Cyber Security-Quick-Check
Cyber Security-Quick-Check
Laut Umfragen wurden schon mehr als zwei Drittel aller Unternehmen in Deutschland Opfer von Cyberangriffen. Für alle anderen gilt höchstwahrscheinlich: „Sie wissen es nur noch nicht.“ Um die wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – dauerhaft aufrecht erhalten zu können, bedarf es effektiver und zeitgemäßer Sicherheitskonzepte. Als Orientierung dienen die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Maßnahmen des IT-Grundschutzes oder die der internationalen Norm ISO 27001.
In der Theorie gelten beide Standards bei den meisten Informations- und IT-Sicherheitsexperten als „Best-in-Class“ und „State-of-the-Art“. In der Praxis aber erweisen sie sich oft als sehr umfangreich, komplex und dokumentationsintensiv, um nicht zu sagen: „bürokratisch“. Daher gestalten viele privatwirtschaftliche und gewinnorientierte Unternehmen ihr Informationssicherheitsmanagementsystem (ISMS) oft nur in Anlehnung an die oben genannten Standards. Das mag grundsätzlich ausreichen, solange es den regulatorischen und/oder branchenspezifischen Vorgaben an die Informationssicherheit genügt. Doch sollte man in jedem Fall mindestens die folgenden zehn Aspekte beachten:
# | Aspekt | Grundsätzliche Fragen |
I. | Governance der Informationssicherheit | Wie werden Themen der Informationssicherheit verwaltet: geplant, umgesetzt, überprüft und verbessert? |
II. | IT-Werte und Inventur | Wie werden beim Management der IT-Assets, insbesondere bei Daten und Informationen, die Themen der Informationssicherheit berücksichtigt? |
III. | IT-Nutzer und Zugriffsberechtigungen | Wie werden die IT-Nutzer*innen und deren Zugriffsberechtigungen verwaltet (Identity and Access Management)? |
IV. | Physische Sicherheit | Wie ist die physische und umgebungsbezogene Sicherheit im Unternehmen organisiert, überwacht und gesteuert? |
V. | Operativer IT-Betrieb | Wie werden beim operativen IT-Betrieb und bei der Kommunikation im IT-Netzwerk Sicherheitsaspekte berücksichtigt? |
VI. | IT-Auslagerungen, Einkauf & Entwicklung | Wie werden bei Auslagerungen der IT (Outsourcing) und bei der Lieferanten-Auswahl relevante Sicherheitsaspekte berücksichtigt? |
VII. | Notfallvorsorge & Resilienz | Inwieweit ist ein intaktes Incident-Management zur Notfallvorsorge sowie ein Business-Continuity-Management (BCM) Programm aufgesetzt? |
VIII. | Compliance | Wie wird sichergestellt, dass das Unternehmen und der IT-Betrieb allen gesetzlichen, regulatorischen und unternehmensspezifischen Anforderungen entspricht? |
IX. | Messung und Auditierung | Inwieweit ist ein Programm zur regelmäßigen Messung und Überprüfung der Informationssicherheit im Unternehmen etabliert? |
X. | Datenschutz (DS-GVO und BDSG) | Wie werden die Vorgaben und Anforderungen des gesetzlichen Datenschutzes (EU DS-GVO) und des BDSG eingehalten? |
Der Cyber Security-Quick-Check (CSQC) ist ein Werkzeug, das speziell auf Unternehmen mit kleinem IT- und IT-Sicherheitsbudget zugeschnitten ist. Denn auch diese müssen schnell erkennen können, wie es um die eigene Informationssicherheit steht, welche Schlupflöcher Hackerangriffe ermöglichen und was Informationssicherheitsvorfälle für die Fortsetzung des Geschäftsbetriebs bedeuten. Entsprechend brauchen unsere Mandant*innen eine fundierte Grundlage, um zu entscheiden, in welchem Bereich der IT eine Investition in Sicherheitsmaßnahmen sinnvoll ist.
Bewährte und geregelte Vorgehensweise
Anhand der oben genannten zehn Aspekte lassen sich konkrete Anforderungen nach dem bewährten Plan-Do-Check-Act-Ansatz aufstellen. Sie dienen dazu, den individuellen Sicherheitsstatus des Unternehmens zu bewerten. Die folgende Abbildung zeigt die vier Sektoren des Plan-Do-Check-Act-Zyklus.
