Security-Check
In der IT ist es besonders wichtig, dass Ressourcen an der korrekten Stelle eingesetzt werden. Ein unkontrollierter Einsatz von Ressourcen kann von der Wirkungslosigkeit bis hin zu unnötigen Ausgaben oder unverhältnissmässigem Aufwand führen.
Bevor ein Unternehmen in Aktionismus verwaltet, ist es daher essentiell zunächst nur eine Frage zu klären:
Wo stehe ich?
Die erste Schritt zu solider Cybersicherheit ist es, zu ermitteln "Wo steht mein Unternehmen in Bezug auf Cybersicherheit".
Anschliessend erst erfolgt in einem zweiten Schritt die Klärung der Frage "Wohin will bzw. muss mein Unternehmen in Bezug auf Cybersicherheit".
Erst wenn diese beiden Punkte definiert sind, kann ein Abgleich stattfinden zwischen IST und SOLL-Zustand.
Der IT-Securitycheck
Der IT-Securitycheck klärt die Frage - "wo steht Ihr Unternehmen" im Kontext zu "wohin muss mein Unternehmen". Der Securitycheck zeigt Lücken auf und beschreibt den notwendigen Handlungsbedarf.
Im Gegensatz zum Security-Check nach DIN SPEC 27076, liegt diesem Security-Check das CIS-Framework zu grunde. Dabei werden die 18 Critical Security Controls des CIS-Frameworks abgeprüft; d.h. diese Art des Security-Check ist nicht nur umfassender, sondern hat auch keine Einschränkung in Bezug auf die Anzahl der Mitarbeiter im Unternehmen (Erinnerung: Der Security Check nach DIN SPEC 27076 für Unternehmen mit mehr als 40 Mitarbeitern nicht geeignet).
CIS-IT-Security Check in der Übersicht
Umfassender Check von 18 Critical Security Controls
Klar definierter Rahmen
Geeignet für jedes Unternehmensgrösse
Umfassender Ergebnisbericht inklusive Handlungsempfehlungen
Bearbeitungszeitraum 14 Tage (von der Datenerhebung bis zum Report)
Prüfungspunkte
Inventarisierung und Management der Hardware
Inventarisierung und Management der Software
Datensicherheit und Datenschutz
Sichere Konfiguration
Benutzerverwaltung
Rechteverwaltung
Schwachstellen-Management
Audit Log Management
E-Mail- und Webbrowser-Schutz
Malware-Schutz
Backups
Management der Netzwerkinfrastruktur
Netzwerk-Monitoring
Security Awareness Training
Service Provider Management
Anwendungssoftware-Sicherheit
Incident Response Management
Penetration Testing
Innerhalb der Prüfungspunkte werden unterschiedliche Massnahmen geprüft. Insgesamt werden im CIS-Check in der aktuellen Framework-Version somit bis zu 153 Einzelmassnahmen auditiert. Die Anzahl der Prüfpunkte ergibt sich aus der Unternehmensklassifizierung und der daraus resultierenden Implementierungsgruppe:
IG1 (56 Einzelmassnahmen): Massnahmen der Implementierungsgruppe 1 werden von den CIS Controls als Cyber-Hygiene-Mindeststandard definiert und sind auf jeden Fall von jedem Unternehmen umzusetzen. Dazu gehören insgesamt 56 Einzelmassnahmen, die sie auf fast alle Massnahmenpakete verteilen. In den meisten Fällen handelt es sich dabei um eher kleine Unternehmen mit begrenztem IT-Security-Knowhow und eingeschränkten Ressourcen. Die Einzelmassnahmen sind in so konzipiert, dass sie mit handelsüblicher Hardware und Software insbesondere auch für kleine Unternehmen oder Heimbüros funktionieren.
IG2 (enthält IG1, 130 Einzelmassnahmen): Ein IG2-Unternehmen beschäftigt eigene Mitarbeiter, die für die Verwaltung und den Schutz der IT-Infrastruktur zuständig sind. Solche Unternehmen speichern und verarbeiten häufig sensible Kunden- oder Unternehmensdaten und können kurze Unterbrechungen des Dienstes verkraften. Ein grosses Problem ist der Verlust des öffentlichen Vertrauens, wenn es zu einem Verstoss kommt. Die bei der Implementierungsgruppe 2 ausgewählten Einzelmassnahmen helfen den Sicherheitsteams bei der Bewältigung der erhöhten betrieblichen Komplexität. Einige Schutzmassnahmen erfordern anspruchsvollere Sicherheitstechnologie und spezielles Fachwissen.
IG3 (enthält IG1 und IG2, 153 Einzelmassnahmen): Ein IG3-Unternehmen verfügt über IT-Security-Experten, die auf verschiedene Aspekte der Cybersicherheit spezialisiert sind (z.B. Risikomanagement, Penetrationstests, Anwendungssicherheit). Die verarbeiteten Daten unterliegen dabei häufig regulatorischen Anforderungen, die über den Datenschutz hinausgehen. Das Unternehmen muss die Vertraulichkeit und Integrität sensibler Daten gewährleisten und die Verfügbarkeit von Diensten sicherstellen. Erfolgreiche Angriffe können dem öffentlichen Wohl erheblichen Schaden zufügen. Die für die Implementierungsgruppe 3 ausgewählten Einzelmassnahmen sollen dabei auch gegen gezielte Angriffe hochentwickelter Gegner wirken.