Cyber-Sicherheits-Check in der Kernverwaltung sowie in den Eigen- und Beteiligungsgesellschaften

veröffentlicht am 9. April 2015

Das Bundesamt für Sicherheit in der Informationstechnik hat gemeinsam mit der ISACA (Germany Chapter e.V.) einen Leitfaden „Cyber-Sicherheits-Check” veröffentlicht. Mit diesem, aus unserer Sicht mehr als sinnvollen Leitfaden sollen die Unternehmen und die öffentliche Verwaltung in die Lage versetzt werden, ihren eigenen spezifischen Status quo in Sachen Cyber Security beurteilen zu können. Aus heutiger Sicht mehr als empfehlenswert.

Uns wird allen bewusst: Die Bedrohungen aus der stetig steigenden Vernetzung sind real. Es ist inzwischen egal, aus welchem Antrieb heraus Angreifer Schaden anzurichten versuchen und es ist auch egal, wie unwahrscheinlich ein solcher Angriff möglicherweise ist. Aus heutiger Sicht sind die Täter unkalkulierbar, der Eintritt ist ebenso wenig kalkulierbar, aber die Auswirkungen können fatal sein. Stillstand, Datenverlust, Vertrauensverlust!

Vor diesem Hintergrund ist die eigene Cyber-Sicherheits-Positionsbestimmung extrem wichtig. Wie gut ist die Kommune bzw. wie gut ist die Eigen- und Beteiligungsgesellschaft in Bezug auf Angriffe vorbereitet?

Eine für diese Fragestellung sehr gute Arbeitsgrundlage ist der Cyber-Sicherheits-Check des Bundesamtes für Sicherheit in der Informationstechnik und der ISACA Germany Chapter e.V. Der Cyber-Sicherheits-Check hilft dabei, den Status der Cyber-Sicherheit auf Basis der Cyber-Sicherheits-Exposition zu bestimmen und somit aktuellen Bedrohungen aus dem Cyber-Raum wirksam zu begegnen.

Mithilfe eines Cyber-Sicherheits-Checks können Kommunen sowie deren Eigen- und Beteiligungsgesellschaften das aktuelle Niveau der Cybersicherheit in ihrer Institution bestimmen. Der Leitfaden und die zugrunde liegenden Maßnahmenziele für die Beurteilung sind so konzipiert, dass das Risiko, einem Cyber-Angriff zum Opfer zu fallen, durch die regelmäßige Durchführung des Cyber-Sicherheits-Checks minimiert werden kann.

Als sogenannte dritte Verteidigungslinie vor Angriffen aus dem Netz sollte der Cyber-Sicherheits-Check zum Einsatz kommen, durch den eine unabhängige und objektive Beurteilung des vorhandenen Sicherheitsniveaus erfolgt.

Mitarbeiter von Rödl & Partner sind in der Anwendung dieses Checks ausgebildet und zertifiziert. Wir können somit als neutraler externer Beurteiler in der Positionsbestimmung zur Cyber-Sicherheit unterstützen. Doch wie muss man sich das vorstellen?¹

1. Auftragserteilung

Sie können jederzeit beginnen. Zur Durchführung eines Cyber-Sicherheits-Checks muss weder ein Sicherheitsprozess existieren, noch muss ein definierter Umsetzungsstatus erreicht sein. Es ist möglich, einen Cyber-Sicherheits-Check zu jeder Zeit zu initiieren und – sehr sinnvoll – regelmäßig zu wiederholen.

2. Bestimmung der Cyber-Sicherheits-Exposition

Zur Risikoersteinschätzung wird die sogenannte „Cyber-Sicherheits-Exposition” bestimmt. Darauf basierend werden der zu erwartende Zeitaufwand, die Beurteilungstiefe sowie die Wahl der Stichproben risikoorientiert bestimmt.

3. Dokumentensichtung

Die Dokumentensichtung dient dazu, effizient einen Überblick über die Aufbau- und Ablauforganisation sowie die IT-Infrastrukturen der Kommune bzw. der Eigen- und Beteiligungsgesellschaft zu gewinnen. Hierbei werden (soweit vorliegend) insbesondere das IT-Rahmenkonzept, die Liste der kritischen Verwaltungs- und Geschäftsprozesse, die Sicherheitsleitlinie und das Sicherheitskonzept inklusive Netzplan beurteilt.

4. Vorbereitung der Vor-Ort-Beurteilung

Zur Vorbereitung der Vor-Ort-Beurteilung wird ein Ablaufplan unter Einbeziehung der Cyber-Sicherheits-Exposition erstellt. Dieser stellt dar, welche Inhalte wann beurteilt werden sollen und welche Ansprechpartner (Rollen/Funktionen) hierzu erforderlich sind.

5. Vor-Ort-Beurteilung

Die Vor-Ort-Beurteilung selbst beginnt mit einem Eröffnungsgespräch und endet mit einem Abschlussgespräch. Im Eröffnungsgespräch werden Vorgehensweise und Zielrichtung des Cyber-Sicherheits-Checks erläutert. Im Rahmen der Vor-Ort-Beurteilung werden Interviews geführt, IT-Systeme in Augenschein genommen und evtl. weitere Dokumente gesichtet. Die zu beurteilenden Stichproben (z. B. Dokumente, IT-Systeme) und die festgestellten Sachverhalte werden detailliert dokumentiert. Im Abschlussgespräch, an dem auch die Verwaltungsführung bzw. Unternehmensleitung teilnehmen sollte, wird eine erste allgemeine Einschätzung zum Niveau der Cyber-Sicherheit gegeben. Darüber hinaus werden schwerwiegende Sicherheitsmängel, die die Cyber-Sicherheit unmittelbar stark gefährden und deshalb zeitnah behandelt werden sollten, offengelegt.

6. Nachbereitung/Berichterstellung

Der Cyber-Sicherheits-Check wird mit einem Beurteilungsbericht abgeschlossen. Der Bericht eröffnet einen Überblick zur Cyber-Sicherheit und beinhaltet neben der Darlegung der Cyber-Sicherheits-Exposition eine Liste der festgestellten Mängel. Im Bericht werden allgemeine Empfehlungen zur Behandlung dieser Mängel aufgezeigt.

Einen besonders interessanten Mehrwert stellt darüber hinaus die Zuordnung der zu beurteilenden Maßnahmenziele zu bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO 27001, COBIT, PCI DSS) dar. Auf dieser Basis kann als Mehrwert abgeschätzt werden, welchen Reifegrad die Institution in Bezug auf diese Zertifizierungen aufweist.

Wenn Sie Interesse an einem solchen Cyber-Sicherheits-Check haben, sind wir der richtige Ansprechpartner für Sie. Unsere als Cyber-Security-Practitioner (CSP) zertifizierten MitarbeiterInnen werden Sie gerne bei der Umsetzung der 3. Verteidigungslinie unterstützen.

____________________________________

¹ In Anlehnung an die Ausführungen des Leitfadens-Cyber-Sicherheits-Check unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/materialien/schulung/leitfaden.pdf?__blob=publicationFile