Kunde
Das Versorgungswerk der Zahnärztekammer Berlin (kurz: VZB) ist die berufsständische Versorgungseinrichtung der Zahnärzte für die Kammerbereiche Berlin, Brandenburg und Bremen. Das VZB stellt die finanzielle Absicherung seiner Mitglieder sicher und gewährt allen Kammerangehörigen und ihren Familien einen Rechtsanspruch auf Versorgungsleistungen im Alter, im Todesfall und bei Berufsunfähigkeit. Geführt als Körperschaft des öffentlichen Rechts verfügt die Organisation über eine Gremienstruktur. Am Standort der Einrichtung in Berlin sind insgesamt 19 Mitarbeiter beschäftigt.
Download Anwenderbericht Versorgungswerk Zahnärztekammer Berlin
Herausforderung
Wie steht es um das Gesamtniveau der IT-Sicherheit? Welche IT-Sicherheitsmaßnahmen sind kurz- und mittelfristig erforderlich, um den Schutz des Versorgungswerk vor Angriffen durch Cyberkriminelle zu gewährleisten? Sind die Mitarbeiter und Gremienmitglieder ausreichend sensibilisiert, um potenzielle Cyberangriffe per Social Engineering zu erkennen und abzuwehren? Bestehen IT-Sicherheitslücken, die umgehend geschlossen werden müssen? Um sich ein vollständiges Bild des aktuellen Status Quo der IT-Sicherheit machen zu können, konsultierte das Unternehmen den Hamburger IT-Sicherheitsspezialisten Allgeier secion.
Über Empfehlungen aus den Mitarbeiterreihen einer Hamburger Beteiligung des Versorgungswerks entschieden sich die Verantwortlichen schnell und unbürokratisch dafür, Allgeier secion mit einem umfassenden Security Audit zu beauftragen.
Lösung
Das Projekt war durch die Auswahl optimaler Überprüfungs-Methoden und durch die Festlegung einer geeigneten Reihenfolge bei deren Durchführung charakterisiert. Die IT Security Consultants von Allgeier secion entschieden sich im ersten Schritt für ein Black Box Audit, um zunächst die Sicht eines Angreifers von außen auf die Organisation zu erlangen. Interne Netzwerk und Serversysteme sind häufig gewählte Angriffsziele Cyberkrimineller.
Die Besonderheit bei diesem Verfahren: Die Pentester verfügten über keinerlei Insiderwissen, vorhandene Sicherheitslücken der IT-Infrastruktur mussten von ihnen selbständig aufgedeckt werden. Sie nahmen hierfür die Rolle eines “echten Angreifers” ein und identifizierten potenzielle IT-Sicherheitslücken und Schwachstellen, um die Systeme anschließend mittels individueller Angriffs-Szenarien zu überprüfen. Im Anschluss klassifizierten die IT-Security Consultants die Befunde nach Risikostufen und gaben den IT-Verantwortlichen priorisierte Handlungsempfehlungen an die Hand.
Neben der technischen Widerstandskraft wurde auch die Security Awareness der Mitarbeiter und Gremienmitglieder des VZB in einem Social Engineering Audit überprüft. Die IT-Security Experten versuchten bei diesem Test, die “Schwachstelle Mensch” durch soziale Manipulation auszunutzen und beispielsweise telefonisch oder per E-Mail an sicherheitsrelevante Informationen (wie z. B. Passwörter) zu gelangen. Die Erkenntnisse des Social Engineering Audits bildeten den Ausgangspunkt für die sich anschließende Awareness Schulung.
Aber nicht nur technische und menschliche Schwachstellen stellen potenzielle Gefahren für die IT-Sicherheit dar. Unzureichend definierte organisatorische Prozesse und vorab definierte Verantwortliche für den Ernstfall sind mitverantwortlich für die Mehrzahl von Betriebsausfällen. Daher ist eine umfassende “Incident Response Readiness-Strategie” von äußerster Wichtigkeit. Daher schloss das Versorgungswerk die Projektreihe mit einem organisatorischen Audit ab. Hierbei wurden bestehende Ablauf- und Verhaltenspläne des Versorgungswerks analysiert, optimiert und in einem dezidierten Notfallplan festgeschrieben.
Ergebnis
Durch den kritischen externer Blick auf die Maßnahmen und die drei umfassende Audits sowie begleitenden Schulungsmaßnahmen konnte das Versorgungswerk der Zahnärztekammer Berlin die Sicherheit seiner IT-Infrastruktur maßgeblich verbessern. Die im Black Box Audit identifizierten Schwachstellen wurden in einem ausführlichen Ergebnisreport nach Risikostufen festgehalten. Der Bericht enthält außerdem auch nach Dringlichkeit priorisierte Maßnahmen zur Schwachstellenbehebung. Das Social Egineering Audit und die darauf aufbauende Sicherheitsschulung haben das Bewusstsein der Mitarbeiter und Gremienmitglieder für tatsächlich vorhandene Sicherheitsrisiken geschärft. Der Wiederanlauf- bzw. Notfallplan, der von den IT-Sicherheitsexperten im Rahmen des Organisations-Audits individuell für das VZB entwickelt wurde, wurde Schritt für Schritt in der Organisation umgesetzt.
„Die von Allgeier secion durchgeführten IT Security Audits sowie die Schulungsmaßnahmen haben zu einer maßgeblichen Verbesserung der IT-Sicherheit in unserer Organisation beigetragen. Aufgrund der sehr guten Erfahrungen mit den Allgeier secion Experten bei dem Initialprojekt Black Box Audit haben wir den ursprünglich geplanten Projektumfang nach und nach erweitert. Die Allgeier secion Consultants haben uns mit individueller Beratung und ihrem prägnanten Wissen überzeugend durch alle Projekte geführt. Die Zusammenarbeit war sehr konstruktiv und angenehm. Wir empfehlen Allgeier secion uneingeschränkt weiter.“