Pressemitteilung von Bernhard Krause

Neuer Report des Information Security Forums: "You Could Be Next" thematisiert Umgang mit IT-Sicherheitsvorfällen

---

---

10. Dezember 2012, London / Großbritannien - Das Information Security Forum (ISF, http://www.securityforum.org (http://www.securityforum.org)), eine der weltweit größten unabhängigen Non-Profit-Organisationen für Informationssicherheit, Cybersicherheit und Risikomanagement, veröffentlicht einen neuen Report für den Umgang mit IT-Sicherheitsvorfällen und Cyberattacken. "You could be Next" gibt Unternehmen Handlungsempfehlungen für die Bestandaufnahme sowie die Ursachenanalyse bei einem Sicherheitsvorfall. Ein besonderes Augenmerk liegt auf den langfristigen Kosten und der Risikoprävention. Der Report basiert auf den Erfahrungen und Best Practices der ISF-Mitgliedsunternehmen weltweit. Eine kostenlose Kurzfassung ist auf der Website des ISF unter http://www.securityforum.org (http://www.securityforum.org) erhältlich. Den vollständigen Report können Nichtmitglieder im Online-Shop des ISF unter https://store.securityforum.org/shop (https://store.securityforum.org/shop) erwerben.

Falsche Prioritäten beim Umgang mit Sicherheitsvorfällen

Nach Auffassung des ISF haben Unternehmen wenig Schwierigkeiten, die unmittelbaren und offensichtlichen Kosten eines Sicherheitsvorfalls zu bestimmen. Häufig fehlten ihnen aber Strategien für die Bewertung der langfristigen und immateriellen Schäden. Der Report zeigt zudem, dass ein Großteil der Unternehmen falsche Prioritäten setzt. Sie beschäftigten sich zu sehr mit den Symptomen eines Zwischenfalls und vernachlässigen dabei die Ursachen. Zudem würde immer noch zu wenig in die Schadensprävention investiert.

Die Kernaussagen des Reports im Überblick

- Schwerwiegende Sicherheitsvorfälle beruhen nicht immer auf bedeutenden Auslösern.

- Nach wie vor setzen viele Organisationen bei ihren Sicherheitsinvestitionen falsche Prioritäten.

- Ein zu starker Fokus auf "Schwarze Schwäne", also höchst unwahrscheinlichen Ereignissen mit gravierenden Auswirkungen, kann von vordringlichen Sicherheitsmaßnahmen und wahrscheinlicheren Ereignissen ablenken.

- Eine gute Strategie konzentriert sich auf fünf bis sieben Risikoszenarien.

- Ein Risikomanagement, das nicht aus Zwischenfällen "lernt", ist unvollständig.

- In der Praxis ist die Bestandsaufnahme nach Sicherheitsvorfällen und die Anpassung der Strategie der am schwächsten ausgeprägte Teil des Schadensmanagements.

- Sicherheitszwischenfälle verursachen weitaus mehr als die unmittelbar erkennbaren Kosten. Viele Unternehmen sind sich über die Folgekosten nicht bewusst.

- Ein schlechtes Schadensmanagement kann zusätzlich Verluste nach sich ziehen, die weit über die direkt mit dem Vorfall in Verbindung stehenden Kosten hinausgehen.

"Schwerwiegende Sicherheitsvorfälle lassen sich nicht vollständig vermeiden. Viele Unternehmen haben eine funktionierende Strategie zur Bewältigung der unmittelbaren Folgen. Häufig fehlt ihnen aber eine strukturierte Vorgehensweise für die Analyse der Ursachen eines Angriffs und der Adaption ihrer Strategie. Dadurch nehmen sie unnötige Risiken und Kosten in Kauf", sagt Michael de Crespigny, CEO des ISF. "Ohne adäquate Bewertung der Folgen wissen Unternehmen nicht, welche langfristigen oder mittelbaren Kosten wie zum Beispiel Imageschäden ein Sicherheitsvorfall verursacht. Der neue Report "You could be Next" zeigt auf, wie Verantwortliche schneller reagieren können und im Unternehmen funktionierende Strategien für das Schadensmanagement implementieren können."

Zusätzliche Informationen zum Information Security Forum sowie zur Mitgliedschaft finden sich unter
http://www.securityforum.org (http://www.securityforum.org). Firmen- & Pressekontakt