Cyber-Sicherheits-Checks
Der Verein ISACA Germany Chapter e.V. und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben 2020 die Version 2 des „Leitfaden Cyber-Sicherheits-Check“ veröffentlicht. Der Leitfaden Cyber-Sicherheits-Check beschreibt die Grundsätze und Vorgehensweise bei der Durchführung der IT-Sicherheitsüberprüfung eines Unternehmens und basiert auf verschiedenen ISACA IT-Prüfstandards. Die fachliche Grundlage bilden die in der Allianz für Cyber-Sicherheit definierten „Basismaßnahmen der Cybersicherheit“.
Ein Cyber-Sicherheits-Check (CSC) ist kein Penetrationstest, d.h. im Rahmen der Prüfung werden keine konkreten Hacking-Angriffe durchgeführt. Der Cyber-Sicherheits-Check ist eher vergleichbar mit einem Informationssicherheits-Audit, allerdings wird die zu prüfende Infrastruktur nicht primär gegen einen Standard wie ISO 27001 oder VdS 10000 geprüft, sondern das tatsächliche Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit der IT-Infrastruktur bewertet. Ein Cyber-Sicherheits-Check setzt deshalb Zugang zu allen relevanten Dokumenten wie Sicherheitskonzepte und Betriebshandbücher sowie zur Konfiguration der kritischen IT-Systeme, z.B. Firewall, Virenschutz, Backup, etc. voraus.
Grundsätze zur Durchführung
Um eine objektive Beurteilung zu gewährleisten, verlangt der ISACA Leitfaden, dass folgende Voraussetzungen eingehalten werden:
- Eine formale Beauftragung des Cyber-Sicherheits-Checks
- Organisatorische und persönliche Unabhängigkeit
- Rechtschaffenheit und Vertraulichkeit
- Fachkompetenz
- Nachweise und Nachvollziehbarkeit
- Objektivität und Sorgfalt
- Sachliche Darstellung
Vorgehensweise bei der Durchführung
Zusätzlich zu den Grundsätzen der Durchführung wird auch die Vorgehensweise im Leitfaden festgelegt.
- Auftragserteilung
- Risikoeinschätzung
- Dokumentensichtung
- Vorbereitung der Vor-Ort-Beurteilung
- Vor-Ort-Beurteilung
- Nachbereitung/Berichtserstellung
Maßnahmenziele
Der Leitfaden Cyber-Sicherheits-Check definiert die Maßnahmenziele A bis N, die bei der Durchführung verbindlich zu beurteilen sind:
- A: Absicherung von Netzübergängen
- B: Abwehr von Schadprogrammen
- C: Inventarisierung der IT-Systeme
- D: Vermeidung von ausnutzbaren Sicherheitslücken
- E: Sichere Interaktion mit dem Internet
- F: Logdatenerfassung und -auswertung
- G: Sicherstellung eines aktuellen Informationsstands
- H: Bewältigung von Sicherheitsvorfällen/Notfällen
- I: Sichere Authentisierung
- J: Gewährleistung der Verfügbarkeit notwendiger Ressourcen
- K: Sensibilisierung und Schulung von Mitarbeitern
- L: Sichere Nutzung sozialer Netze
- M: Durchführung von Penetrationstests
- N: Sicherer Umgang mit Cloud-Anwendungen
Unsere Leistung
Wir führen für Sie einen Cyber-Security-Check nach den Grundsätzen und Vorgaben des Leitfadens Cyber-Sicherheits-Check unter besonderer Berücksichtigung der ISACA Prüfstandards durch. Selbstverständlich finden alle unsere Cyber-Sicherheits-Checks unter der Leitung eines ISO 27001 Lead Auditors bzw. eines zertifizierten ISACA Cyber Security Practitioners statt.
Übrigens, für Kleinstunternehmen und Kleinunternehmen bis 50 Mitarbeitern bieten wir auch einen CyberRisikoCheck nach DIN SPEC 27076 an.