Cyber-Sicherheits-Checks

Der Verein ISACA Germany Chapter e.V. und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben 2020 die Version 2 des „Leitfaden Cyber-Sicherheits-Check“ veröffentlicht. Der Leitfaden Cyber-Sicherheits-Check beschreibt die Grundsätze und Vorgehensweise bei der Durchführung der IT-Sicherheitsüberprüfung eines Unternehmens und basiert auf verschiedenen ISACA IT-Prüfstandards. Die fachliche Grundlage bilden die in der Allianz für Cyber-Sicherheit definierten „Basismaßnahmen der Cybersicherheit“.

Ein Cyber-Sicherheits-Check (CSC) ist kein Penetrationstest, d.h. im Rahmen der Prüfung werden keine konkreten Hacking-Angriffe durchgeführt. Der Cyber-Sicherheits-Check ist eher vergleichbar mit einem Informationssicherheits-Audit, allerdings wird die zu prüfende Infrastruktur nicht primär gegen einen Standard wie ISO 27001 oder VdS 10000 geprüft, sondern das tatsächliche Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit der IT-Infrastruktur bewertet. Ein Cyber-Sicherheits-Check setzt deshalb Zugang zu allen relevanten Dokumenten wie Sicherheitskonzepte und Betriebshandbücher sowie zur Konfiguration der kritischen IT-Systeme, z.B. Firewall, Virenschutz, Backup, etc. voraus.

Grundsätze zur Durchführung

Um eine objektive Beurteilung zu gewährleisten, verlangt der ISACA Leitfaden, dass folgende Voraussetzungen eingehalten werden:

  • Eine formale Beauftragung des Cyber-Sicherheits-Checks
  • Organisatorische und persönliche Unabhängigkeit
  • Rechtschaffenheit und Vertraulichkeit
  • Fachkompetenz
  • Nachweise und Nachvollziehbarkeit
  • Objektivität und Sorgfalt
  • Sachliche Darstellung

Vorgehensweise bei der Durchführung

Zusätzlich zu den Grundsätzen der Durchführung wird auch die Vorgehensweise im Leitfaden festgelegt.

  1. Auftragserteilung
  2. Risikoeinschätzung
  3. Dokumentensichtung
  4. Vorbereitung der Vor-Ort-Beurteilung
  5. Vor-Ort-Beurteilung
  6. Nachbereitung/Berichtserstellung

Maßnahmenziele

Der Leitfaden Cyber-Sicherheits-Check definiert die Maßnahmenziele A bis N, die bei der Durchführung verbindlich zu beurteilen sind:

  • A: Absicherung von Netzübergängen
  • B: Abwehr von Schadprogrammen
  • C: Inventarisierung der IT-Systeme
  • D: Vermeidung von ausnutzbaren Sicherheitslücken
  • E: Sichere Interaktion mit dem Internet
  • F: Logdatenerfassung und -auswertung
  • G: Sicherstellung eines aktuellen Informationsstands
  • H: Bewältigung von Sicherheitsvorfällen/Notfällen
  • I: Sichere Authentisierung
  • J: Gewährleistung der Verfügbarkeit notwendiger Ressourcen
  • K: Sensibilisierung und Schulung von Mitarbeitern
  • L: Sichere Nutzung sozialer Netze
  • M: Durchführung von Penetrationstests
  • N: Sicherer Umgang mit Cloud-Anwendungen

Unsere Leistung

Wir führen für Sie einen Cyber-Security-Check nach den Grundsätzen und Vorgaben des Leitfadens Cyber-Sicherheits-Check unter besonderer Berücksichtigung der ISACA Prüfstandards durch.
Alle unsere Cyber-Sicherheits-Checks finden unter der Leitung eines ISO 27001 Lead Auditors bzw. eines zertifizierten ISACA Cyber Security Practitioners statt.