Cyber-Sicherheits-Check hilft, die eigene Position zu bestimmen!

Schnell gelesen

Das Bundesamt für Sicherheit in der Informationstechnik hat gemeinsam mit der ISACA (Germany Chapter e.V.) einen Leitfaden „Cyber-Sicherheits-Check” veröffentlicht. Mit diesem, aus unserer Sicht mehr als sinnvollen Leitfaden sollen die Unternehmen in die Lage versetzt werden, ihren eigenen spezifischen Status quo in Sachen Cyber Security beurteilen zu können. Aus heutiger Sicht mehr als empfehlenswert.

Uns wird allen bewusst: Die Bedrohungen aus der stetig steigenden Vernetzung sind real. Es ist inzwischen egal, aus welchem Antrieb heraus Angreifer Schaden anzurichten versuchen und es ist auch egal, wie unwahrscheinlich ein solcher Angriff möglicherweise ist. Aus heutiger Sicht sind die Täter unkalkulierbar, der Eintritt ist ebenso wenig kalkulierbar, aber die Auswirkungen können fatal sein. Wirtschaftsspionage, Betriebsstillstand, Datenverlust, Vertrauensverlust!

Vor diesem Hintergrund ist die eigene Cyber-Sicherheits-Positionsbestimmung extrem wichtig. Wie gut ist das Unternehmen in Bezug auf Angriffe vorbereitet?

Eine für diese Fragestellung sehr gute Arbeitsgrundlage ist der Cyber-Sicherheits-Check des Bundesamtes für Sicherheit in der Informationstechnik und der ISACA Germany Chapter e.V. Der Cyber-Sicherheits-Check hilft dabei, den Status der Cyber-Sicherheit auf Basis der Cyber-Sicherheits-Exposition zu bestimmen und somit aktuellen Bedrohungen aus dem Cyber-Raum wirksam zu begegnen.

Mithilfe eines Cyber-Sicherheits-Checks können Unternehmen das aktuelle Niveau der Cybersicherheit bestimmen. Der Leitfaden und die zugrunde liegenden Maßnahmenziele für die Beurteilung sind so konzipiert, dass das Risiko, einem Cyber-Angriff zum Opfer zu fallen, durch die regelmäßige Durchführung des Cyber-Sicherheits-Checks minimiert werden kann.

Als sog. dritte Verteidigungslinie vor Angriffen aus dem Netz sollte der Cyber-Sicherheits-Check zum Einsatz kommen, durch den eine unabhängige und objektive Beurteilung des vorhandenen Sicherheitsniveaus erfolgt.

Mitarbeiter von Rödl & Partner sind in der Anwendung dieses Checks ausgebildet und zertifiziert. Wir können somit als neutraler externer Beurteiler in der Positionsbestimmung zur Cyber-Sicherheit unterstützen. Doch wie muss man sich das vorstellen?¹

1. Auftragserteilung

Sie können jederzeit beginnen. Zur Durchführung eines Cyber-Sicherheits-Checks muss weder ein Sicherheitsprozess existieren, noch muss ein definierter Umsetzungsstatus erreicht sein. Es ist möglich, einen Cyber-Sicherheits-Check zu jeder Zeit zu initiieren und – sehr sinnvoll – regelmäßig zu wiederholen.

2. Bestimmung der Cyber-Sicherheits-Exposition

Zur Risikoersteinschätzung wird die sogenannte „Cyber-Sicherheits-Exposition” bestimmt. Darauf basierend werden der zu erwartende Zeitaufwand, die Beurteilungstiefe sowie die Wahl der Stichproben risikoorientiert bestimmt.

3. Dokumentensichtung

Die Dokumentensichtung dient dazu, effizient einen Überblick über die Aufbau- und Ablauforganisation sowie die IT-Infrastrukturen im Unternehmen zu gewinnen. Hierbei werden (soweit vorliegend) insbesondere das IT-Rahmenkonzept, die Liste der kritischen Geschäftsprozesse, die Sicherheitsleitlinie und das Sicherheitskonzept inklusive Netzplan beurteilt.

