Infobüro für Unternehmen Aachen

Effiziente Überprüfung von IT-Sicherheitsmaßnahmen – auch für KMUs

Das Bewusstsein über die Bedeutung von Informationssicherheit für ein Unternehmen hat in den vergangenen Monaten zugenommen. Viele Institutionen haben spätestens jetzt erkannt, dass Maßnahmen zum sicheren Betrieb von IT-Systemen zwingend notwendig sind.

Geschäftsführer stehen nun vor der Aufgabe, entsprechende Sicherheitskonzepte auf den Weg zu bringen. Die erste Hürde ist aber häufig bereits die notwendige Feststellung des Ist-Zustandes der Informationssicherheit im eigenen Unternehmen: Oftmals sind IT-Netze in Institutionen „historisch gewachsen“, d.h. nach dem initialen Aufbau eines Netzes wurden Veränderungen und Erweiterungen in erster Linie so vorgenommen, dass der laufende Betrieb dadurch nicht beeinflusst wurde. Dies führte u.a. zu wachsenden Angriffsflächen, weil neue Komponenten nur unzureichend abgesichert wurden oder unübersichtlichen IT-Landschaften, weil Modifikationen nicht dokumentiert wurden. Erschwerend kommt hinzu, dass notwendige Notfallkonzepte im Falle eines solchen Falles häufig mindestens lückenhaft oder gar nicht erst vorhanden sind.

Diese fehlenden Informationen sorgten bei der Initiierung von Sicherheitsmaßnahmen bisher stets für zusätzliche Schwierigkeiten, denn weder eigene Mitarbeiter noch externe Dienstleister konnten das Niveau der Sicherheitsmaßnahmen bewerten.

Prüfung nahezu ohne Vorbereitung

Um auch denjenigen Unternehmen, die kurzfristig ihre Sicherheitsmaßnahmen verbessern möchten, eine Möglichkeit zur Feststellung des Status quo zu ermöglichen, haben das Bundesamt für Sicherheit in der Informationstechnik und der Verband der IT-Auditoren und -Revisoren – ISACA – nun den „Leitfaden Cyber-Sicherheits-Check“ veröffentlicht.

Hierin enthalten sind verschiedene Kriterien, anhand derer sowohl interne als auch externe Beurteiler Sicherheitsmaßnahmen bewerten können, ohne zwingend auf lückenlose Dokumentationen und umfangreiche Vorbereitungsmaßnahmen angewiesen zu sein.

Die Bewertung der Informationssicherheit im Unternehmen erfolgt auf Basis der Cyber-Sicherheits-Exposition. Hierbei handelt es sich um ein Bewertungsschema, das aus Sicht einer Organisation beurteilt, wie hoch die Gefahr ist, Opfer eines Cyber-Angriffs zu werden. Aus der daraus resultierenden Bedrohungslage können anschließend Zeitaufwand, Beurteilungstiefe und notwendige Stichproben für den Cyber-Sicherheits-Check ermittelt werden.

Nun steht der Beurteilung nichts mehr im Wege. Die Ergebnisse verschiedener im Leitfaden vorgestellter Beurteilungsmethoden unterstützen den Durchführenden bei der Erstellung eines Abschlussberichts. In einem ausführlichen Report erhalten die Auftraggeber eine Übersicht über die im Unternehmen vorliegenden Sicherheitsmängel sowie Empfehlungen zur Optimierung.

Der Cyber-Sicherheits-Check kann somit auch für KMUs von Vorteil sein, um den Sicherheitsstatus der eigenen Institution schnell und ohne ausufernde Vorbereitungsmaßnahmen beurteilen zu lassen. Hier finden Sie den

Leitfaden-Cyber-Sicherheits-Check (auch die englische Version) und
den Musterbericht Cyber-Sicherheits-Check.

Quelle: DsiN-Blog

Publiziert am 03.12.2014