Mit zunehmender Digitalisierung und komplexer werdenden IT-Umgebungen wird es für Unternehmen immer schwieriger, den Überblick über den Stand ihrer Informationssicherheit und mögliche IT-Risiken zu bewahren. Um Unternehmen pragmatisch zur notwendigen Transparenz in dieser Frage zu verhelfen, haben wir auf Basis unserer langjährigen Erfahrung als Auditor den usd Cyber Security Check entwickelt.
Jan Kemper, Managing Consultant der usd AG, berät und auditiert seit vielen Jahren Unternehmen verschiedener Branchen und Größen zu Themen der Payment und IT Security. Wir haben ihn zu Bedeutung, Vorgehen und Best Practices beim Cyber Security Check befragt.
Jan, warum ist es euch wichtig, Unternehmen zu mehr Transparenz in ihrer eigenen Cyber Security zu verhelfen?
Jan Kemper: Ein allgemeiner und umfassender Überblick über eigene IT-Risiken und Schwachstellen ist für Unternehmen ungemein wichtig. Nur wer diese kennt, kann wirksame Gegenmaßnahmen identifizieren. Anderenfalls beschränkt sich ein Unternehmen hinsichtlich seiner Sicherheitsmaßnahmen auf einzelne Bereiche und Prozesse und lässt dabei kritische IT-Risiken außer Acht.
Es gibt natürlich zahlreiche vertragliche oder regulatorische Vorgaben, die Unternehmen dazu verpflichten, regelmäßig ihre Informationssicherheits- und Datenschutzprozesse zu überprüfen. Meist sind diese aber eher spezifisch und thematisch punktuell. Ich würde jedem Unternehmen deshalb unbedingt empfehlen, die IT-Landschaft möglichst breit abzudecken und auch Bereiche zu beleuchten, die durch externe Vorgaben nicht abgedeckt werden. Wir haben uns aus diesem Grund entschieden, mit dem Cyber Security Check eine solche Prüfung des allgemeinen Sicherheitsniveaus für Unternehmen anzubieten.
Du sprichst besonders von IT-Risiken. Warum lohnt sich deiner Erfahrung nach ein detaillierter Blick auf die IT-Prozesse?
JK: Heutzutage sind in Unternehmen IT-Prozesse und Geschäftsprozesse eng verzahnt. Werden Risiken im IT-Umfeld nicht adressiert, können diese Geschäftsprozesse stark beeinträchtigt werden. So kann beispielweise Ransomware langfristige Ausfälle bewirken, die für das betroffene Unternehmen signifikant negative Auswirkungen auf die kritischen Geschäftsprozesse nach sich ziehen.
Wie geht ihr einen Cyber Security Check für Unternehmen an?
JK: Unser Cyber Security Check setzt sich aus Assessments und Workshops zusammen. Da jedes Unternehmen unterschiedlich aufgebaut ist, können ganz unterschiedliche Gründe für eine Überprüfung vorliegen und die Ziele dementsprechend variieren. Die Basis für jeden Check bildet daher zunächst ein Workshop, in dem wir gemeinsam mit dem Kunden Ziele festlegen. Darauf aufbauend kann der Scope, also der Prüfumfang des Cyber Security Checks, ganz unterschiedlich ausfallen. Typische Fragen dabei sind zum Beispiel: Sollen auch Tochtergesellschaften einbezogen werden und eventuell noch die Tochtergesellschaft der Tochtergesellschaft? In welcher Tiefe soll die Überprüfung jeweils durchgeführt werden?
Im Anschluss an die Prüfungen selbst kategorisieren wir alle identifizierten Risiken und priorisieren sie abhängig von ihrer jeweiligen Kritikalität. Dieses Ergebnis stellen wir dem Unternehmen vor und stimmen mit den Ansprechpartnern das weitere Vorgehen ab.
Was sind die konkreten Prüfziele und Themenfelder eines Cyber Security Checks?
