. Dies kann durch niedrigere Prämien für versicherte Unternehmen belohnt werden, die durch den SBC ein geringeres Risiko für Sicherheitsvorfälle nachweisen können. Diese gezielte Reduzierung von Risiken kann Versicherern helfen, das Gesamtrisiko ihres Portfolios zu senken und gleichzeitig die Sicherheitsstandards ihrer Kunden zu verbessern.

 

Vielen Dank für das Interview, Eugen!

 

 

Erhalten Sie weitere Informationen über den Security Baselie Check, dessen Bestandteile sowie der Durchführung hier.

Oder fordern Sie ein unverbindliches Angebot für eine SBC an.

Prüfen Sie Ihre IT-Sicherheit:
Schnell, unkompliziert & digital

Die Gefahren:

  • 8 von 10 deutsche Unternehmen sind von Cyber-Schäden betroffen
  • Virenscanner & Firewalls reichen nicht aus
  • Moderne Phishing-Mails & Schadsoftware werden täglich gefährlicher

Unsere Lösung:

  • Die wichtigsten Aspekte Ihrer IT-Sicherheit schnell und pragmatisch prüfen
  • Unkomplizierte Fern-Analyse durch unsere Mitarbeiter
  • Konkrete Handlungsempfehlungen erhalten, um IT-Sicherheit sofort zu verbessern

Über Perseus:

  • Bereits 9.000 sichere Unternehmenskunden
  • Führender Partner der deutschen Versicherungsbranche

Kunden-Zufriedenheit:

Unsere Partner (u. a.)

 

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet0.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • ?
    • Cookie-Namen:
    • Ablaufdatum:
    • Unternehmen:

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • Brevo
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited