Audits, Revision, Checkups, Penetrationstest

Im Rahmen der Zertifizierungsvorbereitung obligatorisch, ansonsten empfehlenswert: Im Rahmen einer strukturierten Herangehensweise an die Informationssicherheit steht an erster Stelle eine strukturierte und umfassende Risikoanalyse. Hierbei sehen wir ein zweistufiges Verfahren vor. Zum einen evaluieren wir das Risiko in Kombination mit der ISO 27001. Hierzu wird der Stand der aktuellen Risikosituation im Haus erfasst und bewertet. Zum anderen werden im Rahmen der Risikoanalyse die Anforderungen der unternehmensinternen Prozesse an Schutzziele und die Bedeutung der einzelnen unternehmensinternen Prozesse für das Unternehmen evaluiert.

Die Ergebnisse der Risikoanalyse werden im Rahmen eines übersichtlichen Berichtes zur Verfügung gestellt und können so ebenfalls in die nächsten Schritte im Rahmen eines Aufbaus eines Managementsystems einfließen.

Im zweiten Schritt beim Aufbau eines Managementsystems sind die von der Organisation verfolgten Ziele zu ermitteln und festzulegen. Anhand der evaluierten Ziele kann die Organisation, unter Zuhilfenahme der Risikoanalyse, den erwünschten Grad des Managementsystems ermitteln.
Um Unternehmen bei dem Zielfindungsprozess und der Festlegung eines Zielniveaus des Managementsystems zu unterstützen, haben wir den Sicherheitsziel-Workshop entwickelt. Dieser stellt sicher, dass nicht nur das Anspruchsniveau der Unternehmensleitung erfasst und dokumentiert wird, sondern auch die Anspruchsniveaus aller für das Unternehmen relevanter Stakeholder ermittelt, bewertet und in die Zielvorstellung des Unternehmens eingearbeitet werden.

Als Ergebnis des Sicherheits-Zielworkshops steht ein erarbeitetes Zielniveau für ein unternehmensweites Managementsystem, welches die Anforderungen aller für das Unternehmen relevanten Stakeholder berücksichtigt. Ebenfalls Ergebnis dieses Zielworkshops ist, auf Grundlage des bestimmten Zielniveaus, Anforderungen an die Leistungsvereinbarungen (Service Level-Agreements (SLAs)) im Rahmen des Managementsystems vorzugeben, sodass sichergestellt werden kann, dass das gewünschte Zielniveau nicht vor der eigenen Haustür endet und auch Dienstleister ihren Teil zur Erreichung des Zielniveaus beitragen.

Zu Beginn des Aufbaus eines Informationssicherheits-Managementsystems – und sodann regelmäßig – sollte der Status quo im Hinblick auf die Informationssicherheit festgestellt werden. Hierbei orientieren wir uns, unabhängig davon, ob eine Zertifizierung angestrebt wird, an der ISO 27002. Mit Hilfe unseres Analyse-Tools „UTAB“ (UIMC-Tool zur Analyse und Berichterstellung) werden die Anforderungen abgeprüft und Schwachstellen erkannt.

Ergebnis #1: Status-Quo-Darstellung

Das Ergebnis wird in einem Status-Quo-Bericht mit Positiv- und Negativbefunden zusammengefasst. Für einen schnellen Einstieg befindet sich eine Management Summary mit farblicher Ampelkennzeichnung zu Beginn des Dokuments. Eine quantitative Auswertung ermöglicht nicht nur eine zusammenfassende grafische Darstellung der Erhebungsergebnisse, sondern auch die Möglichkeit des Benchmarkings (z. B. Vergleich verschiedener Unternehmensbereiche) und der Trendanalyse, um den Fortschritt im Zeitverlauf zu erkennen.

Ergebnis #2: Maßnahmenplanung

Die vorgeschlagenen Maßnahmen zur Schwachstellenbeseitigung werden durch die UIMC innerhalb einer Aktivitätenliste so vorpriorisiert, dass eine sukzessive Abarbeitung der Schwachstellen festgelegt werden kann. Dies ist erforderlich, weil Erfahrungswerte zeigen, dass ein gleichzeitiges Beseitigen verschiedenster Schwachstellen u. a. aus Effizienz-, Akzeptanz- und Effektivitätsgründen nicht sinnvoll ist.

Um möglichen Gefährdungen entgegenzuwirken und vorzubeugen, sind Maßnahmen zur kontinuierlichen Verbesserung der IT-Sicherheit zu ergreifen. Sicherheit definiert sich durch Sicherheitsorganisation und Eskalationsvorschriften, technische und  organisatorische Maßnahmen, wie Zugriffsschutzmechanismen und Mitarbeitersensibilisierung, Verschlüsselung und Firewallsysteme, mit dem Ziel, ein bestimmtes IT-Sicherheitsniveau zu etablieren. Diese und weitere Aspekte sollten in einer unternehmensweiten IT-Sicherheitsleitlinie („IT-Security Policy“) bzw. in einem organisationsweiten IT-Sicherheitskonzept zusammengeführt werden.

Ein Penetrationstest ist ein (umfassender) Sicherheitstest einzelner Rechner oder ganzer Netzwerke. Anders als bei unserem Informationssicherheits-Checkup wird hierbei nicht die Organisation, sondern vielmehr die technische Umsetzung von Sicherheitsmaßnahmen dahingehend geprüft, ob Schwachstellen existieren, die zum „Einbruch“ genutzt werden können. Hierbei werden Methoden und Tools genutzt, die ein potentieller Angreifer (oft „Hacker“ genannt) nutzen könnte, um unautorisiert in das System einzudringen.

Die Analyse kann auch in Form eines Workshops durch einen Berater moderiert werden, der mediatorisch in Diskussionen eingreifen und Erfahrungen aus anderen Institutionen einbringen kann. So können relevante Themengebiete auch tiefergehend diskutiert und geprüft werden. Fehlbewertungen aufgrund unzureichender Erfahrungen und Kenntnisse können so vermieden werden.

Die Ergebnisse der ersten Ist-Analyse sollten regelmäßig überprüft werden. Dies berücksichtigt nicht nur technische und rechtliche Änderungen, sondern auch Veränderungen innerhalb des Unternehmens. Nur durch eine regelmäßige Auditierung kann eine nachhaltige Umsetzung gewährleistet werden.

Durch regelmäßige Abstimmungen wird der Status quo kontinuierlich verbessert und dokumentiert. Des Weiteren können wir Revisionspläne erstellen und in einem definierten Turnus die verschiedenen Bereiche prüfen. In unserem „UIMClient“ können dann Checkup- und Revisionsergebnisse sowie laufende Vorgänge zusammenfassend aufbereitet werden. So haben Sie als fachlicher Ansprechpartner oder als Entscheider einen guten Überblick über die aktuelle Situation.

Sie wollen die Analyse (beispielsweise als Datenschutzbeauftragter) selbst durchführen? Kein Problem, Sie können unser Analyse-Tool als installierbare Software lizenzieren, die einen Fragenkatalog enthält und Sie sukzessive durch die Befragung führt. Es sind Hilfefunktionen (wie bspw. „Glossar“, „Flags”) integriert, die die Erhebung und Auswertung vereinfachen.