Cyber Attack and Readiness Evaluation

Cybersicherheit bei PwC: Fokus auf Risiken

Cyber Attack and Readiness Evaluation

Cyber Attack and Readiness Evaluation ist ein neuer Service von PwC, der Kunden bei der Bewertung ihres Sicherheitsdispositivs – ihrer Fähigkeit, mit den zentralen Bedrohungen der heutigen Cyberwelt umzugehen – auf einfache und verständliche Weise unterstützt.

Wie funktioniert unser Service? In einem ersten Schritt führen wir mit Ihnen online einen Workshop durch, um Ihre Risikobereitschaft sowie Ihre bereits umgesetzten Massnahmen zur Reduzierung der wesentlichen Cyberrisiken zu bewerten. Im Anschluss validieren wir die erhaltenen Antworten anhand einer technischen Bewertung Ihres Reifegrads. 

Dieser Service ist in erster Linie für kleinere und mittlere Unternehmen konzipiert. Dank seiner Modularität kann er jedoch auf jede Unternehmensgrösse skaliert und spezifisch an jeden Tätigkeitsbereich angepasst werden. Wir verfügen über ausgewiesene Erfahrung in einer Vielzahl von Bereichen, darunter öffentliche Verwaltungen, Banken sowie die Konsum- und Luxusgüterbranche. Nachfolgend beschreiben wir den modularen Ansatz unserer Dienstleistungen.

Zudem bieten wir eine kostenlose Online-Selbstbewertung an, durch die Sie sich einen ersten Überblick über Ihre Gefährdung durch Cyberrisiken und den Reifegrad Ihrer Kontrollen verschaffen können.

pwc-cyber-circle-here

Unsere Leistungen

Selbstbewertung

Erster Überblick über Cyberrisiken und Reifegrad

Ziel der Selbstbewertung ist es, Ihnen einen ersten Überblick darüber zu verschaffen, welchen Cyberrisiken Sie ausgesetzt sind und wie ausgereift Ihre Kontrollen sind.
In dieser Phase füllen Sie einen Online-Fragebogen aus, um Ihre Risiken und den Reifegrad Ihrer Sicherheitskontrollen zu bewerten. Unser Kontrollspektrum stützt sich auf den IKT-Minimalstandard des Bundesamtes für wirtschaftliche Landesversorgung BWL.

Zusammenfassender Bericht

Bericht mit einem kurzen Überblick über Ihre Cyberrisken und Ihren aktuellen Reifegrad auf der Grundlage Ihrer Antworten.

 

Bewertung von Cyberrisiken

Die Risiken kennen, bevor sie Schaden anrichten

Das Ziel einer Bewertung von Cyberrisiken ist es, potenzielle Probleme zu identifizieren, bevor sie auftreten. Auf diese Weise können Sie risikomindernde Massnahmen planen und diese nach Bedarf in Ihren Informationssystemen oder Projekten umsetzen.

In dieser Phase verwenden wir einen Online-Fragebogen zur Bewertung Ihrer Risiken und der Maturität Ihrer Sicherheitskontrollen. Unser Kontrollspektrum stützt sich auf den IKT-Minimalstandard des Bundesamtes für wirtschaftliche Landesversorgung BWL.

 

Pragmatische Empfehlungen

  • Ein Bericht mit einer vollständigen Liste der schwerwiegenden Cyberrisiken und einem Executive Summary zu Ihrem aktuellen Reifegrad
  • Ein detaillierter Bericht gemäss dem definierten Umfang in elektronischer Form, der für die diversen Organe Ihres Unternehmens erstellt und diesen präsentiert wird
  • Ein Projektplan, der alle geplanten Aktivitäten aller Projektphasen nach der ersten Mobilisierungsphase abdeckt

 

Externe Sicherheitsbewertung

Welche Fenster stehen offen? Können sie für einen Angriff genutzt werden?

Die externe Sicherheitsbewertung kann in Abhängigkeit von Ihrem Bedarf in zwei Phasen durchgeführt werden.
Wir führen zuerst ein externes Schwachstellen-Scanning durch – eine einfache, sofort einsatzbereite Lösung zur schnellen Identifizierung von Schwachstellen im Netzwerk Ihres Unternehmens, die potentiell von Hackern ausgenutzt werden können. 
Anschliessend decken Penetrationstests die Schwere vorhandener Probleme auf und geben Aufschluss darüber, welche Art von Schaden entstehen könnte, wenn eine Schwachstelle durch Hacker ausgenutzt würde.

