Es ist inzwischen jedem IT-Anwender bewusst, dass Angriffe auf IT-Systeme tatsächlich stattfinden und auch „vermeintlich“ weniger attraktive Ziele in den Fokus von Angreifern geraten. Daher sollten besonders professionelle Anwender, die mit vernetzten IT-Systemen arbeiten, neben den selbstverständlich gewordenen Absicherungsmaßnahmen auch IT-Sicherheitstests durchführen, die darauf spezialisiert sind, Angriffsmöglichkeiten zu entdecken.

Der „Cyber-Sicherheits-Check“ hilft dabei, den Status der Cyber-Sicherheit auf Basis der Cyber-Sicherheits-Exposition zu bestimmen und somit aktuellen Bedrohungen aus dem Cyber-Raum wirksam zu begegnen. Grundlage eines jeden Cyber-Sicherheits-Checks sind die vom BSI veröffentlichten Basismaßnahmen der Cyber- Sicherheit

Der zugrundeliegende Leitfaden und die zugrundeliegenden Maßnahmenziele für die Beurteilung wurden so konzipiert, dass das Risiko, einem Cyber-Angriff zum Opfer zu fallen, durch regelmäßige Durchführung eines Cyber-Sicherheits-Checks minimiert werden kann. Dabei wurde die Vorgehensweise auf Cyber-Sicherheits-Belange fokussiert.

Der Cyber-Sicherheits-Check wurde von Sicherheitsexperten aus Wirtschaft und Verwaltung entwickelt.

Als besonders interessanten Mehrwert stellt der Check darüber hinaus eine Zuordnung der zu beurteilenden Maßnahmenziele zu bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO 27001, COBIT, PCI DSS) zur Verfügung.

Vorgehensweise:

Zur Durchführung eines Cyber-Sicherheits-Checks müssen weder die obligatorischen Dokumente zum Sicherheitsprozess existieren, noch muss ein definierter Umsetzungsstatus bestimmter Sicherheitsmaßnahmen erreicht sein. Daher ist es möglich, einen Cyber-Sicherheits-Check in jedem Umfeld und in jedem Stadium des Sicherheitsprozesses zu initiieren.

Zur Risikoersteinschätzung für die zu beurteilende Institution wird vor der Vor-Ort-Beurteilung die Cyber-Sicherheits-Exposition bestimmt. Darauf basierend kann der zu erwartende Zeitaufwand, die Beurteilungstiefe sowie die Wahl der Stichproben risikoorientiert bestimmt werden.

Eine Dokumentensichtung beinhaltet lediglich eine grobe Sichtung der zur Verfügung gestellten Dokumente. Hierbei werden (soweit vorliegend) insbesondere das IT-Rahmenkonzept, die Liste der kritischen Geschäftsprozesse, die Sicherheitsleitlinie und das Sicherheitskonzept inklusive Netzplan beurteilt.

Zur Vorbereitung der Vor-Ort-Beurteilung wird ein Ablaufplan unter Einbeziehung der Cyber-Sicherheits-Exposition erstellt. Dieser stellt dar, welche Inhalte wann beurteilt werden sollen und welche Ansprechpartner (Rollen/Funktionen) hierzu erforderlich sind.

Im Rahmen der Vor-Ort-Beurteilung werden Interviews geführt, IT-Systeme in Augenschein genommen und evtl. weitere Dokumente gesichtet.

Der Cyber-Sicherheits-Check wird mit einem Beurteilungsbericht abgeschlossen. Der Bericht eröffnet einen Überblick zur Cyber-Sicherheit in der Institution und beinhaltet neben der Darlegung der Cyber-Sicherheits-Exposition eine Liste der festgestellten Mängel. Zu jedem Maßnahmenziel wird das jeweilige Beurteilungsergebnis dokumentiert.

Im Bericht werden Empfehlungen zur Behandlung der festgestellten Mängel aufgezeigt. Hieraus kann der Kunde entnehmen, in welchen Bereichen Aktivitäten erforderlich sind, um das Cyber-Sicherheits-Niveau zu erhöhen.

Der Aufwand für einen Cyber-Sicherheits-Check beträgt 3-5 Tage, je nach Unternehmensgröße und Komplexität. Der Check wird von CSP zertifizierten Auditoren durchgeführt.

Zusätzlich können weiterführende interne und externe Penetrationstests mit durchgeführt werden.

Ihr Ansprechpartner

Benedikt Thudium

Benedikt Thudium
+49 (0) 721 35 46 0-33
benedikt.thudium@n-komm.de

Weiterführende Links