Category: IT Governance

Posted on

Sicherheitsrisiken…

…durch unsichere Passwörter

Wir verraten Ihnen hier wo wir bei forensischen Analysen die meisten Passwörter im Klartext abgreifen konnten. Den meisten Unternehmen ist nicht bewußt wie der leichtsinnige Umgang mit Zugangsdaten und Identitäten Ihre Datenintegrität gefährdet. Zeigen Sie die drei Punkte Ihren Mitarbeitern im nächsten Meeting:

  • MS Excel und ähnliche Dokumente mit Zugangsdaten im Klartext, gefunden auf Netzwerklaufwerken, Team Sharing Apps wie DropBox, OneDrive usw. In mehreren Fällen hätten wir alle Social Media Accounts und weitere Online Zugänge des Unternehmens in einem Schlag übernehmen können.
  • Chat Apps – Wir konnten aus Chatprotokollen diverser Apps Klartextpasswörter und Schlüssel für Apps, Webseiten, Rest API’s usw. auslesen. Es werden am häufigsten Zugangsdaten mit neuen Mitarbeitern in der Onboarding Phase und meist im Bereich Software Developement per Chat im Klartext geteilt, an zweiter Stelle die HR oder Personalabteilungen. Damit hätten wir eine Menge Unfug und einen Ausfall der Key Business Applikation starten können.
  • Veraltete GPO’s im Active Directory. Wir sahen einige AD’s die nichtmal die Security Baseline Protection per Policy angewendet hatten. Gerade in historisch gewachsenen Infrastrukturen kommt dies vor. Häufig ist noch NTML Auth erlaubt, weil alte Anwendungen nicht auf Kerberos umgestellt werden können. Das ist mehr als kritisch. Innerhalb von 24h konnten wir mehr als 2000 Benutzer- und Maschinenkonten kompromitieren.

Das sind drei Beispiele, bei denen den Beteiligten nicht bewußt ist, welches Risiko hier lauert. “Ach, hier passiert schon nichts” ist genau die Denkweise die vermieden werden muss. Hier muss Awareness geschaffen werden, die Rahmenbedingung für die “Nur-Ein-Passwort-Strategie sollte in Betracht gezogen werden. Ist das keine Alternative für Ihr Business Modell hilft nur der flächendeckende Einsatz eines geeigneten Passwort Managers auf allen Geräten. Diese lassen sich inzwischen auf allen Geräten und verteilt auf allen Plattformen einsetzen und gewährleisten eine gewisse Integrität aller Zugänge. Häufig müssen die Passwörter nicht mehr im Klartext angezeigt werden, der Passwortmanager übernimmt den Login automatisch. Theoretisch könnte man so alle Klartext Passwörter im Netzwerk eleminieren. Theoretisch…..

Posted on

Wer “besitzt” welche Daten und wer ist dafür verantwortlich?

Data Ownership – ein wichtiger Aspekt im Umgang mit Daten

Erst wenn Daten oder Dateien verloren gehen sucht man nach Verantwortlichen. In vielen Unternehmen herrscht der Irrglaube, die IT wäre für die Daten verantwortlich.
Wer ist also der Verantwortliche für welche Daten?

Sie! Als Führungskraft von Abteilungen oder Teams sind die von Ihnen verwendeten Daten in Ihrer Verantwortung – Sie sind der Data-Owner.

Ebenso die “Product-Owner”. Die Daten innerhalb der Applikation liegen in Ihrer Verantwortung. Teilt sich die Applikation in einzelne Abteilungen liegt die Data-Ownership wieder bei der Abteilungsleitung.

Die IT ist nur der “Service Owner”, d. h. sie stellt die Technik und Ressourcen bereit um diese Daten im Unternehmensnetzwerk zur Verfügung zu stellen. Inhalt oder Art der Daten sind nur für die Datenklassifizierung und Compliance relevant. Die IT ist außerdem für die Datensicherung verantwortlich. Sie als Data-Owner haben aber die Pflicht sicher zu stellen, das die Datensicherungsmassnahmen funktionieren und einer möglichen Regulierung durch Compliance entsprechen. Den Backup macht die IT für Sie, das “was” und “wie oft” muss sollte vom Data-Owner definiert werden. Ebenso ist der Data-Owner dafür verantwortlich das Daten und Verarbeitung den Compliance Regulierungen entsprechen.

Wir helfen Ihnen zu verstehen wie Sie sinnvolle Ownerships definieren und Missverständnisse unterhalb der Abteilungen vermeiden können.

Posted on

Sind Sie genervt von sinnlosen Passwörtern?

Ein Passwort für alle Dienste

In vielen Unternehmen kämpfen Mitarbeitende mit einer wachsenden Anzahl an Passwörtern für verschiedene Anwendungen und Systeme. Dies führt nicht nur zu Sicherheitsrisiken durch unsichere Passwörter und „Passwortmüdigkeit“, sondern auch zu einem erhöhten Verwaltungsaufwand für die IT-Abteilung.

Es ist kein großer Aufwand ihren Benutzern eine einfache und denoch sichere Anmeldung zu Geräten und Applikationen zu ermöglichen. Sie können z. Bsp. in M365 Ihre Unternehmensapplikation registrieren und über ein Portal einfach zur Verfügung stellen.

Ihre Mitarbeiter benötigen nur ein Passwort für Alles! Wir zeigen Ihnen wie auch Ihr Unternehmen davon profitiert.