Im Anwendungsbeispiel für den Aspekt III (IT-Nutzer und Zugriffsberechtigungen) muss
- (Plan): ein Nutzerberechtigungskonzept mit Regelungen und Vorgaben erstellt sein, das fachliche und technische Rollen definiert und diese den IT-Nutzer*innen in Form einer Soll-Übersicht zuordnet,
- (Do): das Umsetzen der Regelungen und Vorgaben des o. g. Konzeptes in Form von Prozessen in der Organisation verankert und umgesetzt sein. Ebenso müssen aktuell vergebene Zugriffsberechtigungen der Soll-Übersicht entsprechen,
- (Check): eine regelmäßige und anlassbezogene Überprüfung der wirksamen Umsetzung (Do) – der Einhaltung von Vorgaben und Regeln und der Befolgung von definierten Prozessen – sowie das Ableiten korrektiver Maßnahmen aus vermeintlichen, identifizierten Nicht-Konformitäten erfolgen,
- (Act): die Umsetzung zielgerichteter Maßnahmen zur kontinuierlichen Verbesserung des Berechtigungsmanagements im Unternehmen erfolgen, also etwa ein regelmäßiger Entzug nicht mehr benötigter Zugriffsrechte und/oder das Löschen von Nutzerkonten ausgeschiedener Mitarbeiter*innen.
Die folgende Abbildung zeigt die Vorgehensweise bei einem Cyber Security-Quick-Check.
Organisation und Durchführung eines Cyber Security-Quick-Check folgen einem definierten Prozess. Dieser umfasst folgende Punkte:
- Einholen einer Selbstauskunft des Schlüsselpersonals zu o. g. Themen und Aspekten der Informationssicherheit anhand eines Fragebogens – inklusive einer ehrlichen Selbsteinschätzung, je Aspekt I. bis X. auf einer Skala von 0 bis 10
- Vorbereiten, Terminieren und Durchführen der Interviews mit den verantwortlichen Schlüsselrollen je o. g. Aspekt der Informationssicherheit (CISO, CIO, CSO, DSB, Legal, HR, etc.)
- Ermitteln unserer Einschätzung basierend auf den Ergebnissen der durchgeführten Interviews sowie Berechnen der geschätzten Reifegrade je Aspekt I. bis X. basierend auf dem P.D.C.A-PrinzipNach nur wenigen Interviews mit den Verantwortlichen für diverse sicherheitsrelevante Themen können wir ohne aufwendige Dokumentations- und Wirksamkeitsprüfungen die Selbsteinschätzung unseren Erfahrungen und Erkenntnissen gegenüberstellen. Danach lässt sich bereits ein erster Näherungswert für den Reifegrad der Informationssicherheit im Unternehmen ermitteln.
- Zusammenstellen und Vorlegen eines Prüfberichts (Kurzbericht) an die Key-Stakeholder des Unternehmens in einem virtuellen Termin
- Ermitteln der vorgeschlagenen korrektiven Maßnahmen für Bereiche der Informationssicherheit mit den als unzureichend bewerteten Reifegraden, basierend auf den Anforderungen des ISO27001 und Empfehlungen aus ISO27002
Aufwand und Preismodell
Die Aufwände für eine solche Untersuchung sind überschaubar und bedürfen lediglich mehrerer, kurzer Interviews mit unseren Mandant*innen. Über alle Rollen und Funktionen hinweg erfordert dies nur wenige Stunden. Forvis Mazars bietet den Cyber Security-Quick-Check zu einem transparenten Festpreis an. Forvis Mazars investiert dabei in die Informationssicherheit der eigenen Mandant*innen. Neben den protokollierten Selbsteinschätzungen der Verantwortlichen für Informationssicherheit erhalten die Mandant*innen die begründeten Einschätzungen unserer auf dem Fachgebiet der Informations- und IT-Sicherheit erfahrenen Berater*innen. Der vorgestellte Prüfbericht (Kurzbericht) rundet den Quick-Check nochmals ab.
Bei einem weiterführenden Mandat könnten konkrete Vorschläge für erforderliche korrektive Maßnahmen entwickelt werden, die nach Aufwand und Nutzen zu bewerten wären. Konsequent könnte daraus ein konkreter Maßnahmenplan entstehen, welcher die Informations- und IT-Sicherheit der Organisation effektiv und nachhaltig stärkt.