Enterprise Security Architecture

07 Februar, 2020

Ihr Experte für Fragen

Jörg Asma

Jörg Asma
Partner, Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 221 2084-103
E-Mail

Die Bedeutung von Cyber-Sicherheit steigt. Wie gut ist Ihre Sicherheitsarchitektur?

Neue Technologien werden immer wichtiger. Sie erhöhen aber auch das Risiko für digitale Bedrohungen. Architekturkonzepte müssen deshalb stets aktuell sein und keinerlei Sicherheitslücken zulassen. „Es ist allerdings alles andere als trivial, im Blick zu behalten, ob die aktuelle Sicherheitsarchitektur der Unternehmensstrategie noch gerecht wird – und an welcher Stelle sie im Hinblick auf neue Sicherheitsrisiken angepasst werden muss“, kommentiert Jörg Asma, Partner im Bereich Cyber Security bei PwC Deutschland. Der Experte ist überzeugt: „Eine lückenhafte oder veraltete Sicherheitsarchitektur vergrößert die Angriffsfläche und macht Organisationen damit zur Zielscheibe für interne und externe Angriffe.“

Unser Service im Überblick

Die Ausgangssituation 

Unternehmen machen sich angreifbar – bewusst oder unbewusst. Beispiele für Lücken in der Sicherheitsarchitektur gibt es viele: Mitarbeiter drucken und faxen geheime und damit zu verschlüsselnde Informationen – nur damit sie sich nicht mit dem Thema Encryption beschäftigen müssen. Andere Mitarbeiter stellen das persönliche Passwort dem Kollegen für Vertretungsfälle zur Verfügung, anstatt einen weiteren Zugang zu beantragen. Die von der IT installierten Sicherheitslösungen bewirken somit das Gegenteil. Das Risiko ist insbesondere dann hoch, wenn die Anwender die Gefahren nicht richtig einschätzen und die vorhandenen Sicherheitslösungen bewusst umgehen.

Viele Organisationen sind sich dieser Schwächen bewusst. Die PwC-Studie „Digital Trust Insights“ zeigt: Nur jedes dritte Unternehmen weltweit hält seine Fähigkeiten zur Abwehr von Cyber-Angriffen für gut oder sehr gut. Umso wichtiger ist es, die Unternehmensarchitektur sicher zu gestalten. Dabei sollten sich Organisationen auf die Fähigkeiten fokussieren, die auf die Unternehmensstrategie einzahlen. Auf dieser Basis lässt sich eine individuell zugeschnittene, flexible Sicherheitsarchitektur entwickeln.

“Enterprise Security Architektur bildet die Grundlage für die Widerstandsfähigkeit. Mit einer durchdachten Architektur sind Organisationen den Risiken immer einen Schritt voraus.”

Jörg Asma, Partner, Cyber Security & Privacy bei PwC Deutschland

Standards helfen bei der Umsetzung

Jedes Unternehmen sollte sich mit seinen individuellen Sicherheitsanforderungen und seiner Risikostruktur auseinanderzusetzen. Verschiedene Organisationen haben hierbei unterschiedliche Bedürfnisse. Bei einer Polizeiorganisation hat beispielsweise der Personenschutz – auch der eigenen Mitarbeiter – hohe Priorität. Bei einer Internetverkaufsplattform sind Compliance-Anforderungen zur Kreditkartennutzung wichtiger. 

Um ein gemeinsames Verständnis des Begriffs Sicherheitsarchitektur zu finden, helfen Standards wie etwa die ISO/IEC 27000-Reihe für Informationssicherheits-Management oder das SABSA-Framework (Sherwood Applied Business Security Architecture). Wer sich neu an das Thema heranwagt, startet am einfachsten mit der ISO-27000-Reihe. Diese gibt konkrete Aussagen zu den benötigten Bausteinen. Wer bereits einen Schritt weiter ist und einen umfassenden Ansatz sucht, dem hilft das komplexere SABSA-Modell, das auf den Anforderungen des Business basiert. 

Zahlen und Fakten

85 %

der Unternehmen weltweit haben ihre Cybersicherheits-Strategie nicht eng mit der Business-Strategie verzahnt.

78 %

pflegen keinen regelmäßigen Austausch zwischen Cyber-Experten und Top-Management.

Bei 59 %

arbeiten die Cyber-Teams bei digitalen Initiativen nicht konsistent mit weiteren Risiko-Bereichen zusammen.

3000

Unternehmen weltweit wurden für die Studie befragt.