Posted on

IT Governance

IT Governance – der Knigge der IT

IT Governance ist für Unternehmen essenziell, um die IT-Strategie mit den Geschäftszielen in Einklang zu bringen und eine effiziente, sichere Nutzung von IT-Ressourcen zu gewährleisten. Sie stellt sicher, dass technologische Investitionen einen messbaren Mehrwert schaffen, Risiken wie Cyberangriffe und Systemausfälle minimiert werden und regulatorische Anforderungen eingehalten werden. Durch klare Verantwortlichkeiten, standardisierte Prozesse und eine gezielte Steuerung der IT können Unternehmen ihre Effizienz steigern, Kosten senken und Innovationen gezielt vorantreiben.

Eine starke IT Governance verbessert die Entscheidungsfindung und stärkt die Wettbewerbsfähigkeit, indem sie eine transparente, sichere und nachhaltige IT-Nutzung ermöglicht. Sie sorgt für eine bessere Kontrolle über technologische Entwicklungen und hilft, die IT-Landschaft an dynamische Marktbedingungen anzupassen. Unternehmen, die IT Governance konsequent umsetzen, können Risiken frühzeitig erkennen, Ressourcen optimal nutzen und ihre digitale Transformation strategisch steuern.

Posted on

SMARTes Datenmanagement

Smartes Datenmanagement
Warum eine Exit-Strategie für Ihre Daten entscheidend ist

Das Datenvolumen, das Unternehmen heute verwalten, wächst stetig. Die Verfügbarkeit günstiger Speicherlösungen hat dazu geführt, dass sich über die Jahre enorme Mengen an Daten ansammeln.

Allerdings verbrauchen veraltete und irrelevante Daten wertvolle Ressourcen, verstecken sich in komplexen Ordnerstrukturen und beeinträchtigen sowohl die Systemleistung als auch die Produktivität der Mitarbeiter. Ihre Daten- und Dokumentenstrukturen sollten daher übersichtlich, transparent und für alle Abteilungen zugänglich sein.

Es ist herausfordernd, alte Gewohnheiten und gewachsene Prozesse zu durchbrechen – doch historisch entstandene Datenstrukturen bergen oft erhebliche Risiken für IT-Governance und Compliance. Haben Sie eine Exit-Strategie für Ihre Daten?

Datenmanagement optimieren – Ressourcen sparen
Halten Sie Ihre Daten schlank und effizient! Jede unnötige Datei verursacht reale Kosten. Bevor Veränderungen vorgenommen werden, helfen wir Ihnen zu verstehen, warum eine gezielte Bereinigung essenziell ist.

Aus unserer Erfahrung hätten viele Datenmigrationen deutlich schneller und kosteneffizienter abgeschlossen werden können – wenn im Vorfeld eine durchdachte Exit-Strategie existiert hätte. Ein wenig mehr Vorbereitung kann Ihr Projekt erheblich beschleunigen und hohe Kosten einsparen.

Posted on

Business Continuity Management

(BCM) – Der Notfallplan für Ihr Unternehmen

BCM ist darauf ausgelegt, Worst-Case-Szenarien zu bewältigen, und dient als strukturiertes Dokumentations- und Steuerungssystem für das Notfallmanagement innerhalb Ihres Unternehmens. Ähnlich wie das Notfallhandbuch eines Flugzeugs bietet ein gut implementiertes BCM klare, schrittweise Anleitungen, um sicherzustellen, dass Ihr Unternehmen auch in Krisensituationen nicht „abstürzt“.

„Wenn Systeme ausfallen, lautet die erste Frage von Mitarbeitern und Management immer: ‚Wann kann ich wieder arbeiten? Wie lange dauert es, bis wir wieder voll einsatzfähig sind?‘“

Die Antwort auf diese Fragen muss in einem Disaster Recovery Plan (DRP) klar definiert sein – einer maßgeschneiderten Strategie, die speziell für solche Szenarien entwickelt wurde. Doch wenn ein solcher Plan nicht existiert oder veraltet ist, verliert er seine Wirksamkeit. Deshalb ist ein erfolgreiches BCM auf umfassende Vorbereitung, detaillierte Planung sowie die Implementierung strukturierter, wiederkehrender Prozesse und Tools angewiesen.

Ein robustes BCM ist insbesondere dann unerlässlich, wenn Ihr Unternehmen branchenspezifischen Standards und regulatorischen Anforderungen unterliegt, beispielsweise ISO 22301. Die erfolgreiche Implementierung erfordert eine bereichsübergreifende Zusammenarbeit, die aktive Unterstützung des Managements sowie eine präzise und koordinierte Umsetzung.

In der Praxis beobachten wir häufig, dass mangelnde Zeit und unzureichende Abstimmung die größten Hindernisse für ein effektives BCM sind. Dies führt dazu, dass gesetzte Ziele nicht erreicht werden und wertvolle Ressourcen ohne spürbaren Nutzen aufgebraucht werden.

Wir unterstützen Sie dabei, ein belastbares und wirkungsvolles BCM aufzubauen – basierend auf den Best Practices von ISO 22301, den BSI-Richtlinien, der neuen NIS2 Regulierung, sowie weiteren relevanten Branchenstandards, individuell zugeschnitten auf Ihr Geschäftsmodell. Lassen Sie uns gemeinsam sicherstellen, dass Ihr Unternehmen auf jede Störung vorbereitet ist – damit Ihre Betriebsabläufe auch dann gesichert sind, wenn es darauf ankommt.

Mit der neuen NIS2 Regulierung hat sich Ende 2025 einiges geändert, lesen Sie hier: NIS2-2UmsuCG

Unverbindliche Beratung

Jetzt Termin buchen