Cyber Security-Quick-Check

Laut Umfragen wurden schon mehr als zwei Drittel aller Unternehmen in Deutschland Opfer von Cyberangriffen. Für alle anderen gilt höchstwahrscheinlich: „Sie wissen es nur noch nicht.“ Um die wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – dauerhaft aufrecht erhalten zu können, bedarf es effektiver und zeitgemäßer Sicherheitskonzepte. Als Orientierung dienen die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Maßnahmen des IT-Grundschutzes oder die der internationalen Norm ISO 27001.

In der Theorie gelten beide Standards bei den meisten Informations- und IT-Sicherheitsexperten als „Best-in-Class“ und „State-of-the-Art“. In der Praxis aber erweisen sie sich oft als sehr umfangreich, komplex und dokumentationsintensiv, um nicht zu sagen: „bürokratisch“. Daher gestalten viele privatwirtschaftliche und gewinnorientierte Unternehmen ihr Informationssicherheitsmanagementsystem (ISMS) oft nur in Anlehnung an die oben genannten Standards. Das mag grundsätzlich ausreichen, solange es den regulatorischen und/oder branchenspezifischen Vorgaben an die Informationssicherheit genügt. Doch sollte man in jedem Fall mindestens die folgenden zehn Aspekte beachten:

Der Cyber Security-Quick-Check (CSQC) ist ein Werkzeug, das speziell auf Unternehmen mit kleinem IT- und IT-Sicherheitsbudget zugeschnitten ist. Denn auch diese müssen schnell erkennen können, wie es um die eigene Informationssicherheit steht, welche Schlupflöcher Hackerangriffe ermöglichen und was Informationssicherheitsvorfälle für die Fortsetzung des Geschäftsbetriebs bedeuten. Entsprechend brauchen unsere Mandant*innen eine fundierte Grundlage, um zu entscheiden, in welchem Bereich der IT eine Investition in Sicherheitsmaßnahmen sinnvoll ist.

Bewährte und geregelte Vorgehensweise

Anhand der oben genannten zehn Aspekte lassen sich konkrete Anforderungen nach dem bewährten Plan-Do-Check-Act-Ansatz aufstellen. Sie dienen dazu, den individuellen Sicherheitsstatus des Unternehmens zu bewerten. Die folgende Abbildung zeigt die vier Sektoren des Plan-Do-Check-Act-Zyklus.

Im Anwendungsbeispiel für den Aspekt III (IT-Nutzer und Zugriffsberechtigungen) muss

• (Plan): ein Nutzerberechtigungskonzept mit Regelungen und Vorgaben erstellt sein, das fachliche und technische Rollen definiert und diese den IT-Nutzer*innen in Form einer Soll-Übersicht zuordnet,
• (Do): das Umsetzen der Regelungen und Vorgaben des o. g. Konzeptes in Form von Prozessen in der Organisation verankert und umgesetzt sein. Ebenso müssen aktuell vergebene Zugriffsberechtigungen der Soll-Übersicht entsprechen,
• (Check): eine regelmäßige und anlassbezogene Überprüfung der wirksamen Umsetzung (Do) – der Einhaltung von Vorgaben und Regeln und der Befolgung von definierten Prozessen – sowie das Ableiten korrektiver Maßnahmen aus vermeintlichen, identifizierten Nicht-Konformitäten erfolgen,
• (Act): die Umsetzung zielgerichteter Maßnahmen zur kontinuierlichen Verbesserung des Berechtigungsmanagements im Unternehmen erfolgen, also etwa ein regelmäßiger Entzug nicht mehr benötigter Zugriffsrechte und/oder das Löschen von Nutzerkonten ausgeschiedener Mitarbeiter*innen.

Die folgende Abbildung zeigt die Vorgehensweise bei einem Cyber Security-Quick-Check.

Organisation und Durchführung eines Cyber Security-Quick-Check folgen einem definierten Prozess. Dieser umfasst folgende Punkte:

1. Einholen einer Selbstauskunft des Schlüsselpersonals zu o. g. Themen und Aspekten der Informationssicherheit anhand eines Fragebogens – inklusive einer ehrlichen Selbsteinschätzung, je Aspekt I. bis X. auf einer Skala von 0 bis 10
2. Vorbereiten, Terminieren und Durchführen der Interviews mit den verantwortlichen Schlüsselrollen je o. g. Aspekt der Informationssicherheit (CISO, CIO, CSO, DSB, Legal, HR, etc.)
3. Ermitteln unserer Einschätzung basierend auf den Ergebnissen der durchgeführten Interviews sowie Berechnen der geschätzten Reifegrade je Aspekt I. bis X. basierend auf dem P.D.C.A-PrinzipNach nur wenigen Interviews mit den Verantwortlichen für diverse sicherheitsrelevante Themen können wir ohne aufwendige Dokumentations- und Wirksamkeitsprüfungen die Selbsteinschätzung unseren Erfahrungen und Erkenntnissen gegenüberstellen. Danach lässt sich bereits ein erster Näherungswert für den Reifegrad der Informationssicherheit im Unternehmen ermitteln.
4. Zusammenstellen und Vorlegen eines Prüfberichts (Kurzbericht) an die Key-Stakeholder des Unternehmens in einem virtuellen Termin
5. Ermitteln der vorgeschlagenen korrektiven Maßnahmen für Bereiche der Informationssicherheit mit den als unzureichend bewerteten Reifegraden, basierend auf den Anforderungen des ISO27001 und Empfehlungen aus ISO27002

Aufwand und Preismodell

Die Aufwände für eine solche Untersuchung sind überschaubar und bedürfen lediglich mehrerer, kurzer Interviews mit unseren Mandant*innen. Über alle Rollen und Funktionen hinweg erfordert dies nur wenige Stunden. Mazars bietet den Cyber Security-Quick-Check zu einem transparenten Festpreis an. Mazars investiert dabei in die Informationssicherheit der eigenen Mandant*innen. Neben den protokollierten Selbsteinschätzungen der Verantwortlichen für Informationssicherheit erhalten die Mandant*innen die begründeten Einschätzungen unserer auf dem Fachgebiet der Informations- und IT-Sicherheit erfahrenen Berater*innen. Der vorgestellte Prüfbericht (Kurzbericht) rundet den Quick-Check nochmals ab.

Bei einem weiterführenden Mandat könnten konkrete Vorschläge für erforderliche korrektive Maßnahmen entwickelt werden, die nach Aufwand und Nutzen zu bewerten wären. Konsequent könnte daraus ein konkreter Maßnahmenplan entstehen, welcher die Informations- und IT-Sicherheit der Organisation effektiv und nachhaltig stärkt.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an