Unser Angebot: Sechs Fragen für mehr Sicherheit 

Im SABSA-Modell bilden sechs zentrale Fragen die Basis, um die Anforderungen der Stakeholder auf jeder Unternehmensebene zu ermitteln:

  1. Was gilt es zu schützen? Assets, die durch die Sicherheitsarchitektur geschützt werden sollen.
  2. Warum soll es geschützt werden? Gründe, weshalb Sicherheitsmaßnahmen erforderlich sind.
  3. Wie lässt sich dieses Schutzziel erreichen? Notwendige Sicherheitsfunktionen und -services.
  4. Wer ist in der Umsetzung involviert? Personen und organisatorische Aspekte der Sicherheit.
  5. Wo soll die Sicherheitsmaßnahme wirken? Orte, an denen Sicherheit umgesetzt wird.
  6. Wann soll die Sicherheitsmaßnahme greifen? Zeitbezogene Aspekte der Sicherheit.

„Sicherheit spielt sich nicht nur auf technischer Ebene ab, sondern ist eine zentrale und umfassende Managementaufgabe.“

Dr. Silvia Knittl, Senior Manager, Cyber Security & Privacy, bei PwC Deutschland

Was sollten Organisationen konkret tun, um sich vor Bedrohungen zu schützen und ihre Sicherheitsvorkehrungen auf den neuesten Stand zu bringen?

Fähigkeiten definieren

PwC unterstützt Unternehmen dabei, ihre Cyber-Fähigkeiten zu definieren und zu analysieren. Wir betrachten dabei gesamtheitlich Personal und Organisation, Prozesse und Services sowie Produkte und Tools. Unsere Cyber-Referenz-Architektur nutzen wir als Blueprint und entwickeln auf dieser Basis eine individuelle Landkarte der Kernfähigkeiten.

View more

Reifegradanalyse

Mittels Reifegrad-Assessments der Sicherheitsarchitektur zeigen die Cyber-Experten von PwC Handlungsoptionen auf. Sie empfehlen nachhaltige Lösungsansätze, die sowohl die Cyber-Fähigkeiten Ihrer Organisation verbessern als auch die Kosten im Blick behalten.

View more

Strategische Weiterentwicklung

Wir entwickeln zukunftsfähige Informationssicherheits-Architekturen, die sich in Ihre Unternehmensarchitekturen einfügen. Dabei unterstützen wir von der Planung bis zur Umsetzung. Anpassungen der Enterprise-Sicherheitsarchitektur an neue Geschäftserfordernisse begegnen wir mit flexiblen Architekturlösungen. Wir sind davon überzeugt, dass Architektur dynamisch und agil sein muss, um den heute und in Zukunft notwendigen Grad an Widerstandsfähigkeit zu erreichen.

 

View more

Ihr Mehrwert: Warum sollte Enterprise Security im Fokus stehen?

Messbare Ergebnisse

Die PwC-Experten unterstützen Sie dabei, Ihre operative Widerstandsfähigkeit gegenüber Cyber-Angriffen zu stärken. Wir helfen Ihnen dabei, die Erfolgskennzahlen im Bereich IT-Sicherheit kontinuierlich zu verbessern.

Strategische Weiterentwicklung

Cyber-Sicherheit ist kein Selbstzweck. Wir passen die Architektur nicht nur an die IT-Strategie an, sondern auch an die Business-Strategie. Dabei begleiten wir die digitale Transformation – vom Change Management über die Ausgestaltung von Managed Security Services bis hin zu zum Kulturwandel in agilen Projekten.

Interdisziplinärer Ansatz

Durch unseren interdisziplinären Beratungsansatz können wir Sie bei rechtlichen Fragen genauso unterstützen wie bei technischen Anliegen oder organisatorischen und prozessualen Fragestellungen.

Unser Newsletter

IT Security & Data Protection News

In unserem vierteljährlich erscheinenden Newsletter stellen wir Ihnen aktuelle Entwicklungen im Bereich der IT-Sicherheit und Datenschutz vor. Unser Ziel ist es Ihnen Ideen zu geben, wie Sie daraus Strategien entwickeln können und diese im Einklang mit ihren Unternehmenszielen nachhaltig umsetzen können.

Zum Newsletter

„Ein umfassendes Sicherheitsprogramm ist mit Aufwand verbunden. Aber es lohnt sich, dieses Thema strukturiert und konsequent anzugehen. Wer frühzeitig, das heißt bereits bei der Planung, an Informationssicherheit denkt, spart letztlich auch Kosten.“

Jörg Asma, Partner, Cyber Security & Privacy bei PwC Deutschland

Contact us

Jörg Asma

Jörg Asma

Partner Cyber Security, PwC Germany

Tel.: +49 221 2084-103

Dr. Silvia Knittl

Dr. Silvia Knittl

Senior Manager, PwC Germany

Tel.: +49 89 5790-5573

Follow us