4. Vorbereitung der Vor-Ort-Beurteilung

Zur Vorbereitung der Vor-Ort-Beurteilung wird ein Ablaufplan unter Einbeziehung der Cyber-Sicherheits-Exposition erstellt. Dieser stellt dar, welche Inhalte wann beurteilt werden sollen und welche Ansprechpartner (Rollen/Funktionen) hierzu erforderlich sind.

5. Vor-Ort-Beurteilung

Die Vor-Ort-Beurteilung selbst beginnt mit einem Eröffnungsgespräch und endet mit einem Abschlussgespräch. Im Eröffnungsgespräch werden Vorgehensweise und Zielrichtung des Cyber-Sicherheits-Checks erläutert. Im Rahmen der Vor-Ort-Beurteilung werden Interviews geführt, IT-Systeme in Augenschein genommen und evtl. weitere Dokumente gesichtet. Die zu beurteilenden Stichproben (z. B. Dokumente, IT-Systeme) und die festgestellten Sachverhalte werden detailliert dokumentiert. Im Abschlussgespräch, an dem auch die Unternehmensleitung teilnehmen sollte, wird eine erste allgemeine Einschätzung zum Niveau der Cyber-Sicherheit gegeben. Darüber hinaus werden schwerwiegende Sicherheitsmängel, die die Cyber-Sicherheit unmittelbar stark gefährden und deshalb zeitnah behandelt werden sollten, offengelegt.

6. Nachbereitung/Berichterstellung

Der Cyber-Sicherheits-Check wird mit einem Beurteilungsbericht abgeschlossen. Der Bericht eröffnet einen Überblick zur Cyber-Sicherheit und beinhaltet neben der Darlegung der Cyber-Sicherheits-Exposition eine Liste der festgestellten Mängel. Im Bericht werden allgemeine Empfehlungen zur Behandlung dieser Mängel aufgezeigt.

Einen besonders interessanten Mehrwert stellt darüber hinaus die Zuordnung der zu beurteilenden Maßnahmenziele zu bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO 27001, COBIT, PCI DSS) dar. Auf dieser Basis kann als Mehrwert abgeschätzt werden, welchen Reifegrad die Institution in Bezug auf diese Zertifizierungen aufweist.

Wenn Sie Interesse an einem solchen Cyber-Sicherheits-Check haben, sind wir der richtige Ansprechpartner für Sie. Unsere als Cyber-Security-Practitioner (CSP) zertifizierten MitarbeiterInnen werden Sie gerne bei der Umsetzung der 3. Verteidigungslinie unterstützen.

¹In Anlehnung an die Ausführungen des Leitfadens-Cyber-Sicherheits-Check unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/leitfaden.html?nn=6644004

Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht“

Sollten Sie auch künftig an – für Sie kostenlosen – Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht” interessiert sein, füllen Sie bitte das folgende Kontaktformular aus.

Pflichtfelder sind mit * gekennzeichnet.

Anrede
Titel
Vorname
Nachname
Position
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *

Datenschutzerklärung *Ich stimme der Nutzung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung ausdrücklich zu.

Helfen Sie uns, Spam zu bekämpfen.

Bitte angezeigten Code einfügen:

Anderen Code generieren

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Themenspecial: Employer of Record – ein Länderüberblick zu Chancen und Grenzen » |

Cyber-Sicherheits-Check hilft, die eigene Position zu bestimmen!

Schnell gelesen

1. Auftragserteilung

2. Bestimmung der Cyber-Sicherheits-Exposition

3. Dokumentensichtung

4. Vorbereitung der Vor-Ort-Beurteilung

5. Vor-Ort-Beurteilung

6. Nachbereitung/Berichterstellung

Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht“

Kontakt

Wir beraten Sie gern!

Themenspecial: Employer of Record – ein Länderüberblick zu Chancen und Grenzen » |

Cyber-Sicherheits-Check hilft, die eigene Position zu bestimmen!

​Schnell gelesen

1. Auftragserteilung

2. Bestimmung der Cyber-Sicherheits-Exposition

3. Dokumentensichtung

4. Vorbereitung der Vor-Ort-Beurteilung

5. Vor-Ort-Beurteilung

6. Nachbereitung/Berichterstellung

Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht“

Kontakt

Wir beraten Sie gern!

Schnell gelesen