Darum rieten wir diesem Kunden zu Beginn von Pentests an mehreren Standorten ab
Die meisten Kunden haben eine recht genaue Vorstellung davon, was sie für ihre Informationssicherheit von uns brauchen. Nichts wäre leichter, als das einfach abzunicken und genau das zu liefern. Das ist jedoch nicht unser Weg: Wir prüfen zu Beginn zunächst genau, ob der Kundenwunsch wirklich der beste Weg für optimale Ergebnisse ist.
In diesem Fall wäre es ein Leichtes für uns gewesen, die zwei gewünschten internationalen Pentests durchzuführen und abzuhaken. Hätte das den Kunden sicherer gemacht? Nein. In dieser Success Story erklären wir, warum wir uns gemeinsam mit dem Kunden für einen anderen Weg entschieden haben und wie das Unternehmen dadurch effizient Fortschritte in seiner Cyber Resilienz verzeichnen konnte.
Dieses Unternehmen zählt zu den weltweit führenden Anbietern von Gläsern für die Getränkeindustrie. An mehreren internationalen Standorten stellen über 450 Mitarbeiter speziell für Brands designte und veredelte Gläser her.
CFO des Unternehmens
Der CFO des Unternehmens ist verantwortlich für die interne IT sowie die Kooperation mit einem externen IT-Dienstleister. Er versteht daher sowohl auf inhaltlicher als auch auf Management-Ebene die Wichtigkeit des Themas IT Security. Durch strategische Planung in der Budgetierung ermöglicht er schnelle Fortschritte in diesem Bereich.
Der CFO des Fertigungsunternehmens kam zu uns mit dem Wunsch, zwei Produktionsstandorte einem umfassenden Penetrationstest zu unterziehen. Grundlage war die Problematik, dass der aktuelle Stand in Sachen IT Security nicht bekannt war.
Der Auftrag an sich zeigte bereits eine der größten Herausforderungen auf: Die IT für verschiedene internationale Standorte war nicht zentral oder einheitlich gesteuert. Zudem lag aufgrund der Produktion insgesamt eine umfangreiche Infrastruktur vor.
Auf organisatorischer Ebene trafen wir ebenfalls auf Besonderheiten: Es gab zwar eine interne IT-Abteilung, aber keinen dedizierten Leiter. Die Verantwortung lag beim CFO, der auch die Zusammenarbeit mit einem externen Dienstleister koordinierte.
Der Auftrag an uns in Kürze: Sagt uns, wo wir sicherheitstechnisch stehen und wo wir nachbessern müssen!
In der ersten Planungsphase stellen wir manchmal fest, dass der initiale Kundenwunsch aus unserer Erfahrung heraus nicht zu 100% den optimalen Lösungsansatz darstellt. So auch in diesem Fall: Wir besprachen zunächst, welche Ergebnisse wir bis zur Hälfte unserer Vertragslaufzeit gemeinsam erreichen wollten. Da es sich um den ersten Pentest handelte, empfahlen wir, diesen zunächst auf einen Produktionsstandort zu beschränken. Hintergrund dieser Empfehlung: Aufgrund der dezentralen Steuerung ermöglichte uns die örtliche Beschränkung einen wesentlich schnelleren Start in die Behebung der gefundenen Findings. So konnten wir das Unternehmen effizienter durch die zügige Risikominimierung führen.
Im Anschluss an einen umfassenden Pentest (IT und OT) am ersten Standort stellten wir die Ergebnisse in einer Management-Präsentation vor, um auch auf dieser Ebene Transparenz zu schaffen. Insgesamt ermöglichte ein kontinuierliches Management-Reporting an den CFO unkomplizierte und zielführende Anpassungen in der Budgetierung, um notwendige Maßnahmen zeitnah umsetzen zu können.
Für eine zügige Risikominimierung bearbeiteten wir die periodisierten Findings im Consulting gemeinsam mit der internen IT und dem externen Dienstleister.
Im Anschluss an die Bearbeitung des ersten Pentests bezogen wir schließlich den zweiten Standort in einem zweiten Pentest ein. Auch unterstützen wir mit Consulting bei der Abstellung der gefundenen Schwachstellen.
Die interne IT konnte gemeinsam mit dem externen Dienstleister innerhalb eines Jahres 75% der Findings aus dem ersten Pentest beheben. Insbesondere vor dem Hintergrund der komplexen und dezentralen Infrastruktur sowie der Beteiligung eines externen Dienstleisters ist dies ein sehr gutes Ergebnis.
Anschließend konnten wir mit der Risikobetrachtung der internationalen Standorte beginnen, um das Informationssicherheitsniveau insgesamt auf einen einheitlichen Stand zu heben.
Wie bringt man Innovation und Digitalisierung mit Sicherheit zusammen? Wie schafft man sich operativ Luft für die effiziente Umsetzung von IT Security Projekten?
