Cyber-Sicherheits-Check
Die ISACA Germany Chapter e.V. und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben 2020 die Version 2 des „Leitfaden Cyber-Security-Check“ veröffentlicht.
Der Leitfaden Cyber-Sicherheits-Check beschreibt dabei die Grundsätze und Vorgehensweise bei der Durchführung der IT-Sicherheitsüberprüfung eines Unternehmens und basiert auf verschiedenen ISACA IT-Prüfstandards.
Ein Cyber-Sicherheits-Check (CSC) ist kein Penetrationstest.
Im Rahmen der Prüfung werden keine konkreten Hacking-Angriffe durchgeführt.
Der CSC ist vergleichbar mit einem Informationssicherheits-Audit, allerdings wird die zu prüfende Infrastruktur nicht primär gegen einen Standard wie ISO 27001 oder VdS 10000 geprüft, sondern das tatsächliche Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit der IT-Infrastruktur bewertet.
Der CSC setzt deshalb Zugang zu allen relevanten Dokumenten wie Sicherheitskonzepten und Betriebshandbüchern zur Konfiguration der kritischen IT-Systeme, z.B. Firewall, Virenschutz, Backup, etc. voraus.
Grundsätze zur Durchführung
Um eine objektive Beurteilung zu gewährleisten, verlangt der ISACA Leitfaden, dass folgende Voraussetzungen eingehalten werden:
- Eine formale Beauftragung des Cyber-Sicherheits-Checks
- Organisatorische und persönliche Unabhängigkeit
- Rechtschaffenheit und Vertraulichkeit
- Fachkompetenz
- Nachweise und Nachvollziehbarkeit
- Objektivität und Sorgfalt
- Sachliche Darstellung
Vorgehensweise bei der Durchführung
Zusätzlich zu den Grundsätzen der Durchführung wird auch die Vorgehensweise im Leitfaden festgelegt.
- Auftragserteilung
- Risikoeinschätzung
- Dokumentensichtung
- Vorbereitung der Vor-Ort-Beurteilung
- Vor-Ort-Beurteilung
- Nachbereitung/ Berichterstellung
Maßnahmenziele
Der BSI Leitfaden Cyber-Sicherheits-Check definiert die Maßnahmenziele A bis N, die bei der Durchführung verbindlich zu beurteilen sind:
A – Absicherung von Netzübergängen
B – Abwehr von Schadprogrammen
C – Inventarisierung der IT-Systeme
D – Vermeidung von ausnutzbaren Sicherheitslücken
E – Sichere Interaktion mit dem Internet
F – Logdatenerfassung und -auswertung
G – Sicherstellung eines aktuellen Informationsstandards
H – Bewältigung von Sicherheitsvorfällen/ Notfällen
I – Sichere Authentisierung
J – Gewährleistung der Verfügbarkeit notwendiger Ressourcen
K – Sensibilisierung und Schulung von Mitarbeitern
L – Sichere Nutzung sozialer Netze
M – Durchführung von Penetrationstests
N – Sicherer Umgang mit Cloud-Anwendungen
Ihre Vorteile:
- Verringerung der Haftungsrisiken für die Geschäftsführung
- Feststellung von Unterversorgung aber auch Übererfüllung in der IT-Sicherheit zur Ressourcen- und Kostenoptimierung
- Maßgeschneidertes Konzept und Maßnahmenpaket
- Zeit- und kosteneffiziente Überprüfung
- Schaffung von Investitionssicherheit durch die Berücksichtigung von Trends
- Beurteilung des IT-Sicherheitsbewusstseins bei Mitarbeitern
Unsere Leistung
Wir führen für Sie einen Cyber-Sicherheits-Check nach den Grundsätzen und Vorgaben des BSI und unter besonderer Berücksichtigung der Prüfstandards durch.
Unsere Cyber-Sicherheits-Checks finden unter der Leitung eines ISO 27001 Auditors bzw. eines zertifizierten ISACA Cyber Security Practitioners statt.
Sie möchten mehr über den Cyber-Sicherheits-Check erfahren?
Vereinbaren Sie heute noch ein kostenfreies Beratungsgespräch mit uns und erfahren Sie mehr über unsere Informationssicherheits-Dienstleistungen.
Wir freuen uns, Ihnen beider Umsetzung Ihrer Sicherheitsstrategie zu helfen.