Cybersicherheit geht uns alle an

Vom Menschen zum System

Die Cybersicherheit steht zunehmend auf der Tagesordnung von Unternehmen und Regierungen. Die Security Factory und Infosentry können hier einen großen Mehrwert bieten, sowohl in technischer als auch in politischer Hinsicht. Dies kann von einem einfachen technischen Test der IT-Umgebung bis hin zu einer Anleitung zur Zertifizierung nach ISO 27001, der ISO-Norm für Informationssicherheit, reichen.

"Wir sind ethische Hacker", betont Nico Cooman, geschäftsführender Gesellschafter von The Security Factory. "Wir verfolgen nie einen proaktiven Ansatz. Wir treten nur auf Anfrage unserer Kunden in Aktion. Wir simulieren ein Hacking und versuchen, ihr System zu knacken. Anschließend erstellen wir einen Bericht, in dem wir alle Schwachstellen und Anfälligkeiten des Systems auflisten. Wir suchen also tatsächlich nach den offenen virtuellen Fenstern und Türen und zeigen deren Auswirkungen auf.

Weckruf

Ende letzten Jahres war die Cybersicherheit plötzlich ein heißes Thema in den Nachrichten, als ein Cyberangriff das IT-System der Stadt Antwerpen lahmlegte. "Ein sehr bedauerlicher Fall, aber die beste Illustration dafür, dass man sich vor solchen Angriffen schützen muss. Für viele CEOs war es ein echter Weckruf. Übrigens zeigen die Statistiken, dass die Wahrscheinlichkeit, dass ein Hacker durchkommt, sehr real ist. Cybersicherheit ist heute ein Thema für jedermann geworden.

Fiktive Geschichte beim Empfang

Die Security Factory testet nicht nur die technischen Schwachstellen eines Unternehmens, sondern auch die menschlichen. "Wir verschicken zum Beispiel in Auftrag gegebene Phishing-E-Mails und finden heraus, welche Mitarbeiter darauf klicken und wer seine Passwörter weitergibt. Wir rufen auch Leute an und versuchen, ihnen sensible Daten zu entlocken. Manchmal nähern wir uns ihnen sogar physisch. Zum Beispiel melden wir uns am Empfang eines Unternehmens und täuschen eine Geschichte vor. Wird uns der Empfangsmitarbeiter durchlassen? Ist die Person überhaupt bereit, uns den Schlüssel zu einem Zimmer zu geben?"

Sensibilisierung ist wichtig

Während The Security Factory vor allem technisch ausgerichtet ist, verfolgt Infosentry einen Ansatz auf organisatorischer Ebene. "Wir betrachten die gesamte Sicherheitspolitik innerhalb des Unternehmens, einschließlich aller Prozesse, technischen und organisatorischen Maßnahmen. Wir untersuchen, wie widerstandsfähig der Kunde gegenüber potenziellen Vorfällen ist und wie ausgereift die Cybersicherheit im Unternehmen ist. Cybersicherheit ist viel umfassender als nur eine Angelegenheit der IT-Abteilung. Jeder Mitarbeiter muss ein gewisses Bewusstsein zeigen", sagt Cedric Brosens, geschäftsführender Gesellschafter bei Infosentry. 

Partnerschaft mit Kunden

"Wir beginnen mit einer Bewertung als eine Art Basismessung. Dazu gehen wir unter anderem Dokumente durch, sehen uns Netzwerkdiagramme an und organisieren Workshops. Auf dieser Grundlage geben wir dem Kunden einen Einblick, wo er heute steht, und wir erstellen gemeinsam einen Aktionsplan oder eine Roadmap, um den Reifegrad zu erhöhen. Diesen Fahrplan setzen wir dann gemeinsam mit dem Unternehmen um. Es handelt sich um einen kontinuierlichen Wachstumsprozess, bei dem der Schwerpunkt auf der ständigen Verringerung der Risiken liegt. Wir gehen eine langfristige Partnerschaft mit unseren Kunden ein."

Beratung von A bis Z

"Technisch gesehen überwachen wir nur bis zu einem gewissen Grad. Wir machen kein Hacking. Wir arbeiten in der Breite und schlagen den Kunden gegebenenfalls vor, unsere Erkenntnisse durch ethisches Hacking zu untermauern. Daher ist unsere Tätigkeit komplementär zu der von The Security Factory. Wenn sie eine Schwachstelle entdecken, ist oft etwas in der Sicherheitspolitik strukturell falsch. Unternehmen, die den ganzen Weg gehen wollen, begleiten wir von A bis Z zum Audit, um die ISO 27001-Zertifizierung zu erhalten.

Rahmen: NIS2-Leitlinie

Die Lieferkette ist heute so vernetzt und digitalisiert, dass große Unternehmen allen, die an dieser Kette beteiligt sind, Verpflichtungen auferlegen. Ein ISO 27001-Zertifikat ist dann sicherlich ein Wettbewerbsvorteil. Wer die Bescheinigung vorweisen kann, erfüllt auch die europäische NIS2-Richtlinie, die im Oktober 2024 für etwa 80% in Kraft tritt. Darin werden Cybersicherheitsverpflichtungen für Unternehmen festgelegt, die in kritischen Sektoren wie der Logistik tätig sind. Wir unterstützen sie bei der Einhaltung der NIS2-Richtlinie", so Cedric abschließend.