secnovum: KMU/KMV-Selbsteinschätzung für Info-Sicherheit.
Wir hören immer wieder ein und dieselbe Frage:
Sind meine Unternehmensinformationen ausreichend geschützt?
Dieser Beitrag wurde von Carlos Rieder für secnovum verfasst.
Dabei müssen wir zuerst der Frage auf den Grund gehen, wie man «ausreichend» überhaupt definiert, denn jede Unternehmung muss ihren speziellen Anforderungen gerecht werden.
Die Antwort ist also abhängig von weiteren Fragen wie beispielsweise:
- Sind die gespeicherten Informationen für Angreifer wertvoll (beispielsweise Kreditkarteninformationen, datenschutzrelevante Informationen, Firmengeheimnisse, Preiskalkulationen bei Ausschreibungen usw.)?
- Sind Sie auf eine rund um die Uhr funktionierende Computerinfrastruktur angewiesen (Wie lange darf Ihre IT ausfallen: Stunden, Tage, Wochen)?
- Welche Benutzende greifen auf die Informationen zu?
- Werden auch private Informationen in der Firma gespeichert?
- Gibt es Mitarbeitende, die im Homeoffice arbeiten?
- Wird die Infrastruktur von einer externen Firma betreut? Verfügt diese Firma in Sicherheitsfragen über eine ausreichende Kompetenz?
Die 20 Fragen der Checkliste für Informationssicherheit
Zur Ermittlung eines möglichen Handlungsbedarfs hat die isec ag eine Checkliste für Informationssicherheit für kleine und mittlere Unternehmen (KMU) und Verwaltungen (KMV) entwickelt. 20 Fragen decken die wichtigsten Bereiche des Themas ab. Zu jeder Frage müssen vier Antwortszenarien mit «erfüllt», «teilweise erfüllt» oder «nicht erfüllt» beurteilt werden. Falls das Thema für die Organisation nicht von Bedeutung ist, steht die Antwort «nicht relevant» zur Verfügung. Kommentare und Bemerkungen können ebenfalls erfasst werden.
IT-Sicherheits Checkliste herunterladen
Nach dem Ausfüllen der Checkliste zeigt die farbliche Darstellung den Erfüllungsgrad. Je «grüner» desto besser. Je «roter» desto schlechter, resp. desto grösser ist der Handlungsbedarf.
Folgende Inhalte werden geprüft:
- IT-Risikokatalog
- Informationssicherheitspolitik
- Weisungen zum Umgang mit IT-Mitteln für Benutzende
- Datensicherung
- Berechtigungsvergabe
- Benutzerkonten (Accounts) / Passworte
- Nutzung privater IT-Infrastruktur zur Bearbeitung von Informationen der Unternehmung
- Schwachstellen-Management (z. B. Updates / Patching)
- Änderungsmanagement (grössere Softwareanpassungen)
- Internes Netzwerk
- Datenaustausch
- Malware-Schutz (Viren-Schutz)
- Unterhalt Hardware / Sicherheitseinstellungen (Hardening)
- Dokumentation
- Protokollierung & Auswertung
- Outsourcing / Rechenzentrum
- Cloud Computing
- Regelmässige Überprüfungen (Reviews)
- Physische Schutzmassnahmen
- Notverfahren
Die Checkliste referenziert das «Sicherheitshandbuch für die Praxis» (www.sihb.ch). Zu jedem Kontrollpunkt sind Hinweise für eine angepasste Umsetzung in einem KMU resp. KMV aufgeführt.
Dank der Checkliste kann mit wenig Aufwand ein erster Blick zum aktuellen Zustand der Informationssicherheit der eigenen Organisation geworfen werden. Die Erfahrung zeigt jedoch, dass die Checkliste recht häufig zu optimistisch ausgefüllt wird. Eine unabhängige Einschätzung durch externe Fachpersonen ist daher sehr zu empfehlen.
Das Ausfüllen der Checkliste ist der erste Schritt und zeigt auf, wo Handlungsbedarf besteht. Die erkannten Schwachstellen sollten entsprechend ihrer Relevanz unbedingt behoben werden.