Red Teaming: Compliance und Datenschutz bei simulierten Angriffen
Sicherheits- und Awareness-Tests im Unternehmen sind unabdingbar. Es gibt zahlreiche rechtliche und datenschutzrechtliche Vorgaben, an die man sich halten muss.
- Andreas Thürauf
- Sascha Herzog
Red Teaming kann für ein Unternehmen, das auf diese Art seine kritischen Geschäftsprozesse prüfen lässt, einen großen Nutzen bringen. So kann ein solcher simulierter Angriff nicht nur die "Cyber Resilience" im Allgemeinen stärken, sondern auch den vom Gesetzgeber vorgeschriebenen Datenschutz und die Datensicherheit. Ebenso wird die Wahrscheinlichkeit einer Haftung des Unternehmens und der persönlichen Haftung des Führungspersonals reduziert – für den Fall, dass doch ein böswilliger Angriff erfolgreich sein sollte.
Das TIBER-EU Framework der Europäischen Zentralbank geht sogar noch einen Schritt weiter: Es fordert von europäischen Banken, Versicherungen und Unternehmen der Finanzbranche Red Team Assessments als wichtigen Bestandteil für das Einhalten ihrer Pflichten gegenüber den Aufsichtsbehörden. Bei einem solchen Assessment ist deswegen unbedingt darauf zu achten, dass es rechtskonform und von ausgewiesenen Profis mit viel Erfahrung durchgeführt wird. Denn schon kleine Unachtsamkeiten können sowohl für den Tester wie auch für das angegriffene Unternehmen gravierende Konsequenzen haben. Was für das Bankwesen als sinnvoll erachtet wird, kann auch für Unternehmen nicht falsch sein.
Um einen geeigneten "Threat Intelligence Provider" sowie einen Red-Teaming-Partner zu finden, können sich Unternehmen an den "Service Procurement Guidelines" von TIBER-EU der EZB orientieren. Einen Auszug der Kriterien zur Auswahl eines Red-Teaming-Anbieters zeigt die folgende Tabelle.
Das war die Leseprobe unseres heise-Plus-Artikels "Red Teaming: Compliance und Datenschutz bei simulierten Angriffen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.Immer mehr Wissen. Das digitale Abo für IT und Technik.
Gehälter 2024: Das verdienen Admins in Deutschland
Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung
Workshop: Frontplatten mit System zum Selberbauen
Smartwatches im Vergleich: Huawei Watch Fit 3 und Xiaomi Watch 2
Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen
DeutschlandCard, Miles & More, Payback: Welches Bonusprogramm sich lohnt
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Gehälter 2024: Das verdienen Admins in Deutschland
Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung
Workshop: Frontplatten mit System zum Selberbauen
Smartwatches im Vergleich: Huawei Watch Fit 3 und Xiaomi Watch 2
Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen