Der Cyber Security Check für die Office IT von Unternehmen und Behörden basiert auf dem kostenlosen Leitfaden Cyber-Sicherheits-Check, der vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit dem Berufsverband der IT-Revisoren, IT-Sicherheitsmanagern sowie den IT-Governance Beauftragten ISACA Germany Chapter e. V. entwickelt worden ist. Der Check bietet eine umfassende Überprüfung Ihrer IT-Systeme und Netzwerke, um potenzielle Risiken zu erkennen und eine frühzeitige Behandlung zu ermöglichen. Er ist speziell auf den Bedarf zum Schutz der Office IT ausgerichtet und hilft Unternehmen sowie Behörden dabei, gezielte Maßnahmen zur Verbesserung ihrer IT-Sicherheit voranzutreiben.
Der Schutz der Office IT ist heutzutage von besonderer Bedeutung, da sich eine Vielzahl von Bedrohungen aus dem Internet direkt auf die Sicherheit der Daten sowie Systeme und somit auf die Geschäftsprozesse auswirken kann. Eine der größten Bedrohungen sind unteranderem Cyberangriffe. Durch den Einsatz von Schadsoftware und Ransomware können Angreifer die Kontrolle über IT-Systeme erlangen und so sensible Daten stehlen, manipulieren oder sogar löschen. Eine weitere Bedrohung ist zum Beispiel die menschliche Komponente, insbesondere in Form von Phishing-Angriffen. Hierbei werden Mitarbeiter gezielt durch gefälschte E-Mails, Websites oder Nachrichten dazu verleitet, sensible Informationen wie Passwörter oder Zugangsdaten preiszugeben. Diese Angriffe können unter bestimmten Umständen sogar Multi-Faktor-Authentifizierungen (MFA) aushebeln und so zu erheblichen Sicherheitsverletzungen sowie Datenlecks führen. Aber auch das Wachstum von Cloud-basierten Anwendungen und der zunehmende Einsatz von mobilen Geräten erhöhen stetig das Risiko für Sicherheitsverletzungen und Datenlecks. Viele Unternehmen sind zunehmend auf Cloud-basierte Anwendungen angewiesen, um ihre Geschäftsprozesse zu digitalisieren und flexibler zu gestalten. Allerdings kann auch dies zu neuen Schwachstellen in der IT führen, wenn zum Beispiel die Anwendungen nicht ausreichend oder falsch gesichert sind.
Um diese und weitere Risiken zu minimieren, ist es unerlässlich, dass Unternehmen sowie Behörden ihre Office IT regelmäßig auf Sicherheitslücken überprüfen und Maßnahmen ergreifen, um diese zu beseitigen. Der Cyber Security Check (IT) kann hierbei helfen, indem er eine umfassende Überprüfung der IT-Systeme und Netzwerke bietet. Die Maßnahmen aus dem kostenlosen Leitfaden Cyber-Sicherheits-Check sind auf die spezifischen Bedürfnisse der Office IT zugeschnitten und berücksichtigen auch aktuelle Cyber-Bedrohungen. Sie umfassen beispielsweise die Überprüfung der Netzwerk- und Systemkonfiguration, Zugangsrechte, Sicherheitsmaßnahmen, Updates und Patch-Management sowie Backup- und Wiederherstellungsverfahren. Durch die Umsetzung der im Leitfaden enthaltenen Maßnahmen, können Unternehmen und Behörden viele Sicherheitslücken beseitigen, bevor diese von Angreifern ausgenutzt werden.
Kein ISMS erforderlich
Jedes ISMS (Information Security Management System) erfordert ein umfassendes Verständnis und Management der Informationssicherheit im Unternehmen. Es müssen dafür umfangreiche Prozesse implementiert und ständig überwacht werden, um das angestrebte Maß an Informationssicherheit gewährleisten zu können. Der Vorteil des Cyber Security Checks (IT) ist es, dass er unabhängig von einem ISMS durchgeführt werden kann. Es ist kein ISMS erforderlich, um die Cybersicherheit im Bereich Office IT überprüfen und verbessern zu können. Der Check kann zu jedem Zeitpunkt im Sicherheitsprozess einer Organisation vorgenommen werden, es sind weder Unterlagen zum Sicherheitsprozess erforderlich noch muss ein bestimmter Fortschritt bei der Umsetzung von Sicherheitsmaßnahmen vorliegen. Er kann somit eine zeit- und kosteneffiziente Lösung für Unternehmen sein, die ihre Cybersicherheit in der Office IT zeitnah verbessern möchten.
Beurteilungsgegenstand
Der Cyber Security Check (IT) umfasst grundsätzlich die gesamte Organisation einschließlich ihrer Anbindungen an das Internet, der Anbindungen über andere Organisationseinheiten an das Internet (ohne Operational Technology) sowie aller Anbindungen an weitere Netze, wie z.B. Netze von Partnern, Dienstleistern und Kunden. Berücksichtigt werden auch Steuerungssysteme z.B. zur Brandmeldung, Zugangsregelung und Videoüberwachung, auch wenn sie nicht direkt über das Internet erreichbar sind, da sie von indirekten Angriffen betroffen seien können und dann eine Verbindung nach außen aufbauen. Die physische Sicherheit (Umweltereignisse, räumliche Sicherheit etc.) ist hingegen nicht Bestandteil des Cyber-Raumes und spielt daher beim Cyber Security Check (IT) nur eine untergeordnete Rolle.
Das Vorgehen
Bei der Durchführung des Cyber Security Checks (IT) ist es wichtig, den Umfang und die Komplexität des Beurteilungsgegenstands (Scope) zu bestimmen, um den Aufwand abschätzen zu können. Vor der Durchführung sollte ein gemeinsames Verständnis geschaffen werden, was zu den zu überprüfenden Systemen zählt. Im Anschluss sollte der Scope von der Leitungsebene, wie Geschäftsführung oder Behördenleitung, genehmigt werden. Das Scoping kann bereits Teil des Auftrags sein und einen Zeitrahmen festlegen. In komplexen und umfangreichen Umgebungen kann es sinnvoll sein, das Scoping im Vorfeld zusätzlich durchzuführen. Die Durchführung folgt streng den Vorgaben des kostenlosen Leitfaden Cyber-Sicherheits-Check und besteht daher aus den folgenden Schritten:
-
Auftragserteilung
-
Risikoeinschätzung
-
Informationssichtung
-
Vorbereitung der Vor-Ort-Beurteilung
-
Vor-Ort-Beurteilung
-
Nachbereitung/Berichterstellung
