DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Effi­ziente Über­prüfung von IT-Sicher­heits­­­ma­ß­­nahmen – auch für KMUs

Das Bewusstsein über die Bedeutung von Infor­ma­ti­ons­si­cherheit für ein Unter­nehmen hat nicht zuletzt auf­grund der Ent­hül­lungen des NSA-Whis­t­­le­b­­lowers Edward Snowden in den ver­gan­genen Monaten zuge­nommen. Viele Insti­tu­tionen haben spä­testens jetzt erkannt, dass Maß­nahmen zum sicheren Betrieb von IT-Sys­­temen zwingend not­wendig sind.

Geschäfts­führer stehen nun vor der Aufgabe, ent­spre­chende Sicher­heits­kon­zepte auf den Weg zu bringen. Die erste Hürde ist aber häufig bereits die not­wendige Fest­stellung des Ist-Zustandes der Infor­ma­ti­ons­si­cherheit im eigenen Unter­nehmen: Oftmals sind IT-Netze in Insti­tu­tionen „his­to­risch gewachsen“, d.h. nach dem initialen Aufbau eines Netzes wurden Ver­än­de­rungen und Erwei­te­rungen in erster Linie so vor­ge­nommen, dass der lau­fende Betrieb dadurch nicht beein­flusst wurde. Dies führte u.a. zu wach­senden Angriffs­flächen, weil neue Kom­po­nenten nur unzu­rei­chend abge­si­chert wurden oder unüber­sicht­lichen IT-Lan­d­­schaften, weil Modi­fi­ka­tionen nicht doku­men­tiert wurden. Erschwerend kommt hinzu, dass not­wendige Not­fall­kon­zepte im Falle eines solchen Falles häufig min­destens lückenhaft oder gar nicht erst vor­handen sind.

Diese feh­lenden Infor­ma­tionen sorgten bei der Initi­ierung von Sicher­heits­maß­nahmen bisher stets für zusätz­liche Schwie­rig­keiten, denn weder eigene Mit­ar­beiter noch externe Dienst­leister konnten das Niveau der Sicher­heits­maß­nahmen bewerten.

Prüfung nahezu ohne Vorbereitung

Um auch den­je­nigen Unter­nehmen, die kurz­fristig ihre Sicher­heits­maß­nahmen ver­bessern möchten, eine Mög­lichkeit zur Fest­stellung des Status quo zu ermög­lichen, haben das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik und der Verband der IT-Audi­­toren und ‑Revi­soren – ISACA – nun den „Leit­faden Cyber-Sicher­heits-Check“ veröffentlicht.

Hierin ent­halten sind ver­schiedene Kri­terien, anhand derer sowohl interne als auch externe Beur­teiler Sicher­heits­maß­nahmen bewerten können, ohne zwingend auf lückenlose Doku­men­ta­tionen und umfang­reiche Vor­be­rei­tungs­maß­nahmen ange­wiesen zu sein.

Die Bewertung der Infor­ma­ti­ons­si­cherheit im Unter­nehmen erfolgt auf Basis der Cyber-Sicher­heits-Expo­­sition. Hierbei handelt es sich um ein Bewer­tungs­schema, das aus Sicht einer Orga­ni­sation beur­teilt, wie hoch die Gefahr ist, Opfer eines Cyber-Angriffs zu werden. Aus der daraus resul­tie­renden Bedro­hungslage können anschließend Zeit­aufwand, Beur­tei­lungs­tiefe und not­wendige Stich­proben für den Cyber-Sicher­heits-Check ermittelt werden.

Nun steht der Beur­teilung nichts mehr im Wege. Die Ergeb­nisse ver­schie­dener im Leit­faden vor­ge­stellter Beur­tei­lungs­me­thoden unter­stützen den Durch­füh­renden bei der Erstellung eines Abschluss­be­richts. In einem aus­führ­lichen Report erhalten die Auf­trag­geber eine Über­sicht über die im Unter­nehmen vor­lie­genden Sicher­heits­mängel sowie Emp­feh­lungen zur Optimierung.

Der Cyber-Sicher­heits-Check kann somit auch für KMUs von Vorteil sein, um den Sicher­heits­status der eigenen Insti­tution schnell und ohne aus­ufernde Vor­be­rei­tungs­maß­nahmen beur­teilen zu lassen.Den Leit­faden Cyber-Sicher­heits-Check sowie Hin­weise zur dazu­ge­hö­rigen Zer­ti­fi­zierung erhalten Sie über fol­genden Link: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Materialien/CSC/csc.html

Grafik: © DsiN

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Till Kleinert, BSI

Nach Sta­tionen bei der Deutsche Telekom AG und der Krea­tiv­agentur Sapient Nitro arbeitet Till Kleinert seit 2012 für das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik. Dort befasst er sich im Rahmen der Allianz für Cyber-Sicherheit mit redak­tio­nellen Auf­gaben für ver­schiedene Online Kanäle und ins­be­sondere die Web­seite www.allianz-fuer-cybersicherheit.de.

Die Initiative hat es sich zum Ziel gesetzt, deutsche Insti­tu­tionen mit­hilfe ver­schie­dener Angebote beim Schutz vor Cyber-Angriffen zu unterstützen.
Hierfür orga­ni­siert die Allianz für Cyber-Sicherheit regel­mäßig Infor­ma­ti­ons­ver­an­stal­tungen und ver­öf­fent­licht Infor­ma­tionen, z.B. in Form von Good-Practice-Guides oder Malware-Signaturen.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.