Geben Sie Ihrer IT-Abteilung klare Aufgaben und eine Roadmap an die Hand

In Abhängigkeit von Ihrem Auftrag erhalten Sie folgende Leistungen:

  • Einen ausführlichen Bericht mit einer Liste aller Schwachstellen, die bei der Durchführung des Scanning-Prozesses entdeckt wurden. Im Bericht wird zudem aufgezeigt, welche Schritte zur Behebung der Schwachstellen erforderlich sind (z. B. entsprechende Patches).
  • Einen detaillierteren Bericht mit Beobachtungen und Empfehlungen sowie «Quick Wins». Darin werden die Methodik des durchgeführten Penetrationstests, die getroffenen Annahmen sowie die geschäftlichen Auswirkungen des «Hacks» erläutert.

 

Phishing-Sensibilierungskampagne

Aufspüren des «schwächsten Glieds»

Phishing ist die von Hackern am häufigsten angewandte Methode, um sich einen ersten Zugang zum Netzwerk eines Unternehmens zu verschaffen. Phishing weist eine hohe Erfolgsquote auf, da es das schwächste Glied der Sicherheitskette ins Visier nimmt: den Menschen. Unsere Sensibilisierungskampagne simuliert einen Phishing-Angriff, indem eine glaubwürdige E-Mail an eine definierte Personengruppe Ihres Unternehmens versandt wird, die diese zur Durchführung einer bestimmten Aktion auffordert (z. B. das Anklicken eines Links oder das Öffnen eines Anhangs), die das Endgerät gefährden oder die Empfänger zur Preisgabe von vertraulichen Informationen bringen könnte. 

 

Ein Bericht zur Reduzierung von Phishing-Risiken

Sämtliche Handlungen der getesteten Gruppe werden aufgezeichnet und in einem Bericht zusammengefasst. Darin wird die Reaktion Ihrer Mitarbeitenden beschrieben (z. B. die Anzahl der Personen, die auf den Link geklickt, den Anhang geöffnet und ihre Zugangsdaten angegeben haben), sodass Sie den Sensibilisierungsgrad der Mitarbeitenden effektiv messen und/oder die Wirksamkeit einer Schulung, die sie in diesem Bereich durchgeführt haben, ermitteln können.

Cyber-Awareness-Workshop für Führungskräfte

Sensibilisierungsschulung für Führungskräfte

Angesichts der raschen Weiterentwicklung von Cyberrisiken müssen Unternehmensleiter und Führungskräfte regelmässig über die wichtigsten Technologien und Entwicklungen im Bereich Cyberrisiken informiert werden. 

Unsere Game of Threats™ Simulation ermöglicht es Ihren Führungskräften oder Kollegen, einen nahezu echten Hackerangriff mithilfe eines interaktiven Tools zu verstehen, auszuprobieren und mehrfach durchzuspielen.

 

Sensibilisierungsbericht

Sie erhalten eine Präsentation, in der die zentralen, im Rahmen der Simulation gewonnenen Erkenntnisse zusammengefasst und mit praktischen Massnahmen ergänzt werden.

 

Unser modularer Ansatz

Wir haben ein skalierbares und anpassungsfähiges Servicemodell entwickelt, um unser Angebot auf Ihre Bedürfnisse und Unternehmensgrösse auszurichten. Abhängig von der gewünschten Tiefe des Assessments sowie Ihrer Erfahrung und Ihrer Kenntnisse im Bereich Cybersecurity stellen wir gemeinsam mit Ihnen das passende Paket zur Beurteilung von technischer Maturität und menschlichem Verhalten zusammen.

 

Die Cyberlandschaft und die damit verbundenen Risiken unserer Kunden verändern sich laufend. Dies hat PwC veranlasst, mit «Continuous Cyber Attack and Readiness Evaluation» eine Abonnementversion des bestehenden Cyber Attack and Readiness Evaluation-Pakets zu entwickeln, mit der Unternehmen ihr Sicherheitsdispositiv laufend evaluieren können.

Mehr erfahren

Bitte setzen Sie sich mit uns in Verbindung, um herauszufinden, welcher Service für Ihren Bedarf am besten geeignet ist.

Kontaktieren Sie uns für eine kostenlose Selbstbewertung oder um herauszufinden, wie wir Ihnen mit unserem Cyber Attack and Readiness Evaluation Service zu einer besseren Abwehr verhelfen können.

 

Kontaktieren Sie uns

Urs Küderli

Urs Küderli

Partner Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 42 21

Yan Borboën

Yan Borboën

Partner Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 84 59