JK: Aufbauend auf den Zielen des Unternehmens bringen wir individuelle Empfehlungen mit, welche Kategorien und Dimensionen geprüft werden sollten. Wir haben basierend auf unserer langen Erfahrung im Beratungs- und Auditumfeld passende Best Practices und Controls aus verschiedenen international anerkannten Standards ausgewählt, die die Zielstellung des Checks bestmöglich abbilden.
Die empfohlenen Kriterien können bei Bedarf durch die Sicherheitsrichtlinie des Kunden ergänzt werden, sodass die Prüfung speziell anhand dieser erfolgen kann. Entweder macht diese den größten Teil des Prüfkatalogs aus oder man vereinbart einen kombinierten Ansatz aus den internen Vorgaben und externen Best Practices.
Gibt es Themenfelder, die für jedes Unternehmen besonders relevant sind?
JK: Für einen ersten Grundcheck empfehle ich grundsätzlich, die Themen Asset Management, Dienstleister-Steuerung und kontinuierliches Schwachstellenmanagement abzudecken. Somit sind sowohl technische als auch organisatorische Maßnahmen berücksichtigt. In der Regel rate ich außerdem dazu, die Awareness-Maßnahmen einzuschließen und den Umgang mit privilegierten Accounts zu überprüfen. Dazu kommen noch Überprüfungen der Konfiguration von Systemen und der Softwareentwicklung auf Sicherheitsaspekte.
In bestimmten Fällen empfiehlt sich jedoch ein anderer Ansatz, bei dem bestimmte Themenfelder wie Business Continuity oder Disaster Recovery im Fokus stehen. Dann prüfen wir diese Themen in besonderer Tiefe.
Warum sollte ein Unternehmen sich für einen Cyber Security Check statt für eine der bekannten Informationssicherheits-Zertifizierungen wie ISO 27001 entscheiden?
JK: Das kommt auf das Ziel oder besser gesagt die Motivation des Unternehmens für die Überprüfung an. Wenn es vordergründig darum geht, vorherrschende Top-Risiken zu identifizieren, ist es zum Beispiel nicht nötig, ein vollständiges Informationssicherheitsmanagement aufzubauen, wie es eine ISO 27001-Zertifizierung fordert. Der Cyber Security Check hilft dem Unternehmen, einen Status-Quo seiner IT-Risiken zu ermitteln – ganz flexibel und ohne limitierten Prüfumfang oder –katalog.
Das schließt natürlich nicht aus, beide Zielstellungen miteinander zu verbinden. Ein Cyber Security Check ist ein sehr gutes Mittel für Unternehmen, sich einen ersten Eindruck darüber zu verschaffen, wie es für eine mittelfristig geplante Zertifizierung bereits aufgestellt ist. Auf Wunsch können wir das Ziel einer zukünftigen Zertifizierung im Workshop adressieren und dann einige Prüfkriterien des Cyber Security Checks darauf ausrichten.
Wie geht es für Unternehmen nach dem Check weiter?
JK: Wie es weitergeht, ist primär von den Ergebnissen und dem initialen Ziel abhängig. Im Nachgang zum Check können wir beispielsweise gezielt Maßnahmen für identifizierte Schwachpunkte entwickeln oder aufgrund der Ergebnisse eine Cyber-Security-Strategie entwerfen, bzw. die existierende Strategie überprüfen. Außerdem bietet es sich an, den Cyber Security Check zu einem späteren Zeitpunkt zu wiederholen, um Fortschritte zu überprüfen oder zu bestätigen, dass zuvor ermittelte Risiken eliminiert oder reduziert wurden. All diese Maßnahmen tragen dazu bei, Cyber Security nachhaltig im Unternehmen zu verankern.
Im usd Webinar „Status-Check Ihrer Cyber Security“ teilte Jan Kemper seine Erfahrungen aus der Praxis und zeigte mögliche Ansätze und Vorgehensweisen beim Cyber Security Check auf. Die Aufzeichnung finden Sie hier.