IT aus dem Nähkästchen – Pareto-Prinzip in der IT- und Cyber Sicherheit

Was ist wirklich in Bezug auf die Herstellung eines angemessenen Sicherheitsniveaus in einem Unternehmen wichtig? Diese Frage wird unseren IT-Beratern oft gestellt. Häufig um das begrenzte IT-Budget bestmöglich zu nutzen. Für die Budgetrunden benötigt man gute Argumente, um durchzudringen.

Um die Fragen zu beantworten, müssen wir uns vergegenwärtigen welche Angriffsvektoren bei Hackern genutzt werden. Ein Großteil der Angriffe findet heute über Phishing(-Mails) statt, denn diese sind sehr effektiv und zugleich kostengünstig. Sie basieren auf reiner Wahrscheinlichkeitsrechnung: Wenn 1 von 1000 Benutzern auf einen Link klickt und Dateien mit Schadcode oder seine Passwörter offenbart, ist der Zugang zum Unternehmensnetzwerk sichergestellt. Danach folgt die Suche nach hochprivilegierten Benutzern, um dauerhaft eine Hintertür zum Unternehmen aufzubauen. Ab hier ist es nur eine Frage der Zeit bis ein Erpressungsschreiben ein Unternehmen erreicht.

Das Pareto-Prinzip in der IT-Sicherheit

Das Pareto-Prinzip besagt, dass etwa 80 % der Ergebnisse mit 20 % des Aufwands erreicht werden können, während die restlichen 20 % der Ergebnisse 80 % des Aufwands erfordern. Um Zeit und damit Geld zu sparen, ist es also notwendig, Prioritäten im Sinne des Pareto-Prinzip zu setzen.

Für uns bedeutet dies, dass eine gezielte Fokussierung auf die richtigen Aspekte den größten Nutzen mit minimalem Aufwand bringen kann. In der IT- und Cyber Sicherheit sind das Trainings der Mitarbeiter zur Erkennung von Phishing-Angriffen, eine ausgeklügelte Benutzer- und Rechteverwaltung, aktuelle Softwarestände mit allen Sicherheitspatches sowie eine angemessene Netzwerksegmentierung.

Pareto selbst hat immer darauf hingewiesen, dass die Elemente des zugrunde gelegten Systems unabhängig voneinander sein müssen. Daher sind unsere präferierten Gegenmaßnahmen ebenfalls unabhängig voneinander und decken zahlreiche Aspekte ab.

In den letzten Jahren haben unsere Experten der IT Consulting dieses Prinzip weitestgehend verfolgt und können heute auf zahlreiche Fachartikel und Studien zum Thema IT-Sicherheit und Cyber Security verweisen. Unsere Leistungen helfen bei der Minimierung von Einfallstoren für Hacker und können unsere auf reaktive Maßnahmen im Notfall ausgeweitet werden, die hoffentlich nie zum Einsatz kommen.

Unser Leistungsportfolio im Bereich Cyber Sicherung ist nach dem Pareto-Prinzip aufgebaut:

  1. Trainingsmaßnahmen zu Phishing (als Service Partner von ThriveDX Security Awareness Training ehemals Lucy Software),
  2. Vulnerability Assessment (Penetrationstest von Innen) zur Identifikation von Schwachstellen in Ihren eingesetzten Software-Produkten,
  3. Active Directory Scan,
  4. Analyse des Rechteverwaltungssystems, zuletzt eine Analyse des Netzwerks.

zurück zur Ausgabenübersicht

Ausgabe 09/2023

Rafael Robert Gawenda

Assoziierter Partner, Geschäftsführer
Process Performance & Security

+49 711 319400-138
E